《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟WordExcel文件檔,然後上傳到網路硬碟sendspace.comSendspace是一個網路分享空間,提供了檔案代管功能,讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料,但並不是透過惡意軟體自動完成。根據去年底的報告,駭客利用Sendspace來處理跟上傳偷來的資料。 

但這是第一次,趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。 

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

 為了要讓使用者受到感染,一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

 《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

 一旦執行了這個檔案,TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式,包括了從BestAV結盟網路來的假防毒軟體變種,和從Yamba網路來的FakeHDD變種。

 另外,這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出,做出文件竊取sendspace木馬的犯罪份子,同時也涉及了按成交計費(Pay-Per-Sell,PPS)的地下經濟。

 TSPY_SPCESEND.A是一個「拿了就走(grab and go)」木馬程式,它會在中毒電腦的本機硬碟裡搜尋微軟Word Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡,並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

產生壓縮檔之後,TSPY_SPCESEND.A會將它送到Sendspace.com

 

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

繼續閱讀

一周精選

部落格精選:

 

插頭花的好命婆<趨勢科技文化長 陳怡蓁專欄>
關於友情的真實故事,13歲與11歲小女生的情誼。一個談戀愛,一個操刀寫情書。後來一個出國留學嫁給天馬行空的網路創業家,另一個她則嫁回南投竹山的農家。看趨勢科技文化長陳怡蓁的兩世代的情誼…好令人稱羨的友誼

 

 

安裝手機應用程式前要注意的三件事

 

1.如果給了手機應用程式越多資訊,出事的後果也會越嚴重
2..手機應用程式的開發者可能會將部分服務外包,因此可能會有其他第三方公司能存取這些資訊
3.手機應用程式開發者的信譽很重要

 

◎手機遺失地點前三名:公車,計程車,電影院
快來看看今天最容易掉手機的星座是哪一個

 

◎ 歡迎加入趨勢科技社群網站
 

APT 進階持續性滲透攻擊研究報告10個懶人包

作者:趨勢科技Nart Villeneuve (資深威脅研究員)

 

2011年,我相信你已經聽說過RSA被入侵了,而且偷走RSA Secure ID的相關資料,然後用在後續的攻擊事件裡。除了RSA之外,還有許多其他類似的受害者。你可能也聽說過ShadyRAT,它證明了殭屍網路/傀儡網路 Botnet可以有多麼長壽,還有NitroNight Dragon顯示出有些攻擊者的目標會鎖定在特定產業上。

 

你大概也看過趨勢科技關於Lurid攻擊的研究報告,它說明了攻擊者對非美國的目標也是有興趣的。而更重要的是,這樣的事件應該被視為「系列攻擊」,而非獨立事件。

 

但還有些了不起的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)相關研究可能是你所不知道的。這是我個人所排出的前11名:

部落格「Contagio Dump」和「Targeted Email Attacks」:Mila ParkourLotta Danielsson-Murphy已經在這方面發表過許多相關的研究報告。我們通常拿得到惡意程式碼做進一步的分析,但社交工程陷阱所用的電子郵件內容卻不容易拿到。這些部落格在目標攻擊的領域裡有許多獨特的見解。

 

 

1.      部落格CyberESICyberESI的團隊發表過一些變種龐大惡意軟體家族的詳細分析報告(是真的非常詳細)。在我看來,他們的分析報告為這方面的逆向工程設立了標準。

 

2.      HtranJoe StewartsHtran方面的研究成果被ShadyRAT研究報告的光芒給掩蓋了,但我認為這是今年最具有創新性的一份研究報告,因為它著眼在根本問題,尋找攻擊來源IP以找出幕後攻擊者的實際位置。

 

3.      透過對系列攻擊的分析來啟動智慧型電腦網路防禦系統」:HutchinsCloppertAmin說明如何追蹤一次攻擊的多個階段,並將多次事件串成一次「系列攻擊」。這是任何想要追蹤APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的人都不可不看的報告。

 

4.      1.php: 這份來自Zscaler的報告,對一次特定的系列攻擊及所用的命令與控制基礎架構(CC)做出徹底的解構和分析,並且在結論裡提出了確實可行的防禦方法。另外,它對於在這方面的資訊披露也提出了相當獨到的見解。

 

5.      APT解密在亞洲Xecure在今年的黑帽大會上展示他們對惡意軟體以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫,還有他們所提出的名詞「NAPT(非進階持續性威脅)」。 繼續閱讀

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

 

 

將搜尋貨幣化是行動平台上的新威脅

 

 

 

 

一份報告,提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk,它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P

 

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼,所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑,取得/設定書籤,將手機資料送回它的伺服器(包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系),設定通知,還有設定瀏覽器首頁。

 

趨勢科技認為可以將這應用程式歸類為廣告軟體,因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體(Mobile App Adware)」。一開始它還提供軟體開發套件(SDK),讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的:安裝搜尋捷徑,透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之,它原本是個用來賺錢的廣告服務,讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

 

「行動應用程式廣告軟體」

 

從這點來看,它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡,好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡,這和在桌上平台所做的事情是幾乎一模一樣的。

 

趨勢科技威脅回應工程師Erika Mendoza補充說:「想到廣告網路,我覺得現在很多應用程式都含有類似的程式碼,這種手機廣告軟體算是有侵略性,但是要認定這類惱人行為是否為惡意,仍然取決於使用者。」

 

Lookout Mobile Security研究人員則不認為這種行為是種惡意軟體攻擊,它比較算是「侵略性的廣告網路。」我們同意他們所說的,這本身並不是惡意軟體。但是,這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚,而很久以後才出現影響的。

 

對於安裝應用程式來說,保留安裝時所取得的權限,還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留,好作為重裝時的預設值。在現實裡,有太多應用程式被下載,有各種不同的下載目的,有著各種不同的使用者設定,所以要追查的話實在有太多變數了。

 

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式 繼續閱讀

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

趨勢科技最近發現了一個伺服器上代管了大量提供行動惡意軟體的網站,目標針對Android和Symbian作業系統(特別是J2ME平台)。

 這個位在德國的伺服器由一個代管服務供應商所管理,它也是眾所皆知的網路犯罪分子常用服務商。

 趨勢科技總共在這伺服器上發現了1351個網站,而且根據他們散布惡意軟體的手法可以將這些網站分成五大類:

 Android Market應用程式

  • Opera Mini/Phone最佳化應用程式
  • 色情應用程式(這些網站在檢查時無法使用)
  • 應用程式儲存網站
  • 其他(這些網站在檢查時無法使用)

 那些無法使用的網站可能是因為攻擊者還在建置中或是已經停掉了。那些應用程式儲存網站是用來提供其他類網站裡應用程式的功能,所以無法存取。但是那些應用程式還是在的,可以透過Android Market應用程式跟Opera Mini/Phone最佳化應用程式這兩類網站來下載。

 Android Market應用程式的網站看起來就像是個正常的合法網站。會出現流行的應用程式像是:WhatsApp、Facebook、Facebook Messenger,條碼掃描器、Skype、Google地圖、Gmail、YouTube和一些其他的軟體。從這些網站所下載的檔案目前已經被偵測為ANDROIDOS_FAKENOTIFY.A繼續閱讀