趨勢科技 TrendMicro | 資安趨勢部落格

網路釣魚利用瀏覽器擴充套件SingleFile 複製合法網站, 避免被偵測

2019 年 04 月 09 日2019 年 04 月 06 日趨勢科技 TrendMicro

網路釣魚靠著冒充身份來引誘毫無防備的受害者下載檔案或點入連結的簡單概念,成為網路犯罪歷久不衰的手法，不過網路釣客使用的策略已經越來越加複雜。趨勢科技近日發現有利用合法工具SingleFile作為混淆手法,避免偵測的網路釣魚活動。

SingleFile是Google Chrome和Mozilla Firefox的擴充套件，讓使用者能夠將網頁另存成單一的HTML檔案。雖然瀏覽器可以讓使用者將網頁儲存為「.htm」文件，但這通常代表會為網頁內的所有檔案建立多個資料夾。SingleFile簡化了儲存網頁及所有檔案的流程，可以應用在各種情境，如儲存整個網站。但它對駭客來說也一樣有用，因為我們發現駭客會利用SingleFile來混淆網路釣魚攻擊。

Figure 1. Tool options for the Chrome version of SingleFile

圖1. Chrome版SingleFile的工具選項

我們看到的樣本顯示網路犯罪份子用SingleFile複製合法網站的登入頁面進行網路釣魚活動。產生登入頁面的方法很簡單：

攻擊者連上要仿冒的網站登入頁面（我們所看到樣本是金流服務網站Stripe）。
接著用SingleFile儲存並產生包含整個網頁的檔案，包括了所有的圖片（儲存為svg檔）。

儘管這手法很簡單卻非常有效，因為它實際上產生了跟原始登入頁面完全相同的版本。

繼續閱讀

【手機病毒】XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

2019 年 04 月 08 日2019 年 04 月 12 日趨勢科技 TrendMicro

XLoader變種會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。
新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。

XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變，其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD)，是之前對此惡意軟體家族進行研究後的最新版本。

感染鏈

此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播，但我們已經看到許多使用者收到了簡訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-1-Screenshot-of-a-fake-website-that-hosts-XLoader-640x480.jpg

圖1. 託管XLoader的假網站截圖

在之前，XLoader能夠在電腦上挖掘虛擬貨幣，並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。

繼續閱讀

趨勢科技共同成立的工業物聯網公司 TXOne Networks

2019 年 04 月 08 日2019 年 04 月 09 日趨勢科技 TrendMicro

預先展示工業機械資安解決方案

全新的工業入侵防護 (Industrial IPS) 解決方案，結合了趨勢科技與 Moxa 的技術結晶，專門保護不易防護的裝置與智慧工廠。

【2019年4月8日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 與工業通訊及網路領導廠商 Moxa 預先展示第一套合作開發的資安解決方案。這套全新的工業入侵防護 (Industrial IPS) 產品目前仍在測試版階段，可讓營運技術 (OT) 環境偵測及攔截軟體漏洞攻擊，並提供網路行為白名單控管。該產品於上周在德國所舉辦的漢諾威工業展 (Hannover Messe) 中亮相。

擁有 TXOne Networks 多數持股的趨勢科技，其執行長陳怡樺表示：「很高興我們能在雙方正式合作的短短五個月內就展示我們針對保護工業環境資安弱點而設計的解決方案。我們一直認真傾聽製造業領導廠商與關鍵基礎架構營運商的需求，然後再結合我們兩家公司最頂尖的智慧財產，其具體的成果就是一套超越傳統資安工具、能夠解決複雜挑戰的客製化解決方案。」

繼續閱讀

媽祖請託夢給我,哪一個你才是真的?-不小心點了LINE貼圖詐騙連結怎麼辦?

2019 年 04 月 05 日2020 年 02 月 01 日趨勢科技 TrendMicro

最近好多人 cue 媽祖,連詐騙集團也不例外, 「天上聖母-媽祖娘娘」「媽祖盛會
」都在粉絲頁送貼圖:

「天上聖母-媽祖娘娘」: #分享五十萬信眾 #感謝蕭先生贊助 ?

「天上聖母-媽祖娘娘」在其facebook 粉專說:

#慶白沙屯媽祖遶境出巡
#分享五十萬信眾 #感謝蕭先生贊助
★小小Q版媽祖水噹噹
即日起~只要底下隨便留言
貼圖會隨機發放給你囉

趕緊來下載
#只要留言即可
#分享會保佑你平平安安

該貼文共有 16 萬則留言,4.6 萬則分享。

「媽祖盛會」: 留言”媽祖保庇” 送貼圖 ?

另一個「媽祖盛會」臉書粉絲團,也用雷同的手法, 目前也有2.2 萬則留言,1.1 萬個分享:

訊息如下:
——————————–
可愛的媽祖水噹噹
可愛的媽祖來陪伴你，一起加油打氣，大家都歡喜。
只要底下留言”媽祖保庇”
貼圖就會發送給你囉

趨勢科技防詐達人提出警告,這是詐騙粉絲頁,留言不會有貼圖可以下載。
當你在其貼文留言後，會啟動 FB 自動聊天機器人，發送以下訊息給你:

#我已經領到貼圖了-自動幫你詐騙親友

分享到任何一個社團
即可完成領取
如未分享將領取不到
點下方按鍵分享文章

#媽祖會保庇哦我已經領到貼圖了

受害者驚覺被詐騙,但上當者仍絡繹不絕

儘管有些人發現被騙了,在貼文底下留言提醒大家這是詐騙集團,但還是很多人前仆後繼的為了貼圖繼續上當:

「拿著媽祖的旗號一直耍大家，不好吧！可以證明有誰拿到貼圖了嗎？。。。不然媽祖會一直盯著你看。」
「下載不到騙人」
「沒有收到過，而且每次加入就會產生新的帳號，這是什麼鬼呀！」

趨勢科技表示這陣子臉書再度爆發大量「假冒官方帳號來發送好康」的詐騙事件，趨勢防詐達人接獲不少用戶回報此類型詐騙網站。

繼續閱讀

【網路釣魚】「Soula」偽造搜尋引擎登入畫面,針對韓國網站發動水坑攻擊,竊取帳密

2019 年 04 月 03 日2019 年 04 月 01 日趨勢科技 TrendMicro

趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密，至少有四家韓國網站受害，包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒，但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動（偵測為Trojan.HTML.PHISH.TIAOOHDW）會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器，所以我們認為駭客還在研究與收集資訊的階段。

攻擊行為

圖1、 Soula的攻擊鏈。

我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字，以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面，這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體)，過濾掉bot爬蟲及威脅引擎掃描程式。

設置 cookie 計算訪問次數 ,掩蓋惡意行為

該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhone、iPad、iPod、iOS和Android等字串，以確認使用者是用桌機或行動裝置，好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為，它會設置cookie來計算訪問次數，並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。

繼續閱讀