国家计算机病毒应急处理中心通过对互联网的监测,发现一款名为“MassLogger”的信息窃取恶意软件正在通过大量投送的钓鱼邮件进行感染传播。攻击者发送了大量带有敏感主题和内容的钓鱼邮件,诱使用户点击恶意附件,触发Office软件上的远程代码执行漏洞,从而完成恶意软件下载。MassLogger具有十分丰富的恶意功能,能够收集受害者的主机基本信息、浏览器配置信息、浏览器凭证、邮箱配置、剪切板内容以及键盘记录等,同时对自身代码进行了混淆,并采用了反射加载技术,具有较大的危害性。 MassLogger恶意软件利用Office WinWord漏洞感染攻击目标,漏洞编号CVE-2017-11882。该漏洞因为Office工具软件公式编辑器使用了不安全的函数strcpy(),使得攻击者可以进行栈溢出攻击执行任意代码。此次攻击活动中,攻击者大量发送以Office Word文档作为附件的钓鱼邮件,通过敏感主题及内容诱使受害者执行恶意附件。恶意附件运行后会触发CVE-2017-11882漏洞,执行Shellcode从C&C服务器下载恶意文件,并通过反射加载技术运行MassLogger恶意软件,实现敏感信息窃取。 建议国内用户提高安全意识,采取以下措施予以防范:一是注意甄别发件人真实身份,切勿随意打开不可信来源的具有诱惑性标题和内容的邮件附件;二是到官方网站或者应用商店下载软件安装程序;三是定期对系统进行加固,关闭不必要的网络端口并采用高强度密码,及时进行漏洞更新。