當我看到這篇部落格文章時,我最先想到的是:「這是另一次的目標攻擊擊嗎?」我看了一下這文章內所提到的PDF檔案,它看起來像是給某國防承包商員工的員工滿意度調查。趨勢科技產品會將這惡意PDF檔案偵測為TROJ_PIDIEF.EGG。下面是這文件的截圖。
在我看來,網路犯罪分子的目標是這間國防承包商的員工以獲得該公司的資料,甚或是它客戶的資料。趨勢科技還發現到他們的客戶包括了許多廣為人知的聯邦政府機構。
這個PDF漏洞攻擊碼跟其他常被使用的漏洞攻擊碼類似。裡面夾帶了惡意JavaScript以執行shellcode來解開並安裝內嵌在PDF內的二進位檔案。下面是被嵌入的二進位檔案,趨勢科技將其偵測為BKDR_SYKIPOT.B。
假 Youtube 網頁,假防毒軟體,夾帶在搜尋頁面中趁機打劫
被稱為超級電腦病毒的 Stuxnet 蠕蟲,近日肆虐全球,網路犯罪者正利用 Stuxnet 蠕蟲到處肆虐的新聞熱潮來散發惡意程式。趨勢科技資安威脅高級研究員 Ivan Macalintal 發現,許多有關此蠕蟲的搜尋結果均遭到毒化。此次遭到 Black_Hat SEO黑帽搜尋引擎最佳化的一些搜尋字串包括:「stuxnet SCADA」、「stuxnet removal tool」、「stuxnet cleanup」、「stuxnet siemens」、「stuxnet worm」等等。某些已遭毒化的搜尋字串還高居搜尋結果頂端。其中有一個搜尋字串所指到的惡意 URL ({BLOCKED}lo-canada.org/2008/stuxnet.html) 會將使用者帶到一個專門攻擊 CVE-2010-0886 與 CVE-2010-1885 漏洞的網站。此外,還有某些搜尋結果會將使用者導向專門攻擊 PDF 和 SWF 漏洞的網站。該威脅分別命名為TROJ_PIDIEF.XE 和 SWF_AGENT.WAW。
事實上,可能招來的惡意程式很多,包括會在系統上植入其他惡意程式的下載程式在內,此外也包括 TROJ_FAKEAV.SMZU 這個假防毒軟體FAKEAV 變種。假防毒軟體FAKEAV 變種特別喜歡利用搜尋結果和新聞事件來誘騙使用者購買假防毒軟體。
