Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

在過去幾天裡,趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標,但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體(Ransomware)。這個被偵測為TROJ_RANSOM.BOV勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知(法語:Gendarmerie nationale),俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗,並要求付錢,也就是它綁架系統的贖金。

 

 

 

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

 了感染連上Ladurée網站的法國使用者外,日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上,Ladurée網站就只有法語、英語和日語三種版本。

 利用一家甜點公司的網站,可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標,並且找出潛在的受害者。

 相關攻擊

 在這起攻擊中,攻擊者利用黑洞漏洞攻擊包(Blackhole Exploit Kit)來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時,所用惡意軟體是同個家族,像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外,也會竊取跟一長串程式和網站相關的身分認證,包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。

 趨勢科技注意到這個用來放漏洞攻擊包網址的網域已經被停掉了。根據記錄,它是在2012年2月9日建立的,最後一次更新是在2月14日。這個網域的註冊者用的是.ru的電子郵件地址,這有可能助於找出可疑的嫌犯,不過它也可能只是個被盜用的電子郵件帳號,所以這類的資訊可能並不可靠。例如,WHOIS資料指出網域所有者位在莫斯科,但是電子郵件帳號卻說網域所有者應該是位在離莫斯科4個小時距離的城市。

 我們還發現到位於相同IP網段,跟這次攻擊活動相關的網域。這些相關網站都來自同一個集團,但沒有用在這次的攻擊中。這群駭客集團還偽造了來自義大利、西班牙、德國、比利時等的警方通知。每個網域都是用不同的電子郵件地址註冊的,大多數都是.ru的電子郵件地址,但這很有可能是被盜的帳號。

勒索軟體成為有利可圖的商業模式

 

網路犯罪份子讓威脅變得更加有效和更難清除,也讓他們更有機會去賺大錢。然而,這次的勒索軟體攻擊也證明了,有時最簡單直接的威脅也是有用的。雖然對使用者來說,要求的贖金跟他們的資料價值比起來可能微不足道。但是如果將金額乘上好幾千倍,那麼就是一筆不小的數字,可以用來做出更加複雜,可能也更具破壞性的攻擊。

 

@原文出處:Compromised Website for Luxury Cakes and Pastries Spreads Ransomware作者:Robert McArdle(趨勢科技資深威脅研究員)

 

@延伸閱讀

 什麼是勒索軟體Ransomware?

 荷包縮水,別讓勒索軟體趁火打劫

 勒索軟體盯上非法使用者

 勒索軟體假冒Filefix 挾持檔案要價美金50

 上色情網站,電腦竟當機了? 勒索軟體:「給錢就解除」,2500人付了贖金

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

 PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆,紅色標示危險網址,綠色標示安全網址,即刻試用寫100字心得,有機會獲得防毒軟體及粉絲專屬好禮

 
◎ 歡迎加入趨勢科技社群網站