近期，騰訊安全威脅情報中心接到某公司網管發來的求助，稱從非官方渠道下載了條碼標簽打印軟件后，使用激活工具patcher.exe進行激活破解時，發現惡意程序關閉了系統的安全防護功能。

（圖：條碼打印軟件（LABEL MATRIX）激活工具）

騰訊安全進而檢測發現，AZORult商業間諜木馬在國內傳播升級，該病毒主要通過條碼打印軟件激活工具進行“水坑”攻擊，會聯網下載商業間諜木馬，被攻擊后將導致相關單位遭受嚴重損失。目前，云主機，騰訊電腦管家、騰訊T-Sec 終端安全管理系統（騰訊御點）均可攔截并查殺該病毒，同時提醒廣大企業用戶年底不應掉以輕心，強化內網安全以防中招。

（圖：騰訊T-Sec 終端安全管理系統）

據騰訊安全威脅情報中心檢測數據統計，此次有多家企業受到AZORult商業間諜木馬攻擊影響，上海、江蘇、廣東、湖北等地，成為本次攻擊受害較嚴重的區域。不法黑客瞄準制造業、商業公司最普遍使用的條碼打印軟件下手，導致木馬影響相關制造、流通領域，以及使用二維碼收付款業務的商戶門店等，對企業的網絡安全構成嚴重威脅。

據騰訊安全專家介紹，AZORult商業間諜木馬善于偽裝，關閉系統安全防護功能，令普通用戶難覓蹤跡。一旦入侵成功，即可獲得對目標電腦的完全控制權，掃描受害者的環境，竊取登錄密碼、Cookie、瀏覽歷史記錄等個人信息。同時，還會嘗試從大量程序中獲取賬號密碼等敏感信息，并關閉中毒系統的安全防護功能，危害極大。

應用水坑攻擊是AZORult商業間諜木馬大肆蔓延的重要原因之一。如同埋伏在水坑旁等待前來喝水的獵物一樣，信息安全領域的水坑攻擊，是APT攻擊的一種常用手段，不法黑客通過分析被攻擊者的網絡活動規律，尋找被攻擊者經常訪問的網站弱點，入侵這些防御措施相對薄弱的服務器并植入惡意程序，當用戶訪問了這些網站，就會遭受感染。

而在本次AZORult商業間諜木馬攻擊事件中，攻擊者首先通過入侵條碼打印軟件激活類工具，隨后利用這些工具發起水坑攻擊。當用戶下載條碼標簽打印軟件，對軟件進行激活破解時，就會通過Powershell命令從遠程服務器下載勒索軟件。如果此時用戶缺乏足夠的安全意識，點擊運行下載的文件就會遭受AZORult木馬的攻擊。

年關將至不少病毒開始趁亂作惡，為更好地遏制AZORult商業間諜木馬帶來的擴散態勢，騰訊安全反病毒實驗室負責人馬勁松建議廣大企業網絡管理員，統一使用正版軟件，站群服務器，避免通過破解工具進行激活；同時，建議企業用戶選擇使用騰訊T-Sec 高級威脅檢測系統（騰訊御界）檢測未知黑客的各種可疑攻擊行為，全方位保障企業自身的網絡安全。

（圖：T-Sec 高級威脅檢測系統）