腾讯安全：邮件间谍“窃密寄生虫”木马为企业

　　身处外贸行业，收到客户的采购订单邮件自然是好事，但也不应高兴过早，因为这样一封“陌生”的邮件也可能是不法黑客进行病毒伪装的钓鱼邮件。11月20日上午，某外贸公司客服小张像往常一样，打开公司内部邮箱，发现收到不明人员发来的一封邮件，同时在附件中还包含一个名为“K378-19-SIC-RY - ATHENA REF. AE19-295.gz”的附件。小张解压附件后，发现电脑里多了一个Jscript脚本文件，进一步点击后释放出了木马文件StealerFile.exe，小张感觉不对劲，向腾讯安全发来求助。

　　腾讯安全技术专家经过深入溯源分析后，确认小张经历的是一起典型的针对外贸公司从业者发起的一次定向攻击。攻击者向企业联系人邮箱批量发送“采购订单”，实际附件文件携带病毒。受害者一旦打开附件，恶意文档便会释放多个“窃密寄生虫”木马，进而控制目标系统，盗取企业机密信息。

(图：“窃密寄生虫”木马攻击邮件示例)

　　小张的事件并不是个例，近期腾讯安全御见威胁情报中心曾监测到多起以窃取机密为目的的钓鱼邮件攻击，因木马PDB信息中包含字符“Parasite Stealer”，腾讯安全技术专家将其命名为“窃密寄生虫”木马。不法黑客在搜集大批目标企业联系人邮箱后，批量发送伪装成“采购订单”的钓鱼邮件。一旦用户不慎运行附件文档，就会被植入远控木马，浏览器记录的登录信息、Outlook邮箱密码及其他企业机密信息，将被不法黑客窃取。

　　据监测数据统计，此次有数千家企业受到“窃密寄生虫”木马攻击影响，攻击目标主要集中在贸易服务、制造业和互联网行业。广东、北京、上海等地由于经济发达，外贸企业和互联网企业相对密集，成为本次攻击受害较严重的区域。