分類: 網路購物

一種與 Emmental 攻擊行動手法類似的新形網路銀行惡意程式正肆虐日本，這就是趨勢科技所偵測到的 TROJ_WERDLOD 木馬程式，此一新的惡意程式從2014 年 12 月肆虐至今，已確定的受害者數量超過 400。

這項威脅藉由兩項系統設定變更來讓它能直接在網路層次竊取資訊 (也就是不需借助資料竊盜惡意程式)。其優點是不需要重新開機或者在感染的系統上執行任何常駐程式。

第一項變更是系統的 Proxy (網站代理伺服器) 設定，將某些使用者的網際網路流量重導到一個駭客掌握的 Proxy。第二項變更是將惡意根憑證加到系統信任的根憑證清單當中。如此一來，歹徒就能從其 Proxy 發動中間人攻擊 (Man-In-The-Middle，簡稱 MITM) 並使用惡意網站的憑證而不會造成系統出現警告或錯誤訊息。

這項惡意 Proxy 搭配新增根憑證的技巧，曾經出現在  Emmental 攻擊行動當中，所以，顯然這項技巧已經傳到了日本。

感染途徑

TROJ_WERDLOD 會利用含有 .RTF 附件檔案的垃圾電子郵件來感染使用者。該文件會偽裝成購物網站寄來的發票或帳單。這個 .RTF 檔案開啟之後，其內容會指示使用者點兩下文件當中的某個圖示 (見下圖)，使用者一旦照做，就會讓 TROJ_WERDLOD 得以執行。

 

圖 1：導致使用者感染 TROJ_WERDLOD 的垃圾郵件 繼續閱讀

在本系列文章的第一部中，我們討論了銀行惡意軟體DYRE的行為和進入點。然而，資料竊取並非此惡意軟體的最後一步。這惡意軟體還參與了另一項計畫 – 包裹騾子騙局。

包裹和騾子

在我們分析DYR惡意軟體時，也發現了一個網頁控制台 – Global BlackPoint。

圖1、Global BlackPoint網站

快速地進行線上搜尋，此網域已經出租一年多了。網站使用者可以購賣其所想要的東西。

圖2、待售物品

然而，研究和有關此網頁控制台內容的情報都指出一個事實，它被用作購買美國商品，再將其重新寄送到不同的地方。該網站在其使用條款內指明了這一點。  繼續閱讀

對許多人來說，聖誕節和新年等節日是購物和花錢的季節。但在網路犯罪分子眼裡則有別的意思 – 他們認為這是進行網路釣魚偷竊個資的黃金季節。

 舉網路購物做為例子。惡意網站會試著誘騙網路購物者送錢給他們，而不是去正常的購物網站。這些網站常會弄得跟所模仿的網站完全一樣，並且有個登錄頁面來要求使用者輸入個人資料。他們對於任何種類的登錄資訊都感興趣 – 比方說，趨勢科技最近看到一個網路釣魚（Phishing）會竊取使用者的Apple ID。

我們從2008年開始就一直在追蹤釣魚網站數量。趨勢科技特別注意那些針對聖誕購物或帶有節日色彩的釣魚網站。有很多這樣的例子，而且整年都有。並不意外的，它們也在年底開始上升，如同下圖所示：

圖一、聖誕相關/節日色彩的釣魚網站

 

這些網站也在主要購物日達到顛峰，像是黑色星期五和網路星期一(註)。網路購物者傾向在這些日子裡找尋大的折扣。

網路犯罪分子將目標放在網路購物時，使用者會特別注意的東西，像是電子產品（平板電腦、智慧型手機和數位單眼相機）、玩具、電視遊樂器和遊戲、以及軟體等。我們查看了購物網站上最暢銷及最受期待的銷售項目，將其和我們在釣魚網站上所看到的做比較。趨勢科技發現了這些是最被針對的項目：

圖二、十大網路釣魚針對的購物項目

 

垃圾郵件(SPAM)攻擊活動也會利用這個季節。我們最近發現一起垃圾郵件攻擊活動針對英國使用者。這次攻擊活動促銷到加那利群島的廉價機票 – 這對英國人來說是個熱門旅遊景點。這旅遊套票也利用了知名廠商的名字。 繼續閱讀