近来，深服气安全团队监测到针对进出口贸易企业、国内大型高新制造业的鱼叉式 *** 垂钓进犯活动再次开端活泼。进犯者经过假造 *** 部分邮件、企业内部邮件等 *** 向方针组织特定部分（如：收购部分、财务部分等）建议进犯，妄图在方针主机分发银行木马，盗取秘要信息。 深服气安全团队本次捕获到的进犯活动首要 *** 是经过文档中的歹意宏代码下载履行Gozi银行木马。Gozi最早于2007年被发现，方针首要为各个国家的大型银行，其代码一直在更新迭代，进犯方针也不断替换，以下是本次进犯活动C2的要挟情报相关： 能够看出，进犯者在活动时预备了十个Gozi木马的下载地址，每一个文件的MD5都不相同，而且C&C端在进犯后会很快封闭，防止被反查。 进犯 *** 剖析 垂钓邮件的内容一般为进犯者精心结构，旨在诱惑用户下载和翻开邮件附件，附件的方式具有多样性，可能为伪装成正常文件的可履行文件，也有可能是带有宏或缝隙使用的文档文件： 一旦用户依据邮件提示启用宏，便会触发歹意的宏代码，此次深服气安全团队捕获到的垂钓文档中，进犯者在窗体中嵌入了powershell指令，再经过混杂的宏代码触发履行： 代码是经过两次base64编码的powershell指令，解码后如下，实现从C&C服务器下载Gozi木马并运转： Gozi银行木马剖析 Gozi木马在运转进程中会屡次解密运转payload，其间使用到的密钥为“May 26 2019”，Gozi木马一般会用时刻字串作为解密密钥，该时刻字符串能够用来相关样本所属的进犯时期： 在payload中，会解密出一个头部不完整的PE文件，掩盖进程本身内存，然后跳转运转： 解密出需求用到的相关域名字符串： 修正IE10相关注册表键值，随后注入浏览器进程： 收集主机信息，编码后经过 *** 传输： 该样本使用Microsoft网站保管获取到的主机信息，以此来躲避防火墙的检测： 解决方案 不要点击来源不明的邮件附件，特别是附件为可履行文件、带有宏的文档时，应进步警觉。 IOC URL: http://rleone45janiy *** /sywo/fgoow.php?l=joow10.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow9.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow8.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow7.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow6.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow5.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow4.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow3.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow2.gxl http://rleone45janiy *** /sywo/fgoow.php?l=joow1.gxl http://109.196.164.79/3.php MD5： 1AFE901F38FC3EF3AE45D03BAA8DF2E6