趨勢科技 TrendMicro | 資安趨勢部落格

專門攻擊 QNAP 網路儲存裝置的 eCh0raix 勒索病毒

2019 年 07 月 17 日2019 年 07 月 16 日趨勢科技 TrendMicro

最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族。這個由威脅情報平台供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒 (趨勢科技命名為 Ransom.Linux.ECHORAIX.A)，據報是專為針對性攻擊而設計的勒索病毒，與之前的 Ryuk 或 LockerGoga 的用途相似。

NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置，可作為資料的集散中心，方便所有使用者存取資料。對許多企業機構來說，這是一種低成本、可擴充的儲存解決方案。據統計，約有 80% 的企業機構皆使用這類裝置。

[延伸閱讀：Narrowed Sights, Bigger Payoffs: Ransomware in 2019]

eCh0raix 分析

eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫，這是一種逐漸被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置，如果位於獨立國協 (CIS) 的某些國家境內，如：白俄羅斯、烏克蘭和俄羅斯，eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括：文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等等。

繼續閱讀

什麼是社交工程（social engineering ）陷阱/詐騙?

2019 年 07 月 16 日2021 年 08 月 23 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 以上是因好奇心中了社交工程陷阱著名案例。

你可以強化各種防禦措施，但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言，「您的許多連線可能都十分安全，唯有椅子和鍵盤之間的這個連線可能造成問題。」

社交工程技巧：操控人類心理的藝術

社交工程技巧涵蓋許多用以操控人類心理，使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套利用目前備受矚目的重大事件與新聞作為誘餌，無論是政治、運動、娛樂性質，同時也不分全球性或地區性。此外，社交工程圈套也可能利用日常活動作為誘餌，例如線上理財、投資、帳單管理以及購物等等。

您今天收到了哪些垃圾郵件？

您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題：

垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如：「您有包裹未取。詳情請點擊以下網址」等的文字記載」或是讓很多 FB 用戶上當的「 12 小時內不驗證你的 Facebook 帳號,將被永久停權」 ,都在企圖誘導收件者進入不正當的網站，此手法近來頻頻可見。包誇近年大舉入侵全球的勒索病毒 Ransomware (勒索軟體/綁架病毒) 。

這些社交工程信件,常利用熱門政治新聞、宗教、文化、社會、環保以及科技活動相關議題，以及名名人八卦、慘劇、天災等等為散播主旨。
每年報稅期間’網路罪犯總會冒用稅務機關的標誌，試圖引誘納稅人中計。中國發生慘烈的大地震期間，風暴傀儡網路隨即散發中國再度遭地震襲擊的假新聞，垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結，一旦按下之後，便會下載一隻如蟲 (WORM_NUWAR.YH) 變更受害電腦設定，使之成為傀儡網路的成員。

無庸置疑：社交工程技巧極為有效

早在病毒問世之際，網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化，但有一個事實從未曾改變：社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感，例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已，對病痛感到畏懼，對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感，藉此引誘人們採取網路罪犯所期待的行動，以便讓他們的惡毒詭計得逞。

社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而，整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言，這個最脆弱的環節指的就是使用者。

社交工程技巧的演進

雖然社交工程技巧已經流傳多年，但仍一再被利用，並且不斷演進。各式各樣的資安威脅，都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在，蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言，利用各地的重大事件或新聞為誘餌，使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測，同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家，這種方式可能特別有效。

什麼是社交工程惡意程式？

社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內，引誘使用者下載並安裝該軟體，藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險，進而導致機密資訊遭盜用竊取、損毀或外流。

由於今日經由網頁感染的惡意程式佔所有惡意程式的50% 以上，因此這類威脅必須透過更精良的技術和資源來防範，而這也是桌上型電腦資訊安全產品目前努力的方向。

如何避免誤觸社交工程信件？

如果信件當中含有網站連結，請將滑鼠移到連結上停一下，看看其顯示的網址是否與電子郵件的來源相同。例如，發信的公司網域名稱與網址所顯示的網域可能不同。
仔細觀察訊息內容，如果它一直在催促您盡快開啟某個附件檔案或點選某個連結，那很可能有詐。
先將附件檔案另存新檔，然後掃描看看是否為惡意檔案，切勿貿然直接從電子郵件內開啟附件檔案。

延伸閱讀:

PC-cillin 雲端版整合 AI 人工智慧的多層式防護，精準預測即時抵禦未知威脅》即刻免費下載試用

2019 下半年勒索病毒將如何發展？

2019 年 07 月 15 日2019 年 07 月 11 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為一種時時刻刻都在演變的惡意程式家族，多年來已出現過多次轉型：從最早的假防毒軟體( Fake AV)，到後來的警察勒索程式，再到今日常見的加密勒索病毒，這項威脅至今仍無消退的跡象。就最近的趨勢來看，趨勢科技預料這項威脅在今年下半年仍將不斷擴張。

多年來，趨勢科技一直持續追蹤勒索病毒的相關情報，以下整理出這幾年所看到的一些變化：

勒索病毒偵測數量逐年比較，資料來源：趨勢科技 Smart Protection Network™

2016年: 1,078,091,703
2017年: 631,128,278
2018年: 55,470,005
2019 年 (1 至 5 月): 43,854,210

新勒索病毒家族數量逐年比較

2016年 : 247
2017年 :327
2018年: 222
2019年 (1 至 5 月): 44

從上述資料可以看出，勒索病毒集團在 2016 和 2017 年間非常活躍，不論是攻擊數量或新勒索病毒家族與新變種的開發。2018 年，我們發現這兩項數字雙雙減少，推測有兩點原因：

繼續閱讀

【詐騙】黑貓宅急騙,跟真正的黑貓官網相似度99%,收到送貨進度簡訊,別點連結

2019 年 07 月 12 日2019 年 11 月 29 日趨勢科技 TrendMicro

黑貓宅急騙，你宅配，我就騙!

最近出現了跟黑貓宅急便相似度極高，但網址不一樣的詐騙網站,網站無法訂購與查看商品,該網站唯一能連結進去的是「會員登入」以及「包裹查詢」,知道詐騙集團要騙的是什麼了吧!
詐騙集團在取得個資後，可能搶在真正貨物抵達前，送假貨到你家門口騙錢，或轉售受害人個資。報導指出調查局資通安全處掌握情資，為跨國網路犯罪集團所為日本、韓國與新加坡都遭類似手法攻擊。

除了騙個資外,趨勢科技發現該詐騙網站還會下載木馬到受害者電腦,且網址不斷改變 ,可能是為了躲避偵測,用戶一定要提高警覺。

防詐提醒：網址是分辨詐騙網站的最快捷徑喔

接獲宅配相關簡訊 ,請勿輕易點選

趨勢科技同時發現,有民眾反映收到這樣的簡訊:
您的包裹已郵件，請查收 hxxps://xxxx1.tumblr.com

165反詐騙也同步在粉專提醒民眾:
近期不少網友接獲一則「快遞已發，請您查收」的簡訊，經查這是「釣魚簡訊」，如果收到請不要點擊連結，也不要下載任何程式、輸入帳號密碼(包含Google 帳號或Apple ID、信用卡帳號密碼等)，如果點進去連結進宅配業者網站(如黑貓宅急便、宅配通等)，接著出現要求安裝.apk檔案，這一定是假的，請提高警覺。

黑貓也在官網發出公告聲明:
由黑貓宅急便發出的簡訊通知皆不會有任何連結，若您收到署名為黑貓宅急便發出的簡訊通知，內容為請您簽收的電子憑證或是網址連結等都可能為詐騙行為，請勿點選網址，如果有疑慮可以撥打黑貓宅急便客服專線412-8888，或是撥打165反詐騙電話諮詢查證，造成不便，敬請原諒。

PC-cillin 雲端版 ,其先進的網路釣魚（Phishing）防範技術能協助您避免掉入這些詐騙陷阱當中。PC-cillin 利用 Smart Protection Network™ 龐大的惡意網站資料庫來防止您連上曾經散布惡意軟體或從事網路詐騙的網站。》即刻免費下載試用

PC-cillin 以紅色標示危險網址，綠色標示安全網址,要下單前讓 PC-cillin 幫你的荷包把關

另外趨勢科技也發現會針對 iPhone 用戶,發送 “包裏已派發.請您及時查收”的網路釣魚簡訊,騙帳密。

為了保誰Apple Store 的脹戶,您
的賬戶已被限制,需要重新認龄.
確定 — 點入連結會出現: ” 為了保誰Apple Store 的脹戶,您的賬戶已被限制,需要重新認證.
“

下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

2019 年 07 月 12 日2019 年 07 月 10 日趨勢科技 TrendMicro

已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」，刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證，並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。

安裝前兩天不會出現惡意行為直到跳出更新 Google Play 服務通知

這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」，顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑，該遊戲在安裝之初的兩天內都不會出現任何惡意行為。

此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務，並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻，在「sign in」(登入) 的字樣當中出現拼字錯誤。

若使用者不小心輸入了自己的登入憑證，惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像，例如「com.googles.android.gms」，這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外，惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」，此套件似乎與 Google 的套件功能一樣。

繼續閱讀