趨勢科技 TrendMicro – 第 744 頁

你累了嗎?狂歡後,眼睛疲勞,小心按錯鍵,電腦成犯罪集團操縱的傀儡電腦

2011 年 12 月 23 日2017 年 02 月 08 日趨勢科技 TrendMicro 98 筆留言

作者：趨勢科技全球安全研究副總裁 Rik Ferguson

你累了嗎?眼睛疲勞和手指倦怠的網路消費者,有可能成為網路犯罪者的目標。有成千上萬知名網路商店名稱的錯誤拼法版本網址都已經被犯罪份子給註冊了，他們希望粗心的消費者會在無意間連上來。而知名網路零售商（像是John Lewis，Debenhams和Argos）的客戶都是目標之一。

犯罪份子的網站通常會跟正版網站長得一模一樣。這個複製站台主要是透過假商品來將訪客導到可賺錢的廣告連結，或是在「購買」行為發生時收集訪客的個人和金融資料。還有一些例子是這些錯誤拼法版本的網站會出現令人反感的內容，甚至是導到含有漏洞攻擊碼的網站來讓受害者的電腦感染資料竊取惡意程式或是變成殭屍網路/傀儡網路 Botnet的一員，這是犯罪份子控制下的受害電腦所組成的網路。

打開金正日相片,木馬尾隨而來,殭屍大軍伺機招募

2011 年 12 月 22 日2014 年 10 月 13 日趨勢科技 TrendMicro

北韓領導人金正日的死訊讓世界各地的人表現出不同的反應。有些人痛心於他的過世，有些人則是非常高興，認為金正日是個「高壓統治者」。

但在另外一方面，網路犯罪份子對這事件只有一個反應，就是利用它。

趨勢科技的研究人員發現了主旨提到金正日死訊的垃圾郵件。這垃圾郵件內文刻意在開頭標註CNN,只有簡單的一行文字,提到金字日的死訊”(CNN)North Korean leader Kim Jong died of a heart attack at the age of 69,state medis have announced”,但其夾帶的PDF檔案（brief_introduction_of_kim-jong-il.pdf.pdf）。被偵測含有木馬TROJ_PIDIEF.EGQ,恐讓電腦成殭屍網路/傀儡網路 Botnet的一員。

TROJ_PIDIEF.EGQ,會引發遠端控制電腦的動作。TROJ_PIDIEF.EGQ會刻意開啟另一個非惡意的PDF檔案，內含金正日照片,讓使用者以為自己開啟的是正常的檔案。

繼續閱讀

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

2011 年 12 月 22 日2011 年 12 月 30 日趨勢科技 TrendMicro

又有一起APT進階持續性威脅（Advanced Persistent Threats, APT）（註）

上禮拜所報導的Adobe Reader零時差漏洞（CVE-2011-2462）已經被用在從11月開始的目標攻擊。惡意PDF檔案經由電子郵件發送給目標，而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後，惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。

APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件

目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始，然後持續一段時間，並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整，但時間久了，我們也就能把每塊拼圖給組合起來（攻擊媒介、惡意軟體、工具、基礎網路架構、目標），就會對一次的攻擊行動有了全盤的了解。

Sykipot攻擊行動在這幾年來已經有了許多名稱，它的歷史可以被追溯到2007年，甚至是2006年。

一次跟這次類似的攻擊發生在2011年9月，它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞（CVE-2010-2883）。在2010年3月，則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。

其他的攻擊還發生在2009年9月，利用漏洞CVE-2009–3957加上跟國防會議有關的資料，和使用一個著名的智囊團身份當做誘餌。在2009年8月，另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署（Federal Emergency Management Agency，FEMA）的身分當做誘餌。而這次攻擊裡所使用的命令和控制（Command and Control，C＆C）伺服器也被用在2008年的攻擊裡。

最後，則是發生在2007年2月的攻擊，它利用惡意Microsoft Excel檔案漏洞（CVE-2007-0671）來植入惡意軟體，這惡意軟體的功能跟BKDR_SYKIPOT.B很像，所以也很有可能是它的前身。而這次攻擊中所使用的C＆C伺服器的歷史則可以追溯到2006年。繼續閱讀

看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)

2011 年 12 月 21 日2016 年 03 月 16 日趨勢科技 TrendMicro

你有注意網址列上的 facebook 被拼成 faecbook 或 faceook 嗎?這些看起來跟臉書一模一樣的網頁卻暗藏網路釣魚（Phishing）竊取帳號的陷阱。在這篇報導.com手殘打成.om，小心被騙到仿冒的惡意網站去了中,刻意仿冒大廠的網址包含 facebookc.om、youtube.om、linkedin.om、yahoo.om、gmail.om、netflix.om、baidu.om、xbox.om，以及googlec.om、targetc.om、hotelsc.om等。

之前我們發現 www.hkhsbc.com、www.gamannia.com、www.lcbc.com.cn、www.icbc.org.cn、www.paypa1.com、www.googkle.com、Whitehouse.com… 上述這些全都是騙錢的釣魚網站。從銀行、入口網站到政府官網，全都出現了似曾相似的網址。拼錯的網域名稱也有人買？這是千真萬確的事實，myspaace.co.uk (兩個 a) 這個網域名稱曾以 100 英鎊的價格賣出。有鑑於近來相近域名搶註 (typo-squatting) 的情形愈來愈多，包括 Google在內的熱門網站都成為它們的目標，惡意駭客組織便可能會利用各種超人氣網域名稱，製造許多刻意拼錯的假網站！

網址雙/三胞胎大集合

快速的鍵盤彈指神功固然是修練成正果的證明之一，但是因為拼錯字或按錯鍵盤，導致網路釣魚者得逞的案例已經發生很多起了，以下是幾個真實案雙胞胎網址例：