郵箱收到律師函，一看LOGO就信以為真，趕緊點開郵件附件，沒想到公司機密信息卻被盜了！

圖：偽裝成法律訴訟文件的釣魚郵件

近日，瑞星威脅情報中心捕獲到國內企業被投遞竊密木馬的釣魚攻擊活動，通過分析發現，攻擊者所投遞的木馬為FormBook 4.1版本，能夠竊取瀏覽器、郵箱等敏感信息，同時具備遠程控制功能，具有很強的威脅性，瑞星在此提醒廣大企業應加強防范。

偽裝成商業往來郵件，利用真實LOGO來釣魚

瑞星安全專家介紹，攻擊者一般會以撒網式向企業員工或高層發送偽裝成商業往來的釣魚郵件，以誘導受害者點擊，此次攻擊也不例外。通過分析發現，在本次釣魚郵件攻擊中，攻擊者偽造了虛假的法律訴訟文件和采購訂單，發送給目標企業的多位高管人員，以此來吸引目標點擊釣魚郵件附件。

圖：偽裝成采購單的釣魚郵件

如果仔細甄別的話可以看出，在偽裝成法律訴訟的釣魚郵件中，郵件正文的律所LOGO與郵件標題、發件人并不相同，這家律所是真實存在的，LOGO也是正確的，但發件人地址卻是攻擊者的，其目的就是為了假冒成真實的律所來騙取目標的信任，誘導點擊郵件附件。

專為企業高管定制的商業竊密木馬

附件中嵌入了目前非常流行的一種商業竊密木馬，名為“FormBook”，該木馬程序自2016年開始，便在黑客論壇上以MaaS（惡意軟件即服務）的形式出售，至今保持著活躍狀態，通常被攻擊者以廣撒網的方式進行釣魚郵件攻擊，同時也存在高價值目標的“定制化”攻擊，如企業、組織高管等。該木馬程序版本不斷迭代更新，在此次攻擊的釣魚郵件中，攻擊者所使用的就是FormBook 4.1版本。

FormBook 4.1版本主要是用于竊取目標系統中瀏覽器、郵箱客戶端、Windows Vault（憑據保管庫）等敏感信息，同時還具備遠程控制能力，包括鍵盤記錄、屏幕截圖、下載執行、數據回傳等功能。

圖：攻擊流程

企業用戶應提高警惕，加強防范

瑞星安全專家表示，FormBook這類竊密木馬專門用來竊取商業機密、數據、資產文件等重要機密信息，會給企業帶來極大的危害，因此廣大用戶應提高警惕，加強防范，做到以下幾點：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會工程學和釣魚攻擊。

2. 部署EDR、NDR產品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，以便更快響應和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護系統可查殺FormBook木馬程序

4. 及時修補系統補丁和重要軟件的補丁。

許多惡意軟件經常使用已知的系統漏洞、軟件漏洞來進行傳播，及時安裝補丁將有效減少漏洞攻擊帶來的影響。

關鍵詞：