2022年第9期

【预警类型】高危预警

【预警内容】关于“魔盗”窃密木马大规模传播的风险提示

一、漏洞概述：

        近期，CNCERT和安天联合监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过1.3万，由于该窃密木马会收集浏览器书签、邮箱账户等信息，故我们将命名为“魔盗”。

        攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面，用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息，并加密回传至攻击者服务器。由于部分恶意程序具备在线升级能力，因此攻击者可随时更改攻击载荷（如勒索、挖矿、窃密等不同目的的攻击载荷），给受害者造成更大损失。

        建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、感染规模：

        通过监测分析发现，国内于2022年8月3日至8月23日期间“魔盗”木马日上线肉鸡数最高达到1.3万台，累计已有约6.5万台设备受其感染。

三、解决方案或建议：

       1、建议通过官方网站统一采购、下载正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描并校验文件HASH。

        2、尽量不打开来历不明的网页链接，不要安装来源不明软件。

        3、加强口令强度，避免使用弱口令，密码设置要符合安全要求，并定期更换。建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。

        4、梳理已有资产列表，及时修复相关系统漏洞。

        5、安装终端防护软件，定期进行全盘杀毒。

        6、当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。