229期报告汇总
安天发布《Remcos 远控木马分析报告》
近日,安天 CERT 在梳理网络安全事 件时发现了利用 COVID-19 为主题的钓鱼 邮件传播 Remcos 远控木马活动。该活动 主要针对小型企业、制造企业和会计师事 务所。Remcos 远控木马是 2016 年公开售 卖的远控木马,该木马主要通过钓鱼邮件 进行传播,目的是窃取用户个人信息。
该活动通过钓鱼邮件进行传播,附件 中包含一个使用误导性 PDF 图标的可执 行文件,该可执行文件一旦执行便会启动 Remcos 远控木马。该木马执行后将自身注入到系统默认浏览器中并添加到注册表。 Remcos 远控木马主要功能包括远程桌面 控制、键盘记录、收集主机信息、获取进 程路径、获取浏览器 Cookie 信息、上传可 能包含敏感信息的文本文件、获取进程列 表、结束指定进程、获取屏幕截图以及打 开 CMD 等。
安天 CERT 提醒广大政企客户,应提 高网络安全意识。在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版 的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。
目前,安天追影产品已经实现了对该 远控木马的鉴定;安天智甲已经实现了对 该远控木马的查杀。