鱼叉钓鱼盯上客服邮箱！新型DarkCloud木马专偷击键记录与FTP密码

当你的客服团队正忙着处理客户工单时，一封伪装成“银行汇款通知”的邮件悄然潜入Zendesk邮箱——这不是电影情节，而是近期真实发生的网络攻击事件。据网络安全公司eSentire威胁响应单元（TRU）披露，9月25日，一家知名制造企业遭遇高度定向的鱼叉式钓鱼攻击，攻击者精准锁定其客服支持系统入口，成功投递名为 DarkCloud 的新型信息窃取恶意软件，意图窃取键盘记录、FTP凭据乃至浏览器保存的全部密码。

更令人担忧的是，DarkCloud不仅功能强大，还具备极强的反分析能力，其3.2版本已在暗网网站（如 darkcloud.onlinewebshop[.]net）和Telegram频道（用户@BluCoder）公开售卖，形成“即服务”式地下产业链。公共互联网反网络钓鱼工作组技术专家芦笛指出：“这次攻击暴露了一个被长期忽视的盲点——客服工单系统，正成为黑客入侵企业的新跳板。”

一封“银行通知”撬开工单入口

此次攻击的起点，是一封主题为 “Swift Message MT103 Addiko Bank ad: FT2521935SVT” 的邮件。内容模仿真实银行电文格式，声称有一笔跨境汇款待确认，并附带一个名为 Swift Message MT103 FT2521935SVT.zip 的压缩包。

由于该邮件被发送至企业用于处理客户支持请求的 Zendesk共享邮箱，收件人天然具备“处理外部文件”的工作属性，警惕性较低。而“Swift汇款”这一金融术语，又进一步增强了邮件的可信度——毕竟，制造业企业常有国际付款往来。

“攻击者非常清楚：客服邮箱是企业对外的‘窗口’，每天接收大量附件，安全审查往往不如高管或财务邮箱严格。”芦笛分析道，“他们不是随机钓鱼，而是精心挑选了最容易‘落地’的入口。”

当员工解压ZIP文件并双击其中的 .exe 程序（伪装成银行回执文档）后，DarkCloud 3.2 便悄然启动。

DarkCloud：能躲沙箱、会加密、专偷FTP密码的“全能窃贼”

DarkCloud 并非全新木马，但其最新版本展现出令人警惕的进化特征。据eSentire逆向分析，该恶意软件用 Visual Basic 6（VB6）重写，虽语言“复古”，却因此能绕过许多基于现代代码行为的检测引擎。

它能窃取的数据类型极为广泛，包括：

浏览器保存的账号密码与Cookie

信用卡信息

电子邮件客户端联系人

剪贴板内容（常用于窃取临时验证码）

加密货币钱包文件（如MetaMask、Electrum）

FTP/SFTP服务器凭据（对企业运维危害极大）

实时键盘记录（Keylogging）

尤为危险的是，DarkCloud 会通过 Telegram Bot API、SMTP（支持SSL）、FTP 甚至自建PHP面板 多通道回传数据，确保即使一条通路被封，仍能完成窃密。

更狡猾的是其反沙箱机制：它会检测虚拟机环境（如VMware）、调试工具（如Wireshark、IDA）、系统资源（如内存小于1GB、CPU核心少于2个）等。一旦发现异常，立即自我销毁。“这说明攻击者清楚安全团队会用沙箱分析可疑文件，所以提前设了‘陷阱识别器’。”芦笛说。

为何客服系统成“软肋”？

传统安全策略往往聚焦于高管、财务、IT等“高价值”账户，却忽视了客服、采购、售后等共享邮箱。这些账号虽权限不高，但：

长期开放外部邮件接收

经常处理附件（发票、合同、物流单）

使用弱密码或共享凭证

缺乏多因素认证（MFA）

一旦被攻破，攻击者不仅能窃取客户数据，还可利用该邮箱作为“可信发信源”，向内部其他部门发起二次钓鱼（即“内部横向钓鱼”）。

“这次攻击的高明之处，在于把‘社会工程’和‘技术利用’结合到了极致。”芦笛指出，“他们知道客服人员看到‘银行汇款’会优先处理，而Zendesk这类工单系统默认允许上传ZIP——这等于给木马开了绿色通道。”

技术科普：什么是击键记录？为何FTP凭据如此危险？

对普通用户而言，“击键记录”（Keylogging）可能只是电影里的黑客桥段，但在现实中，它是信息窃取的核心手段之一。一旦木马启用此功能，你输入的每一个字符——包括密码、银行卡号、聊天内容——都会被实时记录并上传。

而 FTP凭据 的泄露，则可能直接导致企业服务器沦陷。许多中小企业仍使用FTP管理网站文件或数据备份。若攻击者获得账号密码，不仅能下载全部源代码和客户数据库，还可植入后门网页、勒索脚本，甚至将服务器变成僵尸网络节点。

“FTP本身是明文协议，即使密码复杂，一旦被窃就全盘皆输。”芦笛强调，“现代企业应尽快迁移到SFTP或WebDAV等加密协议，并禁用匿名登录。”

专家建议：五道防线守住“工单入口”

针对此类新型攻击，芦笛结合eSentire的处置经验，提出以下防御建议：

强化客服/共享邮箱的附件策略

禁止接收可执行文件（.exe、.scr、.bat等），对ZIP、RAR等压缩包强制沙箱分析，延迟投递高风险邮件。

限制工单系统上传可执行内容

在Zendesk、Freshdesk等平台设置规则，自动拦截含脚本或二进制文件的附件，或将其转为只读PDF预览。

部署EDR监控异常行为

启用终端检测与响应（EDR）系统，重点监控“键盘记录API调用”“浏览器密码数据库访问”“FTP客户端凭据读取”等行为。

审计出站连接与非常规目的地

对服务器和终端的出站流量进行日志分析，尤其关注连接至Telegram、陌生SMTP服务器或境外IP的行为。

对财务关键词邮件加贴警示标签

通过邮件网关策略，自动为含“Swift”“Invoice”“Payment”“Urgent”等关键词的外部邮件添加醒目警告：“此邮件来自外部，请勿轻信附件！”

网络安全没有“边缘岗位”

DarkCloud攻击事件再次提醒我们：在数字化办公时代，每一个邮箱都可能是攻击入口，每一个岗位都可能是防线一环。客服人员不再是“后台支持”，而是企业安全的第一道哨兵。

“别再认为‘我只是处理工单，没权限所以安全’。”芦笛呼吁，“黑客要的不是你的权限，而是你电脑里的密码、你邮箱的信任度，以及你点击‘确定’的那一瞬间。”

在这个钓鱼邮件日益逼真的时代，保持怀疑、多问一句、慢点一步，或许就是守住企业数据大门的关键。

延伸阅读

原始报告：Spear Phishing Attack Uses DarkCloud Malware to Capture Keystrokes and FTP Credentials

编辑：芦笛（公共互联网反网络钓鱼工作组）