本報告由國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）與安天科技集團(tuán)股份有限公司（安天）共同發(fā)布。

近期，CNCERT和安天聯(lián)合監(jiān)測到一批偽裝成CorelDraw、Notepad++、IDA Pro、WinHex等多款實(shí)用軟件進(jìn)行傳播的竊密木馬。通過跟蹤監(jiān)測發(fā)現(xiàn)其每日上線境內(nèi)肉雞數(shù)（以IP數(shù)計算）最多已超過1.3萬，由于該竊密木馬會收集瀏覽器書簽、郵箱賬戶等信息，故我們將命名為“魔盜”。

攻擊者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多個軟件下載頁面，用于投放偽裝成實(shí)用軟件的“魔盜”竊密木馬。竊密木馬運(yùn)行后會收集受害者主機(jī)中已安裝的軟件列表與多款瀏覽器的歷史記錄、書簽數(shù)據(jù)和郵件客戶端郵箱賬戶信息，并加密回傳至攻擊者服務(wù)器。由于部分惡意程序具備在線升級能力，因此攻擊者可隨時更改攻擊載荷（如勒索、挖礦、竊密等不同目的的攻擊載荷），給受害者造成更大損失。