近日，安天 CERT 在梳理網絡安全事件時發現一個活躍的 Cinobi 竊密木馬。Cinobi 竊密木馬主要通過垃圾郵件、漏洞利用、釣魚網站進行傳播。該竊密木馬主要功能是竊取銀行賬戶登錄憑證。

        攻擊者使用釣魚網站誘使受害者點擊名為“index.clientdownload.windows” 的 按 鈕，之后登錄頁面開始下載 zip 壓縮文件，壓縮包 包 含 LogiCapture.exe、cfg.config、config.dll、format.cfg 和 Xjs.dll 等 文 件。 攻 擊 者 利用了白加黑技術反查殺。當受害者運行正常文 件 LogiCapture.exe 時， 加 載 Xjs.dll 文 件，Xjs.dll 從 format.cfg 中獲取并運行 ShellCode，ShellCode 加載 config.dll 從 cfg.config 獲取并運行新 ShellCode，新 ShellCode 下載 Tor 程序壓縮包并安裝 Tor 瀏覽器，之后下載并加載隨機命名的 dll 文件，dll 連接 C&C 服務器下載并安裝竊密載荷，竊密載荷通過獲取瀏覽器存儲的相關信息，從而竊取銀行賬戶登錄憑證。

        安天 CERT 提醒廣大政企客戶，應提高網絡安全意識。在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發郵件時應確認收發來源是否可靠，不隨意點擊或者復制郵件中的網址，不輕易下載來源不明的附件，發現網絡異常要提高警惕并及時采取應對措施，養成及時更新操作系統和軟件應用的良好習慣。確保所有的計算機在使用遠程桌面服務時避免使用弱口令，如果業務上無需使用遠程桌面服務，建議將其關閉。目前，安天追影產品已經實現了對該竊密木馬的鑒定；安天智甲已經實現了對該竊密木馬的查殺。