趨勢科技 TrendMicro | 資安趨勢部落格

多平台 APT 攻擊瞄準線上博弈網站

2022 年 06 月 07 日2022 年 06 月 01 日趨勢科技 TrendMicro

趨勢科技披露了 Earth Berberoka 在各平台上用來攻擊線上博弈網站的工具和技巧。

New APT Group Earth Berberoka Targets Gambling Websites With Old and New Malware

Earth Berberoka 攻擊行動解密

Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Campaign Targeting Online Gambling Sites — 下載「Operation Earth Berberoka：專門瞄準線上博弈網站的多管道、多平台進階持續性滲透攻擊 (APT) 行動分析」。

趨勢科技發現了一個專門瞄準線上博弈網站的「進階持續性滲透攻擊」（APT 攻擊）集團，我們將這個集團命名為 Earth Berberoka (亦稱 GamblingPuppet)，他們使用中國駭客的升級版舊式惡意程式家族，如 PlugX 與 Gh0st RAT，此外也用到一個全新的多重階段惡意程式家族 (我們命名為「PuppetLoader」)。Earth Berberoka 使用了多種平台的惡意程式家族來攻擊 Windows、 Linux 和 macOS 作業系統。

攻擊目標

根據趨勢科技的分析， Earth Berberoka 的主要攻擊目標是中國境內的線上博弈網站。但也有證據指出他們曾經攻擊非博弈網站，包括某個教育相關的政府機關、兩家 IT 服務公司，以及一家電子製造商。

從 2020 年 12 月 12 日至 2022 年 4 月 29 日，趨勢科技總共在中國境內記錄到 15 次冒牌 Adobe Flash Player 安裝程式下載，其中有 8 次是從某個網站重導到惡意的 Adobe Flash Player 網站 (5 次從美國的合法新聞網站，3 次從某個不明網站，其中 2 次來自香港，1 次來自馬來西亞)，並且在台灣境內偵測到 1 次 PlugX DLL 下載。

繼續閱讀

小心黑函與性愛勒索電子郵件

2022 年 06 月 07 日2022 年 05 月 09 日趨勢科技 TrendMicro

在後疫情時代，許多人現在都改在家工作(Work-From-Home,WFH)，使得企業的資安規定鞭長莫及，所以詐騙集團正利用這個機會來誘騙並威脅受害人。其中一種詐騙手法就是性愛勒索郵件(Sextortion Emails)，歹徒會利用某種可能讓你覺得丟臉的性愛內容來要脅你，以便達到他們的目的。比方說，他們會在郵件中宣稱已經錄下你看 A 片自嗨的畫面。

還有一種詐騙是黑函(Blackmail )歹徒會宣稱已經取得了你公司、個人或健康方面的資訊，並威脅你如果不支付贖金的話，就要將照片、影片或機敏資料發送給你的所有聯絡人。像這樣的詐騙相當普遍，而且會持續不斷演進。

小心黑函與性愛勒索電子郵件 — **性愛勒索郵件(**Sextortion Emails)，歹徒會利用某種可能讓你覺得丟臉的性愛內容來要脅你，以便達到他們的目的。比方說，他們會在郵件中宣稱已經錄下你看 A 片自嗨的畫面。

◼延伸閱讀: 「不給錢，就公開你看色情網站的側錄影片」收到性愛勒索郵件該做的五件事「你瀏覽色情網站，已被側錄」性愛勒索出現 LINE 版!

這類詐騙看起來是什麼樣子？

這類詐騙的郵件內容通常千篇一律，唯一修改的只有收受你贖金的比特幣Bitcoin錢包位址。

以下就是一個範例：

繼續閱讀

加密貨幣騙局再進化,Deepfake 移花接木影片,利用馬斯克背書

2022 年 06 月 06 日2022 年 06 月 06 日趨勢科技 TrendMicro

世界首富特斯拉執行長馬斯克 (Elon Musk)，常常公開支持加密貨幣，每每引發幣圈熱議。馬斯克在幣圈的號召力，只要他提到的數位貨幣，都能大漲。同樣是富豪的比爾蓋茲則相對保守，他認為加密貨幣的去中心化及價格不穩定是兩大風險,甚至警告：「如果你不像馬斯克那麼有錢，你就應該小心了。」
還有比爾蓋茲沒有提到的另一個風險:「假馬斯克」加密貨幣詐騙。
「假馬斯克」成了加密貨幣詐騙集團的慣用手法,美國聯邦貿易委員會（FTC）2021年5月表示，假冒馬斯克的比特幣騙局，至少詐200 萬美元。近日甚至還有人用 Deepfake(深偽技術) 冒充馬斯克為詐騙加密貨幣交易平臺背書。

加密貨幣詐騙打著馬斯克名號,利用YouTube和簡訊散播

冒用馬斯克(Elon Musk)的名號對詐騙者來說並不是什麼新招式。他們經常利用他的名字來誘騙受害者親手送上辛苦錢，包含加密貨幣。

請繼續看下去，來了解這近日值得注意的熱門「假扮馬斯克」相關加密貨幣詐騙！

⚠「假馬斯克」加密貨幣詐騙 – Elon Musk YouTube Shorts 詐騙

YouTube Shorts 是YouTube在2021年7月推出的短影片分享平台。最近詐騙者也一直在濫用這個平台來廣告假的加密貨幣網站，並且假裝這些網站得到了馬斯克的背書。

Elon Musk_YouTube Search Results_20220528 — 詐騙者投放了大量的馬斯克相關詐騙在YouTube Shorts上

繼續閱讀

什麼是釣魚簡訊（Smishing或SMS phishing）？

2022 年 06 月 06 日2022 年 06 月 14 日趨勢科技 TrendMicro

網路釣魚簡訊是一種以手機簡訊為平台的網路釣魚攻擊手法。歹徒的攻擊目的是要蒐集個人資訊，包括：身分證號碼或信用卡卡號。網路釣魚簡訊是經由手機文字簡訊 (SMS) 來發送，因此才會叫作「SMiShing」。

釣魚簡訊（Smishing或SMS phishing）試圖用簡訊來誘騙受害者給出個人資訊。

釣魚簡訊（Smishing或SMS phishing）是一種網路釣魚手法，試圖用簡訊來誘騙受害者給出個人資訊。釣魚簡訊已經成為越來越受網路犯罪分子歡迎的一種策略，所以認識這種攻擊是件相當重要的事情。

繼續閱讀

一條釣魚網址,瞬間蒸發千萬!從周杰倫消失的無聊猿,NFT 新手學到什麼?

2022 年 06 月 02 日2022 年 06 月 03 日趨勢科技 TrendMicro

價格不菲的「無聊猿」是無聊猿遊艇俱樂部 (BAYC) 推出的1萬隻各有獨特表情的猿猴NFT作品，竄紅之後,很多網友跟風把社群帳號頭像換成了「無聊猿」,還調侃說自己省了18萬美元。周杰倫在今年愚人節之前也有一隻黃立成送他的無聊猿,但在4 月1 日當天卻被偷了,起因於一條網路釣魚連結!這事件給 NFT 玩家什麼啟示?本文剖析事件流程,也給 NFT 玩家一些資安建議。

<!-- wp:image {"id":72639,"sizeSlug":"large","linkDestination":"media"} -->
<figure class="wp-block-image size-large"><a href="https://blog.trendmicro.com.tw/wp-content/uploads/2022/05/一條釣魚網址瞬間蒸發千萬從周杰倫消失的無聊猿NFT新手學到什麼.png"><img src="https://blog.trendmicro.com.tw/wp-content/uploads/2022/05/一條釣魚網址瞬間蒸發千萬從周杰倫消失的無聊猿NFT新手學到什麼-1024x538.png" alt="" class="wp-image-72639"/></a></figure>
<!-- /wp:image -->

名人被駭事件,從粉專被盜轉向 NFT 詐騙

名人被駭事件層出不窮,前兩年最火的是FB 臉書粉專被盜。包含導演吳念真、名人486先生、藝人小禎、藝人郭彥甫等名人的粉絲團頻傳「被消失」。

還有就是被盜圖代言賣假貨:除了瘦身成功的藝人小禎遭詐騙集團盜圖代言假貨,怒斥「一定很難穿」！外,去年疫情升溫那一波,林心如急著澄清:我沒有代言血氧機! 還有名嘴表示那個下殺 10/1 的防疫面罩,是盜圖。

時有所聞的「視訊鏡頭被駭」也在去年找到正妹電玩實況主,另外就是網紅Youtube帳號被盜頻傳。

然而在今年上半年名人被駭事件加入了新的手法,那就是 NFT 被盜。這不只是只有 A 咖天王巨星才該擔心的事,別忘了我們一再提醒:「人,才是最大的安全漏洞。」社交工程（social engineering ）陷阱,隨時守株待兔,等著打你的主意。

在天王周杰倫NFT 被駭之前,「Phanta Bear」幻想熊 NFT 發行人,藝人劉畊宏2月初發布聲明,指社群平台兩度被駭客入侵，共有58人誤點詐騙鏈結，導致財產損失14.14乙太幣（約118萬台幣）。3月還有演員紀培慧誤將詐騙訊息，錯看成認證社團的公告內容，點進連結進入NFT釣魚網站花0.12以太幣（約台幣1萬元），買了不存在的 NFT。港星余文樂日前也自爆「曾被NFT詐騙」項目創紀錄交易量逾10億。

一張隨時都能免費下載的圖片,有可能比真跡還貴嗎？過去看來也許這是個笑話,但經過 NFT（Non-Fungible Token,非同質化代幣）認證的數位作品,正以稀有性顛覆傳統藝術價值。

有人用 9.5 萬美元買下名畫,燒掉再4 倍價賣出數位版,夠瘋狂吧?一個名為「白痴」（Morons）的畫作上面寫著:「我真不敢相信你們這群白痴真的會買這個」,用以諷刺了1987年拍賣梵谷向日葵創紀錄的銷售歷史。今年3 月一家區塊鏈公司經過激烈角逐買下「白痴」之後，在直播中燒燬它，但隨後以 NFT形式拍賣，競價最高者花費了 38 萬美元買下了它。

許多人對 NFT （Non-Fungible Token,非同質化代幣）躍躍欲試，期望也可以一夜暴利致富,但獲利越高、風險越大，也可能血本無歸。 NFT 使用者除了只透過正式的通路與合法對象進行交易之外,養成良好的網路資安習慣也是防範威脅的一項重要關鍵。

趨勢科技觀察 2021年下半年在全球總計已偵測逾65萬筆與NFT投資詐騙相關的惡意連結，台灣偵測數量高達5.3萬筆，占全球總偵測數量的8％，顯見NFT投資詐騙，已經成最新的行騙犯罪工具之一。本文將剖析周杰倫「無聊猿」NFT 遭駭事件,提醒NFT 新手該知道防盜三件事。

周杰倫 NFT 詐騙案件全解析

4月1日這天周杰倫在Instagram上發文,無奈地表示他的編號3738無聊猿NFT被網路釣魚偷走了:

「我朋友為了幫我mint黃立成大哥的新項目，結果大哥送我的猴子被釣魚網站偷了我以為愚人節在跟我開玩笑…..結果去查看，真的沒了…」( 註:「mint 」意指鑄幣、打造 NFT）

周杰倫口中的猴子, 就是有「NFT 之王」之稱.當今價格最高的 NFT 收藏品:無聊猿（Bored Ape Yacht Club）, 今年一月的地板價正式突破100 枚以太幣(ETH) (約 26 萬美金)。

該 NFT 隨即在交易平台上多次高價轉手，先後以133以太幣（約1240萬元台幣）、155以太幣（約1400萬元台幣）交易。除此之外，我們還發現了至少還有其他四位受害者，以及其他被詐騙的NFT，在當時總價值超過三百以太幣(三千萬台幣)，本篇文章將會深入探討駭客的手法法,並提醒 NFT 玩家如何自保。

事發過程:從一條無聊猿官方論壇discord的釣魚網址開始

下面圖表描述了周杰倫 NFT 遭詐騙事件的整個過程

⚠1.駭客入侵無聊猿官方論壇discord並放上釣魚網址

⚠2.周杰倫的帳號持有者看到此網址前往釣魚網站

⚠3.周杰倫的帳號持有者以為可以 mint(鑄) NFT，所以核准了錢包的交易

⚠4.駭客藉由周杰倫的核准．取得周杰倫的無聊猿 NFT 權限

⚠5.駭客將 NFT 轉到自己帳號並賣出，共得手169以太幣

我們在鏈上可以看到在交易編號0x16c49cdd40d8be8e3e96e0a99c5892eb6b23330521e125396e646b5dcb746802，駭客把編號3738無聊猿NFT從周杰倫帳號轉走

駭客如何取得周杰倫 NFT 的權限?

駭客是如何得到 NFT 的權限呢?其實是由周杰倫的帳號自行授權的，推測使用者以為是在鑄新的NFT,但其實呼叫的是授權NFT權限的API setApprovalForAll
由下圖可知周杰倫帳號多次呼叫授權API

除了周杰倫外，駭客還從其他兩個使用者另外得手了編號16500變異猿以及編號725編號768的Doodles

駭客將NFT在市場上賣出並匯169以太幣給地址0x6e85c36e75dc03a80f2fa393055935c7f3185b15，該帳號將以太幣匯入混幣器躲避追蹤

除此之外此駭客的兩個上游錢包也盜走了多個NFT，包含了編號9481以及9672無聊猿，和編號6297的clone X，這些NFT在opensea 交易平台上皆已被打上suspicious activity的標籤

周天王被駭後,NFT 新手該知道防盜三件事

1.不要輕易相信網路上的連結

不要直接用google關鍵字來找NFT網站，有些詐騙網站會買廣告讓自己出現在搜索的第一項，盡量藉由可信任的第三方NFT網站連到NFT網站或是discord，比如説opensea就會放上項目的相關網址
NFT的項目方通常會在discord開啟offical-links頻道放上自己的官網連結，出現在這個頻道以外的link不要輕易相信

📌2.錢包授權時請再三確認

鑄NFT時對象應該是智能合約而非個人錢包，可以去地址查詢網站(比如 etherscan)查找你要交易的對象是否為智能合約
請確認你要呼叫的智能合約API
- 請勿隨意簽署 setApprovalForAll 授權給任何你不認識的錢包，否則對方會得到權限並有可能轉走你的NFT
- 如果簽署時你的錢包顯示sending eth而沒有其他API名稱，代表你只是傳送以太幣給對方並不是在鑄NFT

📌3.使用趨勢科技PC-cillin 來多加一層保護，輕鬆管理你的網路安全和隱私
跨平台的PC-cillin 透過最新網頁偵測技術，自動封鎖惡意網頁及詐騙網址，在接觸到可疑詐騙網址前搶先攔阻，大幅減少個資外洩及錢財損失的風險！ >> 立即免費下載試用