偽裝收據通知,垂涎比特幣和網路銀行

網路犯罪分子和威脅幕後黑手經常會利用測試過的漏洞來感染使用者系統,也藉此去穿透企業網路。這凸顯出修補系統和將軟體及應用程式保持在最新狀態的重要性。

比特幣bitcoin3

趨勢科技最近發現DYREZA惡意軟體利用了舊的Adobe Reader和Acrobat漏洞(CVE-2013-2729)。一旦成功地攻擊此漏洞,就可以在受影響系統上執行任意程式碼。

圖1-2、垃圾郵件截圖

DYREZA惡意軟體使用偽裝成收據通知的垃圾郵件作為感染媒介。它夾帶著惡意PDF檔案(被趨勢科技偵測為TROJ_PIDIEF.YYJU)。一旦執行,它會攻擊CVE-2013-2729漏洞,進而去下載TSPY_DYRE.EKW,一個DYREZA變種(也被稱為DYRE和DYRANGES)。

DYREZA是個以竊取銀行認證資訊聞名的惡意軟體,而且和包裹騾子詐騙有關。我們最近寫過一篇部落格文章詳述了此惡意軟體在威脅環境生態系中所扮演的角色和一些顯著的行為,包括其有能力透過瀏覽器注入來進行中間人(MITM)攻擊,監視目標銀行的網路銀行連線和竊取其他資訊,如瀏覽器版本、截圖和個人認證資訊。

使用者和企業都有危險,因為DYREZA可以透過瀏覽器截圖來取得其他類型的資料,像是個人識別資訊(PII)和認證資訊。此外,還有報告指出CUTWAIL殭屍網路會導致下載UPATRE和DYRE惡意軟體。

讓TSPY_DYRE.EKW值得注意的是其注入惡意程式碼到特定銀行和比特幣登入頁面來竊取重要資訊的能力。它所監視的一些比特幣網頁:

  • co.uk/*
  • co.uk/login*
  • com/*
  • com/merchant-login*
  • com/*
  • com/accounts/login*
  • bitstamp.net/*
  • bitstamp.net/account/login*

除了資料竊取的行為外,TSPY_DYRE.EKW可以連到某些惡意網站來收發資訊。此外,它可以連到特定STUN(NAT會話傳輸應用程式)伺服器來確認其感染電腦的公開IP位址。因此,網路犯罪分子可以找出惡意軟體的位置或判斷受影響使用者和組織的位置。出現最多受害者的國家包括了愛爾蘭、美國、加拿大、英國和荷蘭。

比特幣是一種具有真實世界價值的數位貨幣。網路犯罪分子常常會將目標放在比特幣上,因為它提供了一個可以產生利潤的新場所。雖然這並不是第一次詐騙分子及網路犯罪分子將目標放在比特幣上,這個新攻擊凸顯出傳統威脅(如漏洞和銀行惡意軟體)仍然是網路犯罪分子竊取使用者認證資訊和攻擊較新平台(比特幣)的常用手段。它也教了我們關於保持系統和軟體應用程式更新到最新版本的重要一課。

趨勢科技透過主動式雲端截毒服務  Smart Protection Network來保護使用者對抗此威脅,它會偵測垃圾郵件和所有相關惡意軟體。

@原文出處:Old Adobe Vulnerability Used in Dyreza Attack, Targets Bitcoin Sites作者:Rika Joi Gregorio(趨勢科技威脅回應工程師)

什麼是比特幣(Bitcoin)?

比特幣是一種類型的電子貨幣,使用點對點(P2P)網路來追蹤和驗證交易。比特幣系統沒有涉及金融機構,因此不需要中央監管單位來控制此貨幣。比特幣可以在網路上作為現金使用。

為何勒索病毒要求用比特幣(Bitcoin)付費?

近年來比特幣成為洗錢或網路犯罪的工具,近來電腦遭勒索病毒綁架的事件層出不窮,駭客便要求受害者用比特幣來支付贖金。

勒索軟體的前身是假防毒軟體(Fake AV),”假好心”地跳出電腦中毒的訊息,且鎖住桌面,嚇唬使用者,台灣也曾出現案例,一名新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料。

勒索病毒 Ransomware 後來變本加厲發展到對重要檔案加密,但因為被害者付費麻煩,而且警察容易循線抓到駭客,起初並沒有流行。直到比特幣出現,解決了勒索病毒的金流問題,以及駭客被追蹤的風險,讓勒索病毒又開始大肆流行。

勒索軟體 比特幣 Cryptolocker

比特幣系統

比特幣是在處理稱為「區塊(block)」的數據後產生或「開採」出來。一個比特幣區塊是讓使用者需要進行許多運算後才能解決的加密問題或謎題。Bitcoin的生成,俗稱「挖礦」,需要極大的運算能力。沒有足夠資源的使用者可以直接從比特幣交易網站來購買或出售比特幣,或是透過臨櫃交易單位以及私底下進行交易。

整個比特幣網路依賴一個共享的公共總帳,稱為「區塊鏈」。區塊鏈包含了每一個比特幣或處理過的數位貨幣交易。所進行交易的有效性會透過使用者比特幣地址的電子簽章來加以驗證。驗證過程會確認比特幣消費是透過擁有它們的比特幣所有者進行。

 

比特幣bitcoin

使用比特幣

每一筆的比特幣交易都需要有比特幣地址和比特幣錢包。和電子郵件地址類似,使用者利用這些地址來發送和接收比特幣。使用者可以擁有多個地址;有些人會每筆交易都用一個地址。

比特幣使用者利用比特幣錢包來幫助管理他們的交易。每個錢包都具備一小段被稱為「私密金鑰」的數據,用來證明該交易來自電子錢包所有者。這把金鑰或簽章可防止交易被竄改。

有各種不同類型的比特幣錢包 – 軟體錢包(安裝在電腦),行動錢包(安裝在行動設備)和網路錢包(託管在雲端服務的錢包)。

比特幣可以用來購買各種網路服務,像是虛擬主機、行動應用程式開發以及雲端檔案儲存。它們也可以用來購買產品,像是遊戲、音樂、禮品卡和書籍。比特幣的使用並不限於網路交易,有些現實世界內的機構也接受使用比特幣來購買各種商品。它同時也可以在一些網站上兌換成多種國際傳統貨幣。

數位貨幣

比特幣不是唯一的數位貨幣。Litecoin是另外一種P2P貨幣,和比特幣不同的是它提供更快速的交易確認,較多的錢幣數量和較少的生成所需運算能力。許多人認為Litecoin是繼比特幣之後的第二大電子貨幣Namecoin又是另一種的數位貨幣,大多被用在分散式網域名稱系統(DNS)設定,讓網路審查制度更難以進行。Namecoin透過建立不被網際網路名稱與號碼指配組織(ICANN)控制的頂級網域(TLD)來做到這一點。ICANN負責協調網域空間和其他事務。

比特幣的新聞

雖然比特幣從2009年就開始存在,但在最近獲得較多的新聞報導。「地下黑市」 – Silk Road的關閉似乎刺激了比特幣價格的飆升。加上出現了世界第一台的比特幣自動提款機,讓比特幣似乎越來越走向公眾。 Continue reading “什麼是比特幣(Bitcoin)?"