趨勢科技 TrendMicro | 資安趨勢部落格

惡意Chrome擴充功能竊取Roblox遊戲貨幣

2017 年 08 月 29 日2017 年 08 月 30 日趨勢科技 TrendMicro

資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord，從Windows電腦上的Roblox程序竊取cookie。在那之後，我們又看到類似的竊取行為，只是這次是利用Chrome擴充功能（CRX檔案）。

雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者，但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送，不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到：

圖1、Roblox Trade Bot在“Dream Market”地下市場販賣（點擊放大）

我們取得這交易機器人內的樣本如下：ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crx和DankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js。

圖2、 ZIP檔案內容

搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX（Roblox遊戲內的貨幣）來交易其他工作或產品。

檢視bgWork.js會發現一個設定好的Discord網路掛接（webhook）。安裝之後，惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中，這個交易機器人擴充功能號稱會取得最近的平均價格，協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做；只會將偷來的cookie送到Discord頻道，對使用者沒有任何用處。繼續閱讀

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

2017 年 08 月 29 日2017 年 08 月 24 日趨勢科技 TrendMicro

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門，讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難，尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊，每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構（包括銀行）和礦業公司。值得注意的是，攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫（DLL）樣本最早在2017年6月6日被上傳到VirusTotal，這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊（SPEAR PHISHING）攻擊活動。

圖1、惡意電子郵件活動的攻擊鏈

圖2、送給一個目標的不同惡意電子郵件（時間順序為自左向右，順時針方向）

繼續閱讀

ShadowPad 後門程式藏匿在伺服器管理軟體中

2017 年 08 月 26 日2017 年 08 月 24 日趨勢科技 TrendMicro

安全研究人員在美國與南韓公司 NetSarang 的伺服器管理產品內發現強大的後門程式:ShadowPad（趨勢科技偵測為BKDR_SHADOWPAD.A），它能夠下載並執行其他惡意軟體及竊取資料。

受影響的組織包括金融機構、能源和製藥等產業

NetSarang產品包括管理網路、伺服器和系統管理工作站的軟體。受影響的組織包括了金融機構（如銀行）、能源和製藥等產業。

根據研究人員的分析，ShadowPad每隔8小時連到攻擊者所控制的特定網域來傳送中毒系統上的資料。它也被設計成會每月連到不同的網域。如果傳送給攻擊者的資料引起興趣，則命令與控制（C&C）伺服器會去觸發後門程式來送入更多的惡意程式。

ShadowPad的惡意程式碼被注入到一個動態連結函式庫（DLL）檔案nssock2.dll，在7月17日出現在NetSarang網站上，至今仍未被發現。另外值得注意的是ShadowPad的隱蔽程度，包括了加密層數，並且具備分級機制來阻止後門程式啟動，除非C&C伺服器發送特定封包到中毒系統。

NetSarang已經承認了此一事件，並且開始實施對策，他們告訴Ars Technica：“我們建立了一個全新且獨立的基礎設施網路，所有要被放入此新基礎設施網路的設備都會先重新格式化。接著接受檢查，加入白名單，再逐次加入新的基礎設施網路。這過程將需要經歷幾個星期的時間，但我們需要確保這樣的入侵事件不會再在NetSarang發生。“

合法軟體被惡意濫用不止一樁:

會計軟體被利用散佈Petya勒索病毒,Mac勒索病毒內嵌到BitTorrent客戶端 繼續閱讀

叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

2017 年 08 月 25 日2017 年 08 月 25 日趨勢科技 TrendMicro

叫車程式會儲存及使用個人金融資訊和身分資料,FakeToken 變種木馬會即時監控 Android 裝置上所安裝的這類應用程式並試圖偷取相關資料。當使用者執行某個叫車程式時，FakeToken 就會顯示一個網路釣魚畫面並將它重疊在原本的應用程式畫面上，騙受害者輸入信用卡資料。而且網路釣魚畫面長得跟就像原本的應用程式一樣，包括標誌和配色等等。此外，這一版的 FakeToken 還會攔截手機收到的簡訊，監控手機通話並錄音

趨勢科技提醒您,請勿在網路上分享過多個人資訊，同時也盡可能減少您提供給應用程式的權限。還有，務必小心一些不請自來的簡訊

您是否正準備使用您最愛的叫車程式來規劃您接下來的路線呢？請注意，如果該程式曾經不只一次向您要求輸入信用卡資料，那這很可能是個惡意程式。

資安研究人員發現，目前有個 Android 叫車應用程式其實是 FakeToken 銀行木馬程式所假冒 (趨勢科技命名為 ANDROIDOS_FAKETOKEN)。除此之外，該版本的 FakeToken 還會冒充成一些交通罰單或飯店和機票訂位的支付程式。繼續閱讀

網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

2017 年 08 月 25 日2017 年 08 月 24 日趨勢科技 TrendMicro

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件，例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純：竊取個人資訊並從中獲利，而遊戲本身也因此經常遭到濫用。

在本文說明的案例中，遭到網路犯罪者利用的並非遊戲，而是遊戲玩家所使用的通訊工具，Discord，這是玩家經常使用的新一代聊天平台，擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX，這個遊戲擁有 1 億 7,800 萬名註冊用戶，每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容，玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境，並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素，鼓勵使用者進行社交、一起玩遊戲及建立內容，並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord 的詐欺漏洞

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中，Discord 扮演何種角色？我們的研究發現，網路犯罪者濫用此聊天平台內建的一項功能，即應用程式設計介面 (API)，API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中，竊取包含 ROBLOX 登入憑證的瀏覽器 cookie，具體而言，是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時，讓聊天程式傳送訊息至指定頻道或使用者，Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟：

惡意程式感染目標系統，在此案例中，趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上，使用者將它貼在論壇上，宣稱是「作弊程式」，可讓玩家修改角色，取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook，如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
此惡意程式會持續等待，直到偵測到被害者系統中的 ROBLOX，就會竊取使用者的遊戲帳戶 cookie。
惡意程式利用 Discord，將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶，竊取儲存於帳戶的 ROBUX，推測最後換為現金。

繼續閱讀