趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital,首腦面臨六年徒刑

 

Esthost/Rove Digital看起來是一個位在塔爾圖的正常 IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。首腦終於在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

 

2011年11月,趨勢科技協助 FBI 破獲史上最大殭屍網路: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得,透過被稱為「Operation Ghost Clock」的FBI行動,超過100台屬於Esthost/Rove Digital集團的伺服器被下線。這集團在紐約和芝加哥的資料中心被突擊,超過400萬名的受害者花了半年以上變更到非惡意的DNS伺服器

在這破獲行動經過近四年之後,這網路犯罪集團的首腦Vladimir Tsastsin已經在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

假防毒軟體軟體是集團重要的收入來源之一

Esthost/Rove Digital騙局的運作原理其實相當簡單:植入DNS變更惡意軟體到使用者電腦上,將對熱門網域的查詢導向惡意伺服器。這讓攻擊者可以重新導向針對這些熱門網域的流量,進行難以偵測但卻有極大利潤的攻擊,像是劫持搜尋結果和置換網站廣告。除此之外,假防毒軟體軟體也是這集團重要的收入來源。

攻擊者會對這些方法青睞有加是因為它們較難被偵測,而且可以維持很長一段時間。然而,該集團的活動早在2006年就被趨勢科技所察覺;自那時起我們就開始追蹤他們的活動。

趨勢科技是加入終結Esthost/Rove Digital行動的唯一防毒軟體公司。

在2009年,愛沙尼亞和美國的執法單位開始與其他組織共同行動來終結Esthost/Rove Digital;趨勢科技是加入此一聯合行動的唯一防毒軟體公司。

趨勢科技的研究報告 – 破獲Rove Digital將我們對這一集團的了解總結在一份文件中。

趨勢科技的研究是破獲Esthost/Rove Digital的重要部分,對於將Tsastsin送入監獄是不可或缺的。

犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑

圖說:犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑 Continue reading “趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital,首腦面臨六年徒刑”

巨集惡意程式:老技倆依舊有效

巨集病毒曾經是最熱門的話題, 它主要是利用軟體本身所提供的巨集能力來設計病毒, 所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能, 如Word, Excel,都相繼傳出巨集病毒危害的事件, 在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

 

1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:
1996 年台灣頭號大病毒- Taiwan No.1文件巨集病毒,發作畫面:

台灣本土文件巨集病毒,當時國中生寫的台灣猜拳病毒

 

自稱來自某國中的愛國少年,寫的釣魚台病毒
自稱來自某國中的愛國少年,寫的釣魚台病毒

 

現在,我們該好好重溫一下 Microsoft Word 下面這個安全性警告訊息為何重要:


1:Microsoft Word 巨集安全性警告

今天下午,我在同事之間詢問了一下這個問題:「你能不能馬上想到任何一個有效的巨集惡意程式?若是透過電子郵件散布就更好。」我得到的第一個答案是1999年3月26日,導致全球大企業的 Email Server大當機的「Melissa」,但另一位較資深的同事則說1995年的第一隻文件巨集病毒「WM Concept」和 1996年的Excel巨集病毒「LAROUX」。接著我又問其他同事能不能舉出 2005 – 2008 年左右的熱門巨集惡意程式,結果大家開始聊起 2000 年代巨集病毒瘋狂的年代,也想起當年 Microsoft Office 將預設安全性改成高安全性之後對惡意程式情勢有多大改變,以及現在將如何歷史重演。

信件 網路釣魚Mail

「舊瓶裝新酒」

我們在一年前就開始發現巨集惡意程式重返的跡象,當時看到的是 W97M_SHELLHIDE.A 和 TSPY_ZBOT.DOCM 的合體。一開始,我們以為只是偶然的案例,但根據趨勢科技有關 BARTALEX 的最新報告指出, DRIDEXROVNIX 及 VAWTRAK 等惡意程式也再度利用巨集來散布惡意程式,並且從 2014 下半年延續至今年。

不但如此,趨勢科技也注意到巨集惡意程式這次重現江湖的目標非常明確,那就是:企業機構。而且企業也因遭受一波垃圾郵件散布的巨集惡意程式攻擊而嚴重受創。 Continue reading “巨集惡意程式:老技倆依舊有效”

尼泊爾地震事件成詐騙誘餌:別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)

編按:最近尼泊爾地震事件成為世界關注焦點,小編特別把這篇文章重推,提醒大家別讓愛心 成為駭客提款機,特別要提防搜尋相關新聞時,惡意網頁守株待兔

==============================================

奈及利亞釣客假借新加坡慈善團體:至少捐 100美金,讓200萬人不餓肚子

食道癌富商:我有 12億現金,請幫助我轉到你的帳戶,捐給南亞災民
斯里蘭卡漁夫:我要幫助村民買漁船,請把錢匯到荷蘭
普吉島無助父親:我只剩一個人,請把善款匯到倫敦,讓我重新面對人生
以上都是詐騙

當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。

Black seo 當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。愛心捐款前,免費試用PC-cillin 2014 防毒軟體 不讓愛心遭利用
當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候

趨勢科技已經發現藉由尼泊爾地震事件藉機詐騙捐款的信件:Spammers Use Earthquake in Nepal for Scam Donation Funds,信件出現: ‘Nepal earthquake’ 和 ‘Help Nepal’ 字樣,藉此讓用戶以為來自合法機構. ,一旦受害人依照指示回覆你想要捐款的數目,即會收到如何匯款的通知。

 

2006 年泰國禽流感,木馬藏在紅十字會網站;2009年 H1N1新流感出現南美總統集體得 H1N1 新流感!? 假新聞連結,偷個人資料木馬藏匿其中,利用時事大作文章的不只是媒體的專長,更是駭客病毒的一貫伎倆, 311日本大地震時黑心詐騙紛出籠,假新聞,假募款,假臉書分享…;美國大選時的喝醉的歐巴馬”,和可能導致資料外洩的美國 2012 年總統大選 App 程式;在台灣則有這個文章看了讓你多活十年/新年度行政機關辦公日曆表( 這類搏感情的信件,誤點率很高) 。2013年波士頓馬拉松爆炸案也難逃一劫,緊接其後的一則德州爆炸案居然也被垃圾郵件集團拿來大做文章


波士頓爆炸案惡意連結,點選後會看到的影片畫面

以下的歷年案例供大家提高警覺:

歷年天災詐騙伎倆大揭發

2004年起國際間災難頻傳,從南亞海嘯到巴基斯坦地震、卡崔娜風災,成千上萬的善心捐款,卻讓網路釣客半途攔截。2005 年2008年皆 出現偽造的紅十字會釣魚網站詐財,趨勢科技提醒網友捐款時請直接輸入官方網址,不要直接從搜尋結果或是信件, FACEBOOK 分享中直接點選連結.

紅十字會網站成為釣魚網站詐財的目標

 2011 日本大地震

 1:搜尋日本地震相關新聞,惡意網頁守株待兔 

關心日本地震最新報導的網友,點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。趨勢科技已經發現了數個網址被植入假防毒軟體,一旦點選其中的頁面,會出現警告感染了惡意軟體的警訊。如果你同意下載任何一種他們促銷的防毒軟體,最後很有可能感染上的就是你試著要避開的惡意軟體。 這就是所謂的Black_Hat SEO 搜尋引擎毒化,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站,一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

目前這個手法被假防毒軟體廣為採用,用當時網友關心的議題,使用Black_Hat SEO 搜尋引擎毒化手法,將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。

 

2:FACEBOOK 上的惡意 Youtube 影片分享

臉書上有人分享日本大地震影片,像是“Japanese Tsunami RAW Tidal Wave Footage!”千萬不要輕易點擊,這個看似影片的連結只是張含有連結的圖片,該假頁面含有病毒HTML_FBJACK.A,會引導受害者到惡意網頁:

hxxp//www.{BLOCKED}u.fr/view.php?vid=Le-plus-gros-Tsunami-du-Japon-depuis-20-ans.


接著會要求使用者輸入手機號碼,還會自動幫受害者按下臉書的”讚(LIKE)”按鈕,然後自動幫你貼分享網址到你的塗鴉牆,企圖讓你的親友團受駭.

3:捐款詐騙,假冒聯合國兒童基金會 UNICEF:

‘HOPE FOR JAPAN NOW, DONATE TO THE EARTHQUAKE & TSUNAMI VICTIMS’

信件鼓勵收件者即使只有一分錢或一塊錢,對日本孩子而言都不嫌少

還在信中要求輸入收件者的電子郵件帳號和住址等私密資料. 趨勢科技呼籲大家提高警覺,根據以往的經驗四川大地震,南亞海嘯時也曾出現過冒用公益機構,如紅十字會名義的詐欺案例,大家的愛心千萬不要被利用

 

詳情請看:日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…

Continue reading “尼泊爾地震事件成詐騙誘餌:別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)”

ROVNIX利用密碼保護巨集, 竊取密碼和記錄按鍵資訊

趨勢科技最近發現 ROVNIX 惡意軟體家族能夠透過巨集下載器來散播。這種惡意伎倆之前在DRIDEX惡意軟體上見到,它以使用相同招數著稱。DRIDEX同時也是CRIDEX銀行惡意軟體的後繼者。

雖然感染方式相當古老,網路犯罪分子了解使用惡意巨集也能夠達到想要的目的 – 甚至可以對抗複雜的防禦措施。

ROVNIX惡意軟體行為

根據趨勢科技的分析,ROVNIX會將 rootkit 驅動程式寫入 NTFS 磁碟機未分割的空間。這可以有效地隱藏該驅動程式,因為這個未分割空間不會被作業系統和安全產品所看到。

為了載入惡意驅動程式,ROVNIX會修改IPL的內容。這程式碼被修改以讓惡意rootkit驅動程式在作業系統前被載入。這做法主要有兩個目的:逃避偵測,並且在Windows 7及之後的版本載入未簽章過的驅動程式。

ROXNIX感染鏈

在此攻擊中,惡意文件包含一個社交工程誘餌,特製成來自微軟Office的假通知來指示使用者啟用巨集設定。

圖1、帶有惡意巨集文件的螢幕截圖

啟用巨集會去執行惡意巨集程式碼,被偵測為W97M_DLOADER.AI。這個惡意巨集和之前CRIDEX所用的不同之處在於ROXNIX有加上密碼保護。這讓分析此惡意軟體變得困難,因為沒有密碼或特殊工具就無法檢視或打開巨集。

圖2、惡意巨集ROVNIX需要密碼

 

圖3、該腳本的程式碼片段

這個惡意軟體腳本使用簡單的字串拼接和多個變數替換,企圖混淆程式碼以躲避防毒偵測。當巨集被執行,會植入三個不同類型的隱藏腳本,包括一個Windows PowerShell腳本。這策略意味著網路犯罪分子會去針對Windows 7,開始預設安裝了Windows PowerShell。

圖4、W97M_DLOADER.AI植入的檔案

名為adobeacd-update.bat的腳本會執行adobeacd-update.vbs(VBS_POWRUN.KG),提升使用者權限,然後再執行另一個名為adobeacd-update.ps1TROJ_POWDLOD.GN)的腳本。TROJ_POWDLOD.GN接著會從http//185[.]14[.]31[.]9/work.exe下載並執行TROJ_ROVNIX.NGT,這是一個ROVNIX載入器。

根據趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料,德國出現了最多使用者有著受感染系統。

表1、2014年11月6日到2014年11月18日最受影響的國家

 

結論

ROVNIX對使用者和企業都會造成危險,因為除了其後門能力外,它還可以竊取密碼和記錄按鍵資訊。這種攻擊可能被用在資料入侵外洩上,因為資料竊取是其主要行為。此外,這攻擊突顯出有更多惡意軟體可能會去利用巨集文件來濫用PowerShell以散播其惡意程式。不過要注意的是,在此次攻擊中,PowerShell功能並未被濫用。

使用者可以輕易地將其巨集設定設到最大安全性以保護其系統。如果檢視文件需要用到這功能,請確保檔案來自可信任的來源。趨勢科技透過主動式雲端截毒技術來偵測惡意檔案以保護使用者免受此威脅。

相關雜湊值如下:

  • 92C090AA5487E188E0AB722A41CBA4D2974C889D
  • 4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5

 

@原文出處:ROVNIX Infects Systems with Password-Protected Macros作者:Joie Salvio(趨勢科技威脅回應工程師)

防禦使用Tor(The Onion Router)匿名服務的惡意軟體(一)

在過去的幾個月裡,Tor(The Onion Router)匿名服務因為各種原因出現在新聞上。最為人所知的可能是它被用在現已關閉的Silk Road地下市場。在趨勢科技標題為「深層網路和網路犯罪」的白皮書裡深入探討了深層網路的話題。在2014年預測裡,提到網路犯罪份子會進入更深層的地下世界,其中一部份會更多的使用Tor。

網路犯罪分子顯然沒有對Tor的潛力視而不見,網路管理者也必須考慮到使用Tor的惡意軟體可能會出現在自己的網路內。他們該如何應對這方面的發展?

 

到底什麼是Tor?

Tor被設計來解決一個相當具體的問題:阻止中間人(如網路管理者、網路服務供應商、甚至是國家)來確認或封鎖使用者所連上的網站。它如何做到這一點?

之前被稱為「洋蔥路由器」,Tor是洋蔥路由概念的實作,會有許多網路上的節點提供網路流量的中繼服務。想要使用Tor網路的使用者會安裝一個客戶端程式在自己的電腦上。

這個客戶端程式會連上一個Tor目錄伺服器來得到節點列表。使用者的Tor客戶端會選出一條網路流量路徑,透過各個Tor節點來到達目的地伺服器。這路徑就是為了不容易被追蹤。此外,節點間的所有通訊都被加密過。(關於Tor的更多詳情可以在Tor專案官方網站上找到。)

實際上,這會對你所連上的網站,以及任何在你行經路徑上可能會監聽你網路流量的攻擊者隱藏住你的身份(或至少IP地址)。對一個想要隱藏自己行蹤,或因某種原因被試圖連上的伺服器拒絕IP地址的訪客來說很有用。

這可以用來做合法和非法的用途。不幸的是,這意味著它可以,並且已經用在惡意目的上。

 

它如何被用在惡意用途?

就跟其他人一樣,惡意軟體可以很容易地使用Tor。在2013年下半年,我們看到更多惡意軟體利用它來隱藏自己的網路流量。在九月,我們有篇部落格文章提到Mevade惡意軟體下載Tor元件以作為命令與控制(C&C)通訊的備援。2013年10月,荷蘭警方逮捕了四名TorRAT惡意軟體的幕後黑手,這是一個利用Tor進行C&C通訊的惡意軟體家族。這惡意軟體家族針對荷蘭使用者的銀行帳戶。調查工作很困難,因為它使用了地下加密服務來逃避偵測,並且使用加密電子貨幣(如比特幣)。

在2013年的最後幾個禮拜,我們看到一些勒索軟體Ransomware變種稱自己為Cryptorbit,明確地要求受害者使用Tor瀏覽器(帶有預先Tor設定的瀏覽器)來支付贖金。(該名稱的靈感可能來自於惡名昭彰的CryptoLocker惡意軟體,它也有著類似的行為。)

使用 Tor之勒索軟體的警告

圖一、使用 Tor之勒索軟體的警告

趨勢科技曾論了幾個ZBOT樣本,除了使用Tor來進行C&C連線的樣本,還有樣本會將自己的64位元版本嵌入正常的32位元版本內。

執行中的64位元ZBOT惡意軟體

圖二、執行中的64位元ZBOT惡意軟體

Continue reading “防禦使用Tor(The Onion Router)匿名服務的惡意軟體(一)”

控制台元件(CPL)惡意軟體分析

在上個月,趨勢科技發表了一篇部落格文章,描述主控台惡意軟體正在經由惡意附件檔散播給巴西的使用者。我們持續地研究這些威脅,現在已經發表了一份標題為「控制台惡意軟體:惡意控制台元件」的研究報告,內容包括控制台元件(CPL)的結構和不法分子如何利用它來散播惡意軟體(主要出現在巴西)。

目前,此一特定威脅被普遍地用來在巴西散播銀行惡意軟體。通常這些使用者被寄送了一封包含惡意壓縮檔連結的金融相關郵件。當這檔案被解壓縮後,使用者會看到許多惡意CPL檔案。

圖一、典型CPL惡意軟體行為

在分析方面,研究CPL檔案基本上跟研究DLL檔案相同。不過和後者不同的是,它會在點兩下後自動執行。這就跟EXE檔案一樣,但沒有被教育過的使用者在不知情下比較容易會去執行CPL檔。大多數來自巴西的CPL惡意軟體是用Delphi所編寫,這是在該國相當普及的編程語言。

在巴西,用在銀行惡意軟體的CPL檔案幾乎和EXE檔案一樣常見,這兩種格式加起來,佔了2013年3月到11月在巴西所看到銀行惡意軟體的近90%。在過去兩年間(2012年和2013年),趨勢科技在該國偵測到近25萬的 CPL 惡意軟體。它已經成為巴西使用者和機構的一個顯著問題。

 

@原文出處:A Look Into CPL Malware作者:Fernando Mercês(資深威脅研究員)

趨勢科技協助 FBI 定罪 SyEye 銀行木馬駭客背後的故事

loveme、kissme、抓我、試試看

圖片來自dprotz,透過創用授權使用

最近美國聯邦調查局(FBI)發表一份新聞稿關於對Aleksandr Andreevich Panin(一名俄國人,更為人所知的名稱是「Gribodemon」或「Harderman」,在網路上跟惡名昭彰的SyEye銀行木馬連結在一起)和Hamza Bendelladj(一名突尼西亞人,網路綽號為「Bx1」)所進行的法律行動。Panin已經為進行線上銀行詐騙的指控認罪,而針對Bendelladj的控訴還在進行中。美國聯邦調局的新聞稿裡也感謝趨勢科技的前瞻性威脅研究(FTR)團隊協助此次調

Bendelladj被指稱經營至少一個 SpyEye 的命令和控制伺服器,雖然我們的TrendLabs部落格和我們的調查已經明確指出他的參與還要更為深入。他在2013年1月5日在曼谷機場被逮捕,而Panin是在去年7月1日飛經亞特蘭大時被捕。

趨勢科技的前瞻性威脅研究團大概在四年前就開始對SpyEye的幕後黑手進行調查。在這段調查期間,我們描繪出支援該惡意軟體的基礎設施,確認該基礎設施的弱點,並找到若干重要線索指出這惡意銀行木馬背後的個人身份。當我們覺得已經有足夠的資訊時,我們和執法單位合作以達到今日你所見到的圓滿結果。

我們進行中的研究有著相當豐富的資料,許多因為法律行動還在進行中而不適合分享出來,但你可能會有興趣知道這些被告最常使用的密碼包括了「loveme」、「kissme」和「Danny000」。我讓你自己去想想有關安全實作的結論。

去年的逮捕行動和最近的認罪再次證明了趨勢科技針對網路犯罪幕後黑手 Continue reading “趨勢科技協助 FBI 定罪 SyEye 銀行木馬駭客背後的故事”

「比特幣採礦」惡意軟體猖獗 台灣名列第6大受害國

比特幣 (Bitcoin)使用者請妥善保管錢幣  以避免個資被竊

過去的幾個禮拜對於比特幣(Bitcoin)的擁有者和投機份子來說都非常的刺激,價格曾經被推高到一比特幣兌換超過1200美元。由於比特幣等同貨幣、具有交易價值的特性,更引發駭客的高度興趣。趨勢科技發現針對比特幣採礦的惡意軟體開始蔓延,且台灣已經名列第6大受害國!針對比特幣用戶,趨勢科技提醒:當比特幣被竊時,用戶個資很可能一併洩漏,建議消費者應採取「個別錢包」與「離線管理」方式,可降低受害機率。

有些評論家(包括前美國聯準會主席葛林斯潘)都在呼籲比特幣的價格會變成「泡沫」,而一位前荷蘭央行行長也將它與16世紀的鬱金香狂熱相比。其他的網路貨幣,像是萊特幣(Litecoin),也都出現類似的漲幅(我們過去在部落格中已經討論過許多次比特幣,包括在今年初的時候)。

不管會不會變成泡沫,比特幣都有相當的價值。這也是為什麼有越來越多比特幣的相關威脅出現。受害者可能會被利用來開採比特幣,或是被偷走自己所擁有的比特幣。

這「泡沫」也讓竊取比特幣可以獲得更大的利益。比方說,位在深層網路內的Sheep地下市場在本月初關閉 – 使用者損失了高達一億美元的比特幣。

從九月至十一月,來自主動式雲端截毒服務  Smart Protection Network的資料顯示,全球有超過12,000台電腦感染了比特幣採礦惡意軟體。

而最近比特幣的大漲,可能又會讓網路犯罪份子想要故計重施。雖然利用CPU,甚至是GPU來進行採礦的採礦程式,現在都在使用專用積體電路(ASIC)的專門採礦機面前黯然失色,後者在進行雜湊運算的速度要比前者要高上好幾個級別,即便使用的是高階的電腦硬體。然而,因為任何被開採出來的比特幣現在的價值都如此的高,所以就算是「慢」速採礦機,對網路犯罪份子來說也都很值得。

趨勢科技病毒防治中心目前偵測到3隻名為BKDR_BTMINE, TROJ_COINMINE 及HKTL_BITCOINMINE專門偷竊比特幣的惡意軟體,在消費者不知情的狀況之下,受感染的電腦將會為不法人士進行採礦,並將所得到的比特幣傳送至其設定的電腦,成為不法人士的虛擬資產。且至目前為止,全球已有超過12000台電腦遭比特幣惡意軟體入侵,造成電腦效能嚴重變差的情形。趨勢科技資深技術顧問簡勝財表示:「目前比特幣惡意軟體的全球受害災情,50%的感染電腦來自於日本、美國和澳洲,台灣名列第六。趨勢科技將持續觀察此波災情,也提醒台灣用戶多加注意。」

以下是趨勢科技統計出來的全球比特幣受害國排名:(以遭感染電腦數量計算)

 

簡勝財更提醒,將惡意軟體安裝在受害者的電腦內來幫忙不法份子採礦,已成為新一波的網路不法行為。由於比特幣採礦相當耗費電腦資源,所以遭感染的電腦其作業系統速度會被拖慢、CPU的負荷增加,並且電腦的電力消耗也會變快。

  如何保護比特幣?

對於那些腐敗的網站或交易商來說,除了避免跟他們打交道外並不能做些什麼。使用者可以做的是要看緊自己的個人比特幣錢包。 Continue reading “「比特幣採礦」惡意軟體猖獗 台灣名列第6大受害國”

針對企業與大型機構的新興「Safe」鎖定目標攻擊興起

超過ㄧ萬受害IP 遍佈百國 以亞洲地區國家為大宗 


2013 5 30 日台北訊】趨勢科技發現一個名為「Safe」的全新鎖定目標攻擊,攻擊對象為政府機關、科技公司、媒體、研究機構,以及非政府組織。Safe 攻擊的散布方式採用魚叉式網路釣魚(Phishing)電子郵件,內含專門攻擊 Microsoft Word軟體漏洞 (CVE-2012-0158) 的惡意附件檔案,惡意程式入侵電腦後將與C&C伺服器連線,近而竊取受害電腦資料並且下載更多惡意程式。根據趨勢科技的追蹤分析,已知有近12,000個受害IP,受害者遍佈超過 100個國家,平均每天有71個受害IP連往C&C 伺服器,其中最大宗受害IP來源國集中在印度、美國、中國以及巴基斯坦。

針對企業與大型機構的新興「Safe」鎖定目標攻擊興起

圖一:受害IP遍佈全球100多個國家,

前五名中除了美國外,其餘皆為亞洲地區國家。

 

這項攻擊首度現身於 2012 年 10 月,「Safe:鎖定目標威脅」(Safe: A Targeted Threat) 研究報告指出,「 Safe」鎖定目標攻擊使用的是專業軟體工程師所開發的惡意程式,這些工程師可能與地下網路犯罪集團有所關聯。趨勢科技病毒防治中心 Trend Labs 資訊安全專家 Macky Cruz 表示:「我們觀察到一些較小型攻擊正逐漸興起,不同於以往資安業界所熟知的較為大型且行跡較為明顯的攻擊,此類小型攻擊採用email社交工程手法,入侵特定全球企業及機構,Safe 攻擊就是這樣一個例子,它使用少數的幕後操縱伺服器、新型惡意程式,並且僅針對特定目標進行鎖定攻擊。」

 針對企業與大型機構的新興「Safe」鎖定目標攻擊興起

                                                   圖二:Safe 鎖定目標攻擊運用電子郵件樣本。 Continue reading “針對企業與大型機構的新興「Safe」鎖定目標攻擊興起”

< APT 攻擊> 駭客跟你一樣關心「二代健保補充保險費扣繳辦法說明」–假冒健保局名義信件夾毒發送中!!(含信件樣本)

<更新>根據報導41 歲高中學歷嫌犯因為不爽被罰錢 冒健保局散播電腦病毒,該嫌透過網路自學成為駭客,因不滿被健保局罰錢,冒用健保局名義,寄發內含竊取個資木馬的惡意郵件,至少已經竊取一萬多筆個資。該報導中還指出警另查出,潘嫌替友人組裝電腦,還暗中安裝木馬程式,用來監視友人上網情況

有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式 ,意圖竊取個資

Trojan 木馬有心人士冒用健保局北區業務組名義,散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話,以及公司名稱。

 有心人士發動社交工程攻擊 假冒健保局散佈木馬與後門程式 意圖竊取個資

有心人士發動社交工程攻擊 假冒健保局散佈木馬與後門程式 意圖竊取個資

                圖說:趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件,

內容詳細提供各項連絡電話與方式,以取信收件者。

  Continue reading “< APT 攻擊> 駭客跟你一樣關心「二代健保補充保險費扣繳辦法說明」–假冒健保局名義信件夾毒發送中!!(含信件樣本)”