惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤


搭上 Intel CPU 漏洞順風車的釣魚信件,以「重大漏洞–重要更新」為餌,內含聲稱導向 Meltdown、Spectre 修補程式下載網頁的連結,不但使用SSL加密還冒用政府單位字樣的網域名,受害人稍不留意就掉入陷阱。

一月初,資安研究人員發現了 Meltdown 和 Spectre 兩個今日 CPU 設計上的資安漏洞,並且公布了詳盡的技術細節。根據研究人員指出,全球數十億裝置皆可能因這些漏洞而讓惡意程式竊取應用程式正在處理的資料。儘管處理器廠商們去年就已接獲通報,並在幾個月前著手開發修補更新,但直到最近才等到聯合公布的時機。Apple、Microsoft 和 Google 皆已釋出必要的修補更新來防範相關漏洞攻擊。

惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤

Meltdown 漏洞所影響的是 Intel 處理器,可能讓駭客取得系統權限並存取應用程式和作業系統記憶體中的資料。至於 Spectre 則是影響 Intel、Advanced Micro Devices (AMD) 及 Advanced RISC Machine (ARM) 處理器,可能讓駭客竊取系統核心或快取中的檔案或資料,例如:執行中程式存放在記憶體中的密碼、金鑰等等。

儘管如此,使用者在嘗試下載修補更新時務必小心,因為網路犯罪集團已利用 Meltdown 和 Spectre 的這波新聞熱潮來散布惡意程式。其中之一,就是德國在政府單位針對網路釣魚郵件發布警告之後出現的 SmokeLoader 惡意程式。

假冒來自德國聯邦資訊安全局 (BSI)的釣魚網站啟用 SSL 連線

這些郵件會假冒來自德國聯邦資訊安全局 (BSI)。研究人員指出,其網域含有一個啟用 SSL 連線的網路釣魚網站,該網站不屬於任何政府機構所有,只是假借政府名義誘騙民眾安裝惡意程式而已。該網站有個頁面會連結至 Meltdown 和 Spectre 的相關資源,但其中有些連結卻是指向一個含有惡意程式的 ZIP 壓縮檔。使用者一旦下載到該檔案並且在電腦上執行,電腦就會被植入 SmokeLoader 惡意程式。接著,SmokeLoader 會再下載其他惡意程式到電腦上執行。此外,研究人員也指出該惡意程式會嘗試連線至多個網域並送出一些加密過的資訊。

企業注意! 變臉詐騙不再使用執行檔

有些變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)電子郵件現在已不再使用執行檔為附件,而是改用 HTML 網頁。因為含有執行檔的電子郵件通常會被垃圾郵件過濾軟體列為可疑郵件,但 HTML 檔案則不會,因為惡意 HTML 檔案較難被偵測,除非可證明是網路釣魚網頁。而且,網路釣魚網頁的程式碼撰寫起來較為容易,又可在任何平台上通用。

雖然網路釣魚已是網路上最古老的詐騙手法之一,但使用者和企業機構至今仍深受其害。事實上,根據「網路釣魚工作小組」(Phishing Working Group) 的 2016 年第二季報告指出,該季偵測到的非重複網路釣魚網站數量達到巔峰

10招防網路釣魚

使用者可採取以下 10個做法來防範網路釣魚攻擊,包括:

  1. 遇到任何要求提供個人資訊的情況都應提高警覺。
  2. 查看寄件人名稱來確認電子郵件的真實性。
  3. 在下載檔案之前,務必先與其來源再次確認,就算來自看似可靠的來源。
  4. 查看一下連結顯示的網址是否與背後的網址吻合,除非百分之百確定連結沒問題,否則切勿開啟。
  5. 注意一些文法上的錯誤或錯字,正派的企業會小心核對其發布的內容以避免錯誤,所以通常不會犯這類明顯的錯誤。
  6. 別被看似嚴重的信件嚇到就驚慌失措。
  7. 從郵件內容當中發掘網路釣魚的痕跡,空泛的標題及問候,通常是網路釣魚的徵兆。
  8. 啟用電子郵件用戶端內建的安全功能來過濾郵件。
  9. 注意郵件內容當中是否有不尋常的訊息。
  10. 相信自己的直覺:如果看似可疑,那很可能就有問題。千萬別經由訊息或郵件將個人身分識別資訊提供給未經確認的對象。

 

原文出處:SmokeLoader Malware Found Spreading via Fake Meltdown/Spectre Patches

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數 惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤 惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤 惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤

 


銀行木馬程式 CONFICKER/DOWNAD 出道九年依然肆虐?舊版 Windows 未修補的漏洞是關鍵!


銀行木馬程式 DOWNAD (又名 CONFICKER,趨勢科技命名為 DOWNAD 家族) 首次現身於 2008 年,是當時破壞力最強的惡意程式之一,高達 9 百萬台電腦受到感染,全球皆聞之喪膽。儘管 DOWNAD 現身至今已將近十年,而且已過了巔峰期,但它並未徹底消失。讓我們回顧一下 DOWNAD 這九年來的一些數據,就能理解為何它至今仍是全球最普遍的惡意程式之一。

巔峰時期曾經創下全球 9 百萬的感染案例, 至今每月偵測數量仍維持在 2 萬以

DOWNAD 在巔峰時期曾經創下全球 9 百萬的感染案例。四年之後,DOWNAD 仍是當年最紅的惡意程式,全球偵測數量仍有 250 萬左右 (2,564,618)。到了 2013 年,DOWNAD 數量銳減,從第一季的 74.1 萬一路下滑至第四季的 22.9 萬,原因應該是越來越多使用者已升級至新版 Windows 作業系統,因此它少了可攻擊的漏洞。但儘管如此,DOWNAD 仍位居 2013 年惡意程式排行榜榜首,偵測總數高達 180 萬左右 (1,824,000)。到了 2014 和 2015 年依然維持同樣情況,DOWNAD 仍穩居企業惡意程式年度感染數量前二名 (不論大型企業或中小企業),分別為 288,374 和 298,000。

Figure 1: Tracking the detections for DOWNAD from 2012 to 2016

圖 1:2012 至 2016 年 DOWNAD 偵測數量。

儘管在過了顛峰之後 DOWNAD 的感染情況已經緩和下來了,但根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2016 和 2017 年的 DOWNAD 偵測數據顯示,該惡意程式每月偵測數量仍維持在 2 萬以上,所以依然還是相當活躍。

這樣的情況多年來一直相當穩定,如果只看最近兩年的話,WORM_DOWNAD.AD 的偵測數量一直維持在一定水準,只有些微的起伏變化:

Figure 1: Monthly WORM_DOWNAD.AD detections for 2016 and 2017

圖 2:2016 和 2017 年 WORM_DOWNAD.AD 每月偵測數量。

主要分布於三大產業:政府、製造和醫療

DOWNAD 主要分布於三大產業:政府、製造和醫療,占 2016 年所有 WORM_DOWNAD.AD 偵測數量的 34%,同時也占 2017 年的 41%。這些產業的企業通常比較專注於原本的專業領域,所以不像一些科技相關產業 (如軟體和委外服務) 那麼重視技術升級投資。此外,這些產業的企業由於規模和複雜度的緣故,系統升級需耗費龐大的人力和時間,而這些都是 DOWNAD 為何在這些產業特別興盛的原因。

Figure 3: WORM_DOWNAD.AD detections across different industries in 2016

圖 3:WORM_DOWNAD.AD 在各產業的分布 (2016 年)。 Continue reading “銀行木馬程式 CONFICKER/DOWNAD 出道九年依然肆虐?舊版 Windows 未修補的漏洞是關鍵!”


迎戰AI世代 趨勢科技打造T-Brain競賽、XGen Security Lab 真實數據培育軟體人才  加速產業AI化


【2018年1月16日,台北訊】全球網路資安解決方案領導品牌趨勢科技(東京證券交易所股票代碼:4704)長期致力扶植台灣優秀人才,因應人工智慧時代來臨,軟體人才培育已刻不容緩,為協助台灣產業及人才全面升級,趨勢科技今日公布最新人才培育計劃。T-Brain 競賽將採用企業所提供的真實商業資料為比賽資料集,不僅讓參賽者可實際運用AI技術鍛練解決商業問題的能力,並可協助業界驗證AI人工智慧在協助商業應用發展上的可能性;同時,以培養有作戰實力資安人才為目標的趨勢科技白帽菁英養成計畫於今年正式成立XGen Security Lab,將提供全世界跨區域真實病毒樣本為學子研究實驗資料,成為未來資安人才的最佳試煉場域。期許透過兩項計劃加速推動企業與學界的合作激盪,一同為未來AI科技應用發展及新生代人才貢獻心力。

 

迎戰AI世代 趨勢科技打造T-Brain競賽、XGen Security Lab 真實數據培育軟體人才  加速產業AI化

圖說: 趨勢科技團隊與台灣大學資工系教授林守德共同參加於趨勢科技 XGen Security Lab 所舉辦的媒體說明會

AI世代人才和數據為發展核心

根據Gartner預測[1],人工智慧為2018年第一大戰略領域,國際大廠也紛紛投注研發資源致力人工智慧技術發展。如何結合人工智慧強化自身能力將是台灣企業能否成功數位轉型的關鍵挑戰。趨勢科技台灣暨香港區總經理洪偉淦表示:「隨著科技變革與客戶服務需求,趨勢科技近年來大力於內部推動機器學習技術的研發人才培育,也積極佈局AI人工智慧的研究與應用。不僅於此,藉由推動T-Brain競賽提供人才運用新技術的機會,加速台灣產業AI化進程。此外,面對更多元與複雜的資安威脅,趨勢科技持續以實際行動培養資安人才,XGen Security Lab將提供學子難得的國際級資料樣本,以實戰經驗提升台灣資安實力。」

Continue reading “迎戰AI世代 趨勢科技打造T-Brain競賽、XGen Security Lab 真實數據培育軟體人才  加速產業AI化”


【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?


【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

在這個社群網路快速擴張的時代,不僅是年輕人,小孩、大人們的FB、Ig使用率居高不下。但因為能輕易上傳日常生活動態以及刊登個人資訊得緣故,您公開的資訊,很有可能會被不法分子盯上。

別幫闖空門的小偷做好了行程規劃

最常見的例子就是許多人出遊打卡時,也標記了一同出門的親友,並且設定狀態”公開”,看似讓所有認識或不認識的人都分享了你的快樂,但其實也讓不認識的有心人知道你「不在家」的資訊,也提供了明確闖空門的時機了!更別提現在人常常喜歡出國打卡,還沒出遊就公告出國去哪幾天幾夜之類的,如果沒有設定好隱私,也就等於幫闖空門的小偷做好了行程規劃了啊!

因此,除了限制您個人會放在社群網路上的資料外,更要好好設定您的姓名、住址、電話號碼、信箱帳號、照片等的個人資料及隱私等的資訊,避免會容易被不認識的人士也都能看到,最終更有可能會被賣給不肖的業者、不法網站,您的資訊、照片可能會被擅自刊登,甚至可能會遭跟蹤狂跟蹤或是威脅。

因此,在上群網站上公開多數的資訊時,我們根本無從得知會被誰看到。家中的孩子們在使用社群網站時,家長們更要清楚明確地了解並告知孩子社群網站的危險性。除此之外也要與孩子們一同確認個人資料上所記載的內容,進而適當地設定必要的隱私讀取權限。

 

今天趨勢科技3C好麻吉就要來介紹 FB與 IG 的隱私設定,一定要學起來喔!

 

設定FB的公開範圍

1.從右上角進入設定

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

2,從”隱私”中可以設定誰可以看到您的貼文以及好友資訊

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

3.在個人首頁的”關於”中可以設定您哪些的基本資料可以讓誰看到

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

 

 

設定 IG 的公開範圍

將 IG 投稿設定為非公開,僅經過您承認的追蹤者才能看到。

1.首先打開個人首頁,點擊右上方圖示進入”選項”

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

2.再將”不公開帳號”打開即可

【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

在資訊流通快速的時代,個人料的保護十分重要,只要做好這些操作,至少能確保您社群軟體的個資較不易流出囉!

 

Android 趕緊安裝 i3C app,趨勢科技專業線上客服團隊協助您在手機或電腦上遇到的問題。
「 您哪位?」認不出麻吉 LINE 暱稱,好尷尬! 輕鬆更改好友名稱設定

》 看更多  3C 好麻吉提供的小撇步

 

 


【數位加密貨幣採礦夯】黑莓機手機版網站被植入門羅幣採礦程式;北韓駭客也熱衷挖礦?


數位加密貨幣採礦這門生意真是越來越夯,就在上個月,星巴克證實有客戶在手機連上他們阿根廷布宜諾斯艾利斯分店的 WiFi 網路之後,被駭客用來暗中開採門羅幣。除此之外, LiveHelpNow 線上即時技術支援軟體平台所使用的一個 JavaScript 檔案也被發現遭駭客植入瀏覽器專用的 Coinhive 數位加密貨幣開採程式,目前全球有數百個網站都是 LiveHelpNow 的使用者。還有另一起發生在 The Pirate Bay (海盜灣) 網站的案例,該網站被人發現會使用訪客的電腦來開採門羅幣,當成網站的額外收入來源。

最近資安研究人員發現了一個門羅幣 (Monero) 採礦惡意程式 (趨勢科技命名為 TROJ_COINMINER.JA 和 TROJ_COINMINER.JB) 的安裝程式,而開採出來的門羅幣會傳送至位於北韓金日成綜合大學 (KSU) 內的伺服器。另外,一位 Reddit 的使用者也在「TCL通訊科技控股有限公司」所持有的黑莓機 (BlackBerry) 行動網站上發現一個門羅幣採礦程式。

【數位加密貨幣採礦夯】黑莓機手機版網站被植入門羅幣採礦程式;北韓駭客也熱衷挖礦?

門羅幣 (Monero) 採礦惡意程式,企圖將採礦成果傳至北韓境內的大學

這個位於 KSU 的門羅幣開採程式安裝器在安裝時,會複製一個名為「intelservice.exe」的檔案到系統上,這是數位加密貨幣採擴惡意程式的 常見手法。從其程式碼看到的軟體名稱為「xmrig」,是一個專門利用 IIS 伺服器未修補漏洞來開採門羅幣的程式。

報導指出,這個惡意程式,會指示被感染的「宿主」電腦執行挖礦的電腦運算,以獲取加密貨幣「門羅幣」(Monero),並傳送到平壤的金日成大學。駭客輸入密碼KJU(有可能是金正恩Kim Jong Un的英文姓名縮寫)之後,可以獲取使用這些虛擬貨幣。

資安研究人員表示,雖然該軟體的作者是在金日成綜合大學被發現,但不代表作者是北韓人,因為金日成綜合大學會對外招生,因此有許多外國學生和講師。此外,該連結似乎也連不上,所以表示採礦程式並無法將開採到的錢幣傳回給作者。

黑莓機官方的手機版網站含有 CoinHive 數位加密貨幣開採程式

另一方面,一位 Reddit 使用者也在貼文中指出,黑莓機官方的手機版網站含有 CoinHive 數位加密貨幣開採程式。當使用者造訪「www.blackberrymobile.com」網站時,這個採礦程式就會使用訪客裝置的 CPU 效能來開採門羅幣,不過該網站只是目前全球受害網站之一而已。

CoinHive 也針對其服務遭到濫用而出面在 Reddit 討論串上道歉,並且表示駭客似乎是利用了 Magento 網站開發軟體 (或許還有其他軟體) 的漏洞,並且駭入了多個不同的網站。Coinhive 補充道:「我們已經將違反我們服務條款的帳號停權」。

解決方案

採用全方位的資安防護來攔截含有惡意或不肖行為的網站和腳本。趨勢科技 Smart Protection Suites 和 Worry-Free Pro皆能保護使用者與企業並偵測上述威脅與相關網址。此外,趨勢科技Smart Protection Suites  還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能,可有效降低這項威脅。

 

原文出處:Monero Miners Found in BlackBerry Mobile Site, North Korean University Server


智慧交通運輸系統 (ITS)的三重威脅


上個月,趨勢科技發表一份研究報告,詳細探討了未來全自動化線上整合交通運輸網路可能面臨的威脅。這份名為「智慧交通運輸系統面臨的網路攻擊」(Cyberattacks Against Intelligent Transportation Systems) 的研究報告,針對未來即將改變全球工作、移動及商業營運方式的多重交通運輸系統,提供了我們的剖析與觀察。此外,也針對這類系統在整合與營運上可能帶來的資安問題和事件提出一些研究發現。保障智慧交通運輸系統 (ITS) 實體與網路基礎架構的安全,不論對誰都是一項艱難的挑戰:要怎樣做才能防止如此龐大的系統遭到網路攻擊?這對那些必須承擔責任者 (如資安長CISO) 尤其沉重。首先,第一步就是要了解自己所面臨的威脅為何,以及 ITS 當中的高風險領域在哪。

智慧交通運輸系統 (ITS)三重威脅

我們在研究報告當中指出了智慧交通運輸系統 (ITS)可能面臨的三大攻擊類型:網路攻擊、無線攻擊、實體攻擊。我們採用了業界標準的 DREAD 威脅模型 (D:破壞潛力、R:再現性、E:可利用性、A:受影響的用戶、D:可發現性) 來評估 ITS 可能面臨的各種威脅之後發現,網路攻擊可能是 ITS 所面臨最具破壞力的威脅,其次是無線攻擊,最後才是實體攻擊。

智慧交通運輸系統 (ITS)的三重威脅

這一點其實不難理解,因為 ITS 是由多重系統所構成,這些系統不僅連網,而且還包含大量彼此溝通的物聯網 IoT ,Internet of Thing)裝置。因此理所當然地,網路攻擊具備了最大的破壞潛力。除了針對性攻擊/鎖定目標攻擊(Targeted attack )可能導致系統內的裝置失靈,進而造成營運中斷之外,網路攻擊還可能導致資訊遭竊或資料外洩,兩者都將造成營業損失。許多 (縱使並非全部) 專門攻擊智慧交通運輸系統 (ITS)或類似系統的駭客,如:國家資助的團體、網路犯罪集團、駭客激進主義團體、恐怖分子等等,都很擅長網路攻擊,因此智慧交通運輸系統 (ITS)不僅很可能遭到網路攻擊,而且應該說無可避免。 Continue reading “智慧交通運輸系統 (ITS)的三重威脅”


< 資安新聞週報 >別再互聯網+,今年開始是「+AI」/智慧喇叭暗藏漏洞/散播Cerber 嫌犯:以 30% 不法獲利跟駭客分紅


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

媒體資安新聞精選:

監視器遭駭 女洗澡遭直播2人盯著看      三立新聞網

假冒安全防毒 App被踢爆!蒐集用戶資料騙廣告點擊   自由時報電子報

Google 刪除 Play 商店 36 款 假防毒真騙點擊 的廣告應用程式        電腦王阿達

要求多餘權限? 小心app竊取個資  LineToday

「麥克風沒搞鬼 是經用戶授權」 用戶控App竊聽 今日頭條否認      聯合報

晶片資安漏洞 蘋果產品全中招  台灣蘋果日報

降低CPU漏洞攻擊風險,AWS更新EC 2執行個體  iThome

CPU「推測執行」漏洞已有6種概念性驗證攻擊出爐     iThome

老筆電用戶注意!微軟公佈 Intel 漏洞「降頻最多」電腦型號     自由時報電子報

全球晶片爆漏洞 搶修復更恐怖  自由時報

英特爾晶片出包 企業善後頭痛 急著更新作業系統迷補漏洞,又怕拖慢電腦速度    工商時報

10個Q&A快速認識Meltdown與Spectre兩大CPU漏洞攻擊(內含各廠商修補進度大整理)        iThome

9成手機電腦陷危境 英特爾晶片漏洞傳或引爆集體訴訟       鉅亨網

晶片漏洞恐釀資安天災 專家教你如何自保!  自由時報電子報

CPU漏洞:微軟釋出Windows、Azure安全更新      iThome

2大安全漏洞 手機電腦都中  Google揭露 英特爾微軟急推修補措施  台灣蘋果日報

英特爾出包 掀電腦風暴 爆出史上最嚴重晶片安全漏洞 拖累股價重挫 宏碁、華碩等新機出貨恐受衝擊        經濟日報(臺灣)

《國際產業》證實晶片有漏洞,英特爾:與同業合作修復    中時電子報網

〈英特爾處理器漏洞〉台廠已進行軟體更新 銷售出貨動能不受影響  鉅亨網

AI策略佈局高峰會 產學激盪擘劃台灣AI發展方向 電子時報

【有恆為 AI 成功之本】別再互聯網+,今年開始是「+AI」  INSIDE

加密貨幣交易所Binance出現山寨釣魚網站 直接騙錢不手軟       網路資訊雜誌

加密貨幣開年瘋狂 美國三大監管機構齊發風險警告      鉅亨網

駭客入侵香港2旅行社 勒索比特幣  聯合新聞網

掃不出來的 PyCryptoMiner 殭屍病毒開始崛起,中獎就淪為挖礦機器        電腦王阿達

Google Wallet與Android Pay合併為Google Pay  ITHOME

中國支付寶承認收集用戶資訊並道歉        美麗島電子報

微軟公佈CPU漏洞修補後的效能測試,愈舊的作業系統與CPU效能下降愈有感       iThome

合作夥伴廠商測試結果顯示 新發佈的安全更新並不會影響實際部署的效能      CompoTech Asia 電子與電腦

全球手機電腦晶片存漏洞 資安專家2點建議  台灣蘋果日報網

Intel 與軟體夥伴舉出測試數據,顯示軟體更新對實際使用影響微乎其微   癮科技

安全漏洞危機成轉機 分析師看好晶片業前景  經濟日報網

F5 Networks:app成所有互動與創新的心臟     中時電子報網

網路攻擊日益頻繁  主動防護更為關鍵     電子時報

《Wired》精選網路「惡人榜」:2017 年網路上最危險的十個人  TechOrange

國際/美國安局機密外洩案 包商認罪 中央日報網路報

確保資安 政院要求勿買白牌產品      自由時報

53項洗錢警示機制 銀行緊鑼密鼓建置     工商時報

AI趨勢雙周報第24期:科技部中文語音對話正式賽開跑,祭出3千萬獎金培養臺灣AI人才 iThome

隨身碟隨處插 當心病毒上身      自由時報

學者:境外網攻台灣升級    自由時報

印度生物辨識卡資料庫再傳安全漏洞        中央通訊社商情網

WD 的 My Cloud 私有雲被爆存有漏洞達半年,駭客可遠端駭入至今未修復     T客邦

一年造成4500億美元損失 圖解駭客襲擊背後的動機    鉅亨網

Experian物聯網大勢預測:安全問題待解及轉向邊緣運算     電子時報

Votiro為其Email閘道安全防護解決方案推出重要的產品強化      iThome

開幕在即 2018 CES值得關注的五大技術看點  itritech

金管會盯資安 瞄準壽險App、報廢設備   經濟日報網

假冒駭客調查個人資訊 獵網平臺揭秘「黑吃黑」騙局  中央日報網路報

Continue reading “< 資安新聞週報 >別再互聯網+,今年開始是「+AI」/智慧喇叭暗藏漏洞/散播Cerber 嫌犯:以 30% 不法獲利跟駭客分紅”


Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式


根據資安研究人員指出,Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service,簡稱 SaaS) 平台端,因此攻擊行動不易偵測,且攻擊時不需假使用者之手,因此使用者可能不會察覺。

Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式
Google Apps Script漏洞恐讓駭客經由 Google Drive散布惡意程式

Google Apps Script 是一個 JavaScript 開發平台,可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。

該漏洞跟 Google Apps 的分享與自動下載功能有關

根據研究人員指出,這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。

在此手法當中,駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時,會要求使用者執行一個 Google Apps Script 腳本,接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。

[TrendLabs 資訊安全情報部落格:qkG 檔案加密病毒:可自我複製的文件加密勒索病毒]

這項研究發現,突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上,軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service,簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力,總營收達到 586 億美元。只要建置得當,SaaS 可提供企業彈性、客製化、可擴充的解決方案,實現企業流程及營運最佳化。

SaaS 開始普及,引來網路犯罪集團的覬覦 Continue reading “Google Apps Script 漏洞,恐讓駭客經由軟體服務 (SaaS) 平台散布惡意程式”