近日，腾讯御见威胁情报中心监测到一批携带cve-2017-11882漏洞文档的钓鱼邮件在全球范围传播，用户一旦不慎打开钓鱼邮件的附件文档，虚拟数字货币钱包盗号木马或远控木马将运行，盗取受害用户的账号密码，不法分子甚至可通过盗用企业邮箱冒充企业员工，引发更严重的内网安全危机。
该钓鱼邮件攻击主要针对制造业、批发和零售业、广告业、进出口贸易等行业，且目标人群主要是从事对外贸易、财务相关人员。目前国内受影响最为严重的地区主要是广东、浙江、江苏等沿海省份，建议各企业用户使用腾讯企业安全“御点”及腾讯御界防apt邮件网关进行防御。
（图：该木马在国内的影响区域）
由于工作需要，外贸等行业从业人员的邮箱经常被公开在官方网站或相关论坛，极易被不法分子所利用。腾讯御见威胁情报中心发现，本次钓鱼邮件具备鱼叉攻击的典型特征，不法分子将有毒文件命名为“order request”、“company profile”等订单、商务公函文件，并通过编造相应邮件内容，诱导目标收件人打开查看，极大地提升了攻击成功率。
经过对该钓鱼攻击行为进行分析，腾讯御见威胁情报中心发现，攻击邮件通过触发漏洞，会在受害用户电脑中投放波尼和tesla两种木马。波尼木马试图盗取用户浏览器、邮箱、ftp服务器、数字虚拟币等账号密码，并对企业内网实施渗透攻击。一旦攻击ftp服务器成功后，攻击者可能使用恶意程序或文档替换ftp服务器上共享的程序或文档；会盗用企业邮箱，冒用内部员工身份寻找更多攻击目标。tesla木马则通过记录受害用户键盘信息并传回黑客服务器，盗取中毒电脑上登录过的各种关键用户名及密码，执行远程控制等。
为帮助企业有效抵御、防范钓鱼攻击，腾讯企业安全推出“御点”终端安全管理系统和御界防apt邮件网关两大安全解决方案。作为终端安全管理系统，腾讯企业安全“御点”具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。其“女娲石”防御技术，可完美防御此类漏洞所有变种的攻击。
针对企业日常办公安全需求，腾讯御界防apt邮件网关可全方位守护邮箱安全。依托哈勃分析系统的核心技术，结合大数据与深度学习，御界防apt邮件网关通过对邮件多维度信息的综合分析，可迅速识别apt攻击邮件、钓鱼邮件、病毒木马附件、漏洞利用附件等威胁，有效防范邮件安全风险。
（图：腾讯御界防apt邮件网关）
腾讯企业安全技术专家还建议，企业用户应尽可能开通重要服务的双重验证，登录企业服务器等重要服务时，除了需要提供用户名密码，还需手机短信或动态密码验证等等，为账号密码安全增加双重保障。