趨勢科技 TrendMicro | 資安趨勢部落格

如何利用 AI 人工智慧揪出電郵詐騙犯?

2018 年 04 月 27 日2018 年 04 月 27 日趨勢科技 TrendMicro

駭客逐漸將企業員工視為資訊安全鏈中的薄弱環節。這就是為什麼現今大多數的威脅都是藉由電子郵件傳播，目的是誘使收件人下載惡意軟體、洩露登入資料，或線上轉帳給攻擊者。趨勢科技預測，光是變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)攻擊造成的累計損失，將在今年達到 90 億美元。

攻擊模式變得更加聰明，趨勢科技推出兩款創新產品，幫助打擊電子郵件詐騙犯。一種是使用人工智慧的全新功能，目標是提高 BEC 變臉詐騙偵測能力；另一種功能則可幫助 IT 團隊培訓其員工，察覺網路釣魚攻擊。這是更進一步與罪犯對抗。

電子郵件威脅: 趨勢科技Smart Protection Suites在 2017 年阻止了超過 660 億個威脅

電子郵件無疑是目前針對組織的攻擊者使用的主要威脅載體。Trend Micro™ 趨勢科技 Smart Protection Suites在 2017 年阻止了超過 660 億個威脅，其中超過 85% 是包含惡意內容的電子郵件。

BEC 變臉詐騙是一種越來越受歡迎的攻擊手段，因為報酬可能十分豐厚。很多組織難以察覺此種攻擊，因為通常沒有任何惡意軟體；他們主要依賴對精心挑選的收件人進行社交工程。收件人通常在財務部門工作，會收到一封冒充執行長、財務長或其他高階主管的電子郵件，要求他們緊急進行線上轉帳或回覆敏感資料。平均每次事故損失高達 130,000 美元；從 2017 年上半年到下半年，趨勢科技的客戶受到的 BEC 攻擊增加了 106%，這一點也不奇怪。

這並不是要低估網路釣魚對全球各地組織的影響。藉由針對員工下手，攻擊者可以傳播惡意軟體，並秘密滲透網路來竊取敏感資料及智慧財產。去年 Black Hat 與會者調查的結果說明了這個趨勢對組織的影響。

	IT 主管將釣魚攻擊視為他們的頭號資安問題與會者認為，網路釣魚是最耗時的威脅受訪者認為 IT 安全最薄弱的環節，是終端使用者遭到釣魚攻擊欺騙 19% 的公司將網路釣魚評定為過去一年中出現的最嚴重資安威脅，僅次於勒索軟體

寫作風格 DNA 包含使用人工智慧的全新技術

這種攻擊對於財務及名譽可能造成的損害可以想見。面對威脅層級日漸提高，趨勢科技還有兩項新的免費工具。繼續閱讀

《虛擬貨幣》以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站，用戶損失千萬台幣

2018 年 04 月 26 日2018 年 04 月 26 日趨勢科技 TrendMicro

著名的以太幣錢包網站 MyEtherWallet.com 在亞洲時間 2018/4/24晚間，遭受到 DNS Hijacking 攻擊。以太幣 (數位貨幣代號ETH) 的持有者在這段受攻擊時間，如果透過 MyEtherWallet.com 網站轉帳以太幣，就有可能誤入釣魚網站而把資產轉進駭客的錢包裡。

以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站，用戶損失千萬台幣

駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站，成功的騙到幾百位的受害者。一個月前也有駭客利用假冒的 Binance 數位貨幣交易所CEO 名義，在Twitter 上大方贈送以太幣，利用受害人貪小便宜的心理，同樣在極短的時間內騙到近千萬台幣。

作者: Ieta Chi 紀孟宏 (趨勢科技首席資安顧問)

虛擬貨幣 (Crypto Currency) 市場自2018年初以來因為各種不確定因素，總市值 (根據CoinMarketCap資料) 從一月初的最高點八千億美元，一路下跌到三月底的最低點二千四百億美元，總共下跌了70%。四月初開始大幅回升，一個月不到總市值己經上漲超過80%，光是以太幣的價格在過去一週時間就大漲 40%，熱騰騰的錢潮不僅僅吸引了大批的投資客，同時也吸引了駭客的注意力。

4/24晚間所發生的DNS Hijacking事件，讓使用者透過瀏灠器開啟MyEtherWallet.com 網站時，被導到一個偽造的釣魚網站，受害者如果沒有察覺這是個假網站而進行以太幣轉帳，轉出去的錢不是到想要轉幣的位址，而是進到駭客錢包的位址。在這次的資安事件裡 MyEtherWallet.com 網站本身並沒有被駭，而是在 Internet 上提供網域名解析工作的 DNS服務器被駭客下毒，在正常情況下當使用者連線到 MyEtherWallet.com 網站，DNS 服務器會解析出該網站的正確 IP 地址並回覆給使用者端，當 DNS服務器被駭客下毒，這時候所回覆的IP 地址就不是指向真正的 MyEtherWallet.com 網站，而是駭客用來欺騙受害者的偽裝電腦。

在發生 DNS Hijacking 事件期間，使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告，HTTPS是一種資料傳輸安全協定，會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到，在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告就表示準備要連線的遠端服務器的憑證有安全性問題，如果這是一個正式對外提供服務的網站，在真實案例中幾乎可以直接斷言是個釣魚網站。

使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告，HTTPS是一種資料傳輸安全協定，會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到，在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告 — 使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告

繼續閱讀

【手機病毒警訊】新一波Android間諜程式, 不只訊息看光光還竊取銀行帳密！

2018 年 04 月 25 日2018 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技近期偵測到一波新網路攻擊，Android(安卓)惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定（DNS）進行散播，推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式，並喬裝成 Facebook 或 Chrome 等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料，不法人士瞄準了台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。

XLoader喬裝成Facebook或Chrome等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料

XLoader既是間諜程式，也是銀行木馬程式，一旦受害者裝置遭到感染之後，XLoader 除了可以掌握到所有應用程式的相關資訊、推播訊息，還能偷看簡訊、暗中錄下語音通話。更令人擔心的是，其會建立一個臨時的網站伺服器以進行網路釣魚來騙取受害者的個人資料，為使受害者不易察覺，這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言，包含中文、日文、韓文、英文等。它的惡意行徑眾多,以下列出部分:

發送簡訊
偷看簡訊
暗中錄下通話
啟用或停用 Wi-Fi 連線
蒐集裝置上的所有聯絡人資料
將裝置鈴聲模式設成靜音
取得詳細的手機連線狀態，包括使用中的網路和 Wi-Fi (不論是否有密碼)
強迫裝置回到主畫面
連上指定的網路
模擬某個撥號音
撥打指定電話號碼
取得裝置上所有應用程式的清單

趨勢科技提醒一般消費者，XLoader會利用系統管理權限來隱藏自己，並在暗中執行惡意指令，因此受害者幾乎不易察覺，呼籲使用者應養成正確的資安習慣，例如設定高強度密碼、定期更新及修補路由器韌體、啟用路由器內建防火牆、定期檢查路由器設定等方式來防範家用或企業路由器漏洞的威脅。也建議系統管理員和資安人員應妥善設定路由器組態來防範DNS快取汙染這類的攻擊。

此攻擊會先入侵路由器然後竄改 DNS 設定，進而將受害者導向駭客指定的網域。接著受害者會收到緊急通知，引誘受害者去惡意網域下載 XLoader。

採用多層式防護保護手機行動裝置資料與隱私

跨平台防護的PC-cillin 也同步支援 Android與 iOS行動裝置防護，可攔截上述相關惡意應用程式。除此之外，其多層式的防護也能守護裝置的資料與隱私，並且防範勒索病毒、詐騙網站以及身分盜用，有助於保障使用者安全。

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位
》即刻免費下載試用

更多關於此事件的訊息請參考

手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話、看簡訊、暗中錄音,還會竊取銀行帳密

2018 年 04 月 25 日2018 年 04 月 25 日趨勢科技 TrendMicro

新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊，並且會安裝更多應用程式。此外，XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時，就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容，甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺，這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言，包含中文、日文、韓文、英文等。

不僅如此，XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 。它的惡意行徑包含: 發送簡訊、啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態，包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。

Android 間諜程式與銀行木馬程式 XLoader 經由竄改 DNS 的手法散布

趨勢科技從三月初開始便偵測到一波新的網路攻擊，現在，這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器)，進而散布及安裝惡意的 Android 應用程式，趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。

此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊，並且會安裝更多應用程式。此外，XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己，讓自己一直躲藏在裝置內。

圖 1：假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。 繼續閱讀

無需巨集：深入解析利用RTF的設計及Office的漏洞散播的Formbook RAT

2018 年 04 月 25 日2018 年 04 月 24 日趨勢科技 TrendMicro

安全研究人員發現了一起多階段的攻擊鏈，利用RTF檔案的設計及微軟Office漏洞（CVE-2017-8570）來散播Formbook遠端存取木馬（RAT）。以下是企業要主動回應此威脅所需要了解的資訊：

[相關文章：Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]

Formbook具備鍵盤側錄和螢幕擷取功能

Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出，這版本的Formbook也含有銀行木馬中常見的惡意元件。

在2017年12月，趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案，攻擊的是另一個漏洞（CVE-2017-11882）。

[延伸閱讀：中小型企業的資安挑戰可能需要第三方協助]

攻擊鏈

感染方式是雙管齊下。第一階段利用夾帶微軟Word文件（.docx）的垃圾郵件，文件檔內的frameset（包含載入文件所需框架的HTML標籤）內嵌了惡意網址。一旦受害者打開檔案，就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示，網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制（C&C）伺服器。這種攻擊不需要巨集和shellcode。繼續閱讀