九月初,趨勢科技偵測到數量相當可觀的垃圾郵件活動,專門散播 Locky 勒索病毒最新變種。Locky 是一個相當知名的勒索病毒 Ransomware (勒索軟體/綁架病毒),首次發現於 2016 年初,然而它至今仍在持續演進,並經由多種不同的管道散布,尤其是透過垃圾郵件。我們仔細分析了近期垃圾郵件行動當中所蒐集到的樣本之後發現,網路犯罪集團使用了相當複雜精密的散布技巧,受害者遍布全球 70 多個國家。
在本文介紹的垃圾郵件行動中,歹徒交錯使用了兩種勒索病毒:Locky 和 FakeGlobe。他們會根據使用者點選郵件內惡意連結的時間來決定要提供 Locky 還是 FakeGlobe。因此使用者有可能重複感染兩種勒索病毒。
全球分布狀況與垃圾郵件行動分析
圖 1:第一波垃圾郵件分布情況。
圖 2:第一波垃圾郵件樣本。
此樣本肆虐最嚴重的地區為日本、中國和美國;另有 45% 的數量分散全球其他 70 多個國家,這波垃圾郵件的高峰期大約在 2017 年 9 月 4 日上午 10 點左右 (UTC+4)。這段期間,我們總共大約攔截了 298,000 封垃圾郵件。 繼續閱讀
由於害怕手機被有心人士拿走,所以我們都會設置一組手機密碼。但是有時候不小心忘了密碼究竟是什麼,怎麼嘗試都開不了手機,讓人急得像熱鍋上的螞蟻,不知道該如何是好!!!!
莫急莫慌!只要Follow以下步驟,就找回被你遺忘的手機密碼噢!
針對iOS和Android有不同的解套方法,
海盜灣(TPB)或許是最熱門的種子代管網站,常被用來下載軟體和影音檔 – 許多都是非法的。不過使用者可能會付出比預期要多的代價,因為該網站被發現會利用訪客電腦來開採門羅幣(Monero)作為額外的收入。
在一篇部落格文章中,網站管理員提到他們正在測試一種JavaScript採礦程式好產生足夠收入以擺脫所有的網站廣告。該文章還提到程式碼內的一個小錯誤會導致用到訪客電腦的所有運算能力。這已經被修正到只允許使用20-30%。使用者在網站上找到指向Coinhive服務的程式碼,這是海盜灣(TPB)所使用的採礦程式。
網友對這舉動的反應很兩極,有些使用者讚許這是可以賺取更多收入的方法,而另一些使用者對於電腦資源在不知情下被使用而反感。總的來說,大多數使用者都認為海盜灣(TPB)應該在採礦程式的使用上更加透明,並給予使用者是否志願提供運算資源的選擇。
不過海盜灣(TPB)會選擇門羅幣也是件有意思的事情。數位貨幣本身是合法的,但它也被捲入最近的惡意軟體攻擊。早在五月份,Adylkuzz木馬程式(趨勢科技公司偵測為TROJ_COINMINER.WN)利用EternalBlue漏洞(跟WannaCry所用的一樣)竊占使用者資源來挖掘門羅幣。近來跟數位貨幣有關的惡意軟體一直在增加,因為相對於傳統貨幣的便利性和匿名性,讓它們成為受網路犯罪分子歡迎的目標。 繼續閱讀
趨勢科技發現惡名昭彰的EITest攻擊活動利用技術支援詐騙這種社交工程手法來散播JavaScript(JS)數位貨幣採礦程式(趨勢科技偵測為HKTL_COINMINE)。會冒充技術支援服務來欺詐不知情的受害者,騙他們電腦感染了惡意軟體,需要付費解決。
EITest攻擊活動主要是利用受駭網站進行。它的活動可以追溯到2014年,曾經使用Angler漏洞攻擊套件來散播勒索病毒。從2017年1月起,它轉向利用“HoeflerText”(一套受歡迎的字型)網路釣魚攻擊或技術支援詐騙。在一個月的時間內,我們發現了990個受駭網站被注入惡意腳本,將潛在受害者轉向到技術支援詐騙網站。不過最近他們將Coinhive JS採礦程式加入攻擊行動,將受害者電腦轉變成門羅幣礦工。分析結果還顯示這個JS數位貨幣採礦程式跟“Pirate Bay(海盜灣)”網站上所發現的“Coinhive”JS採礦程式是同一個。
延伸閱讀:電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財!
圖1:觀察Coinhive相關流量的時間表
註:我們看到ElTest在9月19日開始加入數位貨幣採礦(紅色圈圈處)。
圖2:EITest技術支援詐騙的受害國家分佈
攻擊鏈
當使用者訪問受駭網站時,網站會透過HTTP請求的使用者代理資訊來識別瀏覽器類型。如果使用者用的是Chrome瀏覽器,就會直接向網頁注入釣魚網頁腳本。我們最初的測試顯示攻擊不會影響Firefox。 繼續閱讀
疑似由北韓人士主導的攻擊事件,成為熱門資安研究主題。例如,據部分報導指出,惡名昭彰的 2014 年索尼影業駭客攻擊事件是北韓的攻擊者所為。許多人也對 Lazarus 很感興趣,據稱 Lazarus 是與北韓有關的集團組織,針對一些全球性銀行展開攻擊,企圖竊取龐大的金額。
在本篇文章中,我們將探討幾場較小規模的攻擊事件。據稱這幾場攻擊事件的行動組織連續攻擊韓國能源及交通行業的重要目標,為時三年以上,這些攻擊被稱為 OnionDog。我們進行了更為徹底的查證,並獲得了有趣的結論:OnionDog 並非鎖定目標的攻擊,而是一場資安演習。
OnionDog 首次於 2013 年出現。在 2016 年,有關 OnionDog 的報導指出,它們可能是 2013 年韓國能源及運輸公司攻擊事件的幕後黑手。我們已知約 200 件 OnionDog 獨特樣本,乍看之下,它看來像是規模小,但仍具有影響力的攻擊組織。
Qihoo 360 的 Helios Team 提出一份報告,非常詳細地分析了 OnionDog。這份報告包含 OnionDog 的入侵指標 (IoC),例如惡意檔案的雜湊 (hash),以及八個特定的命令及控制 (C&C) IP 位址,而這些 IP 位址確實是受到惡意程式感染電腦的回呼位址。攻擊者的目的看似並無惡意,只是為了記錄哪些目標成為這場網路安全演習的受害者。趨勢科技查找了這八個 IP 位址的網域解析歷程,獲得資訊如下: 繼續閱讀