“Adobe Flash 版本太舊需要更新?”按下後卻中了勒索病毒►遠離6 種更新通知陷阱

最近有網友反應 ,上網時忽然跳出通知說 Adobe Flash 版本太舊需要更新,不疑有它按下後就中了勒索病毒。本文要告訴你有哪些更新通知,其實暗藏陷阱,尤其是勒索病毒,畢竟電腦可以重灌,那些年的照片卻無法重拍……

CryptXXX 勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀,所以大型網站比較安全嗎?報導指出攻擊者透過廣告聯盟及軟體漏洞,透過大型網站如《紐約時報》、BBC 、MSN 等的廣告,藉此安裝勒索病毒。

英國獨立報紙 The Independent 網站曾因遭到入侵,使得瀏覽其網站的使用者都被重導到專門感染 Angler 漏洞攻擊套件的網站。此時,使用者電腦上的 Adobe Flash Player 若非最新版本,其電腦就會被植入 TeslaCrypt 勒索病毒。類似 Locky 勒索病毒利用 Flash 和 Windows 系統核心漏洞散播, 類似這樣的事件時有所聞,保持作業系統、Adobe Flash、瀏覽器等重要軟體更新是防範漏洞攻擊、保障系統安全的方式之一,但趨勢科技提醒大家,安裝更新通知請睜大眼:保持作業系統及應用程式更新可防漏洞攻擊,但別更新到勒索病毒! 

.

Windows /Adobe Flash 更新通知、出現藍屏、網頁變亂碼、假技術支援真詐騙….駭客裝神弄鬼常見 6 招

上網正開心突然跳出警告訊息,你會怎麼辦?猜猜看以下有哪些是駭客裝神弄鬼的詐騙伎倆:

  1. □出現黑畫面,跳出電腦中毒警告訊息
  2. □出現亂碼,跳出”找不到字形”對話框;警告必須立即升級
  3. □ 跳出”Windows 或 Adobe Flash 更新通知”對話框
  4. □ 出現訊息:「Windows 出現重大問題。千萬別重新開機。立刻跟我們聯絡!」
  5. □手機跳出「你感染病毒導致電池損壞」
  6. □「恭喜!!!你是今天的幸運用戶,能獲得一台蘋果iPhone…」

上述有些是假防毒軟體 (FakeAV),有兩個是勒索病毒 Ransomware (勒索軟體/綁架病毒),有一個所謂的技術支援詐騙,一個惡意廣告,還有一個騙個資的網路釣魚。以下列出這幾個案例的相關報導摘要與防治之到:

進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。
進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。

 

當機與重新開機假畫面其實是螢幕保護程式
當機與重新開機假畫面其實是螢幕保護程式

其實這招勒索病毒也常用,而且還會搬出警察大人嚇唬大家:警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金,另一個案例是警方:你因觸犯法規電腦遭鎖定,必須支付罰款才能解除鎖定

佯稱請使用者更新 Chrome 字型套件的彈出視窗
佯稱請使用者更新 Chrome 字型套件的彈出視窗

《延伸閱讀》收到 Facebook訊息的 Adobe Flash更新影片,請當心是詐騙!!

 

AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

  • 手電筒應用程式顯示:”你感染病毒導致電池損壞”是惡意廣告

    並非所有 Android 手機的作業系統都內建手電筒功能。有時候,使用者必須自行下載手電筒程式到手機上才能擁有此功能。但這類應用程式經常含有廣告,並且會不斷更新。根據趨勢科技研究團隊發現,去年 Google Play商店上出現一個會顯示惡意廣告的手電筒程式,不僅為使用者帶來困擾,更會欺騙使用者說他們的手機感染了病毒。且該程式的下載畫面上可看到已累積了6百萬人次下載,影響者眾。

應用程式執行時顯示的警告視窗

應用程式執行時顯示的警告視窗

某個遭到感染的網站所顯示的假警告訊息。
某個遭到感染的網站所顯示的假警告訊息。

 

 

詐騙步驟:

STEP1:瀏覽網頁時,跳出以「問卷調查」為名的彈跳式視窗

STEP2:只要協助回答幾個簡單問題,有機會得到iphone手機

STEP3:問卷最後要求填寫個人資料以進行抽獎,填入Email資料後會自動發送一封確認信,還會給你一組抽獎序號,讓你可以繼續幫忙推廣,甚至宣稱推薦更多人中獎率越高。

STEP4:這類網站用意是獲得民眾個資後再轉賣,民眾陸續可能會接到一些廣告、行銷、詐騙等電話

遇到彈出警告視窗該怎麼辦?

上網時.若瀏覽網頁突然跳出奇怪的視窗或畫面,無論是恐嚇中毒或是恭喜你得獎,請先不要過於驚慌/驚喜。趨勢科技資深技術顧問簡勝財建議: 「馬上將網頁或瀏覽器關閉!千萬不要亂點奇怪的連結或按鈕。若真的不小心點了,若出現要安裝某某軟體,或是要輸入帳號密碼等個人資訊。請直接關不要安裝或輸入個資。 部分勒索病毒會利用軟體漏洞進行攻擊。因此建議要定期更新軟體修補程式或更新程式,除此之外最好的防護是透過防毒軟體協助攔阻這類攻擊事件。」

6 招防範技術支援詐騙

技術支援詐騙經常利用各種伎倆來操弄受害者的心理。以下是防範這類詐騙的一些祕訣:

  1. 防範技術支援詐騙最有效的辦法就是熟知其常用的攻擊伎倆
  2. 請記住,真正的技術支援人員不會主動打電話給您。您必須自己向他們求助。因此,小心那些不請自來的電話。假若您必須聯絡技術支援人員,請務必確認您手上的電話是對的。請直接前往服務廠商的官方網站來查看他們的支援專線電話號碼。
  3. 若您的螢幕已經被鎖住,然後畫面出現一個惡意廣告,千萬別驚慌。您通常只需利用 Windows 的「工作管理員」來終止瀏覽器的執行程序即可輕鬆化解。切記千萬別撥打廣告上的熱線電話。若您在公司裡面,請聯絡您的 IT 部門。
  4. 若您聯絡上的支援人員一開始就要求您讓他們從遠端存取您的電腦,請提高警覺。遠端存取一般來說都更高階的技術人員才會做的事,而非接電話的第一線人員。
  5. 若您已經上當,請盡快採取行動。若您已經把信用卡資料給了對方,請立刻聯絡您的發卡銀行。若您已經授權給對方進行遠端存取,請馬上變更您的電腦登入密碼。
  6. 安裝一套有效且正派的防毒軟體來避免系統連上惡意網站。若您已經安裝,切記隨時保持防毒軟體更新。唯有保持更新,才能讓您的軟體具備最完整的防護來防範最新的惡意網站。

 

「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心

5月 13日是2016年的第一個黑色星期五,也是 Friday 13th 黑色星期五在 1987 年發病以來的第29個年頭。黑色星期五,這是個被西方社會認為是不幸、不吉利的日子。據英國《每日郵報》報導,黑色星期五當天發生的交通事故比平日高出個百分點

而根據趨勢科技統計,13 號星期五當天發病的已知病毒也有五隻。但是這些病毒屬於低度風險的病毒,相較於隱藏在頁面後面看不到的威脅,它的傳播力與破壞力已經不足以構成威脅了。取而代之的是被媒體形容為宛若電腦綁架的勒索病毒 Ransomware。適逢報稅季,搶在黑色星期五之前,本周稍早即出現了勒索病毒假健保卡報稅郵件,勒索六萬台幣!

Friday 13 th

雖然「黑色星期五」病毒,曾經傳出嚴重的災情,甚至在 1996 年度高居趨勢科技病毒排行榜第二名,但28年後的今天發病時會讓 A 磁碟機一直在亮燈狀態,並顯示 “ We hope we haven‘t inconvenienced you” 訊息的黑色星期五,已經邁入毫無戰鬥力的退休狀態。

趨勢科技表示黑色星期五誕生的這年恰巧也是史上第一隻電腦病毒:大腦(Brian)首度被發現的年份。28歲對電腦病毒而言,卻是人瑞級電腦病毒,甚至可說是大量病毒爆發時代走入歷史的時刻

當年「Friday 13th-13號星期五」病毒上身時,A磁碟機會一直在亮燈狀態。「Friday 13th-13號星期五」的變種病毒很多,包括,Edge、Friday 13th- 540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B 等。事實上,感染方式相差無幾,包括增加文件長度、擴大感染範圍、出現令人哭笑不得的訊息。

另外一隻專門在13號星期五發病的知名病毒是「耶路撒冷病毒」,1987年11月耶路撒冷病毒在以色列的Hebrew大學被發現。雖然它和「13號星期五」的生日只差一個月,但感染的後遺症卻比前者嚴重。中毒電腦會出現系統執行速度變慢的現象,每逢13號星期五會在螢幕左下方出現黑色視窗,並會刪除正在執行的程式。

勒索病毒 :不給錢就鎖檔,連 FBI 都沒轍

中了勒索軟體該怎麼辦?「建議受害人付款了事」在一個網路安全高峰會上FBI 如是表示

【保護重要檔案,不能再等!!】上個月起碼有兩家醫院因勒索軟體被迫回到紙本作業;新聞曝光的受駭者至少超過五個警察局,和大型知名網站》》一般電腦用戶更因開啟熟人冒充的釣魚信、下載軟體、瀏覽惡意網頁…而遭致不計其數電腦檔案變成肉票!!

 

FB851x315

 

以下是幾個感染勒索病毒的管道

「不給錢 就鎖檔」你愛的韓劇,日劇,陸劇,電影….勒索軟體也愛!!
追劇竟中勒索軟體/勒索病毒! 認識「Drive by download」路過式下載


最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索軟體,

 

報稅季勒索軟體守株待兔,未雨綢繆方能「稅稅平安」
勒索病毒假健保卡報稅郵件,勒索六萬台幣!捍衛血汗錢,謹記網路報稅三「不」驟

Vulnerability 漏洞 勒索軟體 警告 安全

 

” 附件是 word 檔案,打開沒關係吧? ”
不給錢就鎖檔! 防止檔案成勒索軟體肉票,防範未然是王道

ransomware-word

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密,免費下載試用

Windows10Banner-540x90v5

AV-TEST :PC-cillin雲端版再度獲選為”最佳防毒軟體”


 

 

同場加映:巧合的13號星期五威脅事件:

 

Frith 13 th

2006年10月13日黑色星期五,發生日本麥當勞召回總數約1萬台的MP3播放器的贈品事件,因為其發送的MP3播放器含有會竊取使用者資料的木馬病毒 WORM_QQPASS.ADH,該木馬可透過大陸即時通訊軟體(IM)QQ傳送,當時日本麥當勞在官方網站提供趨勢科技解毒程式連結,作為危機處理。不過這事件恰巧發生在13號星期五,跟病毒設定的發病日無關。

 

黑心軟體 比黑色星期五更可怕 假防毒軟體被視為勒索病毒 Ransomware的前身

網路上出現更多比黑色星期五更危險的威脅,可能讓你看了一眼網站,就被暗中植入木馬間諜程式,這類隱匿性攻擊正結合黑心安全軟體,「假好心 真詐騙」。

由於合法網站與惡意網站之間的區別愈來愈模糊難辨,利益薰心的駭客看準安全意識較高的網友,在利用網頁等漏洞植入惡意程式後,不時跳出「發現病毒」等警告訊息,藉以販售黑心冒牌的安全軟體,如 假防毒軟體,這不但會讓受害者花冤枉錢,還會導致信用卡帳號被盜用。

【延伸閱讀】假防毒軟體從電腦移植到了 Android 平台

手機 假防毒軟體 Fake app

付費升級 信用卡還被盜用

假防毒軟體之類的黑心軟體,是一種偷偷下載或安裝至使用者電腦中的軟體。這些假好心的程式會嘗試以各種方式反覆警告使用者他們已經感染惡意程式。但事實上,使用者的電腦往往未發生感染,如果有,也是隨著下載的黑心假防毒反間諜軟體安裝到他們的電腦中。而無論是何種情況,這些「免費試用」的軟體都會要求使用者付費升級以獲得完整的功能。成千上萬的使用者因為這種手法而上當,購買了完全未提供任何服務的惡意間諜程式防護軟體,有些要價一套美元。一旦使用者發現這些軟體毫無用處時,他們才恍然大悟信用卡資料已被這些虛設的公司騙走。受害者除了損失50美元以外,還得取消信用卡,免得損失更大。

「你中毒了!」的警告視窗怎麼來的?

這些警告中毒的程式,利用多種頗富創意的方式進行安裝,以下是幾個例子:

1.漏洞:利用的弱點,只要使用者檢視電子郵件或瀏覽網站,惡意程式作者便能將程式偷偷安裝到他們的電腦中。 Continue reading “「黑色星期五」病毒已經29歲了,勒索病毒比13號星期五更黑心”

假防毒軟體恐嚇詐財,看到中毒警告,請睜大眼

究竟是什麼原因,小廣堅持不讓阿嬤買___?

資安漫畫 假防毒軟體 26 Fake av

《小廣和小明的資安大小事 》中毒警告訊息,讓阿嬤嚇破膽!

資安漫畫 假防毒軟體 26

日本資安漫畫 banner

 

假使出現警告標示,也千萬不可自亂陣腳

您曾經有過在使用電腦時,突然出現「感染病毒」「硬碟內出現錯誤」等的警告訊息,同時亦出現要求您購買防毒軟體的畫面的經驗嗎?

 

這個畫面是針對電腦所發出的假防毒軟體範例

Continue reading “假防毒軟體恐嚇詐財,看到中毒警告,請睜大眼”

假防毒軟體從電腦移植到了 Android 平台

Google Play 商店上的假防毒軟體以及趨勢科技「行動裝置應用程式信譽評等服務」的動態分析如何為您提供防護

本部落格曾報導過新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台

手機個資外洩?可能是你兒子下載廣告軟體

2014 年才進入四月,Android 惡意程式就已爆炸性成長。Android 惡意及高風險的 App 程式已突破二百萬大關 (見圖一),離趨勢科技技術長之前所預測的三百萬大關已不遠。事實上,光是 2014 年前三個月,我們就在全球發現了 500,000 個新的 Android 惡意及高風險的 App 程式。就在我們不斷提升這類威脅的防護時,我們又見到另一種新的威脅從 PC 移植到了 Android 平台:一個名為 Virus Shield 的假防毒軟體 (FakeAV) 在 Google Play 商店現身。

 (圖一)

Virus Shield 於 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據我們的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。 Continue reading “假防毒軟體從電腦移植到了 Android 平台”

全球下載破萬次的資安付費App 竟毫無功能?!付費防毒程式「Virus Shield」假防毒軟體,已遭Google Play下架 ,用戶切勿上當

排名第一『安全達人』免費App    替消費者把關行動App 安全

【台北訊】近期排名迅速竄升的付費防毒App「Virus Shield」,號稱可即時掃描、保護個資,售價3.99美元,上線短短一周即吸引全球下載次數超過一萬次,但該App遭踢爆不具備任何防護功能,所有消費者花了近四萬元美金,卻下載了毫無作用的App,近期已遭Google下架處理,並也被趨勢科技『安全達人』App偵測並防堵!『安全達人』免費App是目前排名第一的免費應用程式,趨勢科技呼籲用戶,除了要安裝有信譽的行動防護程式外,也要在下載前多留意使用者的意見回饋,以免白花冤枉錢、卻沒得到任何保障。

揭穿此App騙局的《Android Police》網站指出,消費者一旦花費3.99美元,下載「Virus Shield」並啟動之後,螢幕畫面上僅呈現一個簡單的圖案,按下圖案後,該畫面從打「X」變成打「V」符號,讓使用者誤以為手機已經完成了掃描工作,但該App實際上卻沒有啟動任何防護運作。《Android Police》網站並指出,此App開發者是詐欺的累犯,曾在某線上論壇中詐騙線上遊戲寶物而被取消會員資格,目前此事件已受到Google以及全球開發人員的關注。

全球下載破萬次的資安付費App 竟毫無功能?! 付費防毒程式「Virus Shield」已遭Google Play下架

圖說:問題程式「Virus Shield」的執行畫面,誤導消費者以為已經完成掃描

趨勢科技資深技術顧問簡勝財表示:「雖然『Virus Shield』已從Google Play下架,但仍有很高機會在其他下載平台或網站流竄,用戶務必小心為自己把關。事實上,趨勢科技『安全達人』免費App已及早且有效地偵測到「Virus Shield」新型詐騙,證明無論用戶在Google Play選購應用程式,甚至是從外部網站下載來源不明的App時,『安全達人』App都會啟動自動防護與掃描功能,阻擋用戶下載具有惡意威脅的應用程式,為用戶的手機資安做最全面把關!」

                全球下載破萬次的資安付費App 竟毫無功能?! 付費防毒程式「Virus Shield」已遭Google Play下架

圖說:趨勢科技「安全達人」App,在用戶下載問題程式「Virus Shield」時,就立即偵測到問題並跳出警示

 全球下載破萬次的資安付費App 竟毫無功能?! 付費防毒程式「Virus Shield」已遭Google Play下架

圖說:若用戶執行問題程式「Virus Shield」,趨勢科技「安全達人」會跳出警示提醒用戶

 

簡勝財更指出,「安全達人」免費App是目前[1]Google Play排名第一的行動防護應用程式,不但在工具類「最新熱門免費項目」位居第一,在「最新熱門免費」排行也保持領先,顯示用戶對於有信譽的行動安全軟體有強烈的需求!尤其「安全達人」更提供經趨勢科技資安驗證、來自台灣知名遊戲業者的安全遊戲App,更能滿足手遊用戶「玩得安全、玩得快樂」的渴望。

趨勢科技「安全達人」在Google Play工具類「最新熱門免費項目」排行榜位居第一

 圖說:趨勢科技「安全達人」在Google Play工具類「最新熱門免費項目」排行榜位居第一

Continue reading “全球下載破萬次的資安付費App 竟毫無功能?!付費防毒程式「Virus Shield」假防毒軟體,已遭Google Play下架 ,用戶切勿上當”

假防毒軟體偽裝工程及科學軟體註冊碼產生器

在過去幾週裡,趨勢科技看到了TROJ_GATAK.FCK的感染數量在增加。在檢視其可能原因時,我們發現該惡意軟體會以各種應用程式的註冊碼產生器面貌出現。從昂貴、專業的工程和科學軟體到多媒體編輯工具、效能評比軟體甚至是遊戲都有:

 

  • AVEVA_PDMS_v12_0_keygen.exe
  • AllData_10_40_keygen.exe
  • Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
  • CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
  • Cockos_REAPER_4_581_Final_keygen.exe
  • Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
  • GeekBench_2_2_3_keygen.exe
  • Guaranteed_PDF_Decrypte_v3_11_keygen.exe
  • Macrium_Reflect_Professional_5_2_6433_keygen.exe
  • Magical_Diary_Horse_Hall_keygen.exe
  • Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
  • Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
  • RadioSure_Pro_2_2_1004_0_keygen.exe
  • Reg_Organizer_6_11_Final_Portable_keygen.exe
  • The_Bat_Home_Edition_5_0_24_keygen.exe
  • The_Precursors_1_1_keygen.exe
  • Wolfram_Mathematica_9_keygen.exe

如果使用者下載並執行這個檔案(認為它是個註冊碼產生器),它會植入檔案到%APPDATA%資料夾,並建立一個相對應的自動啟動註冊碼。 Continue reading “假防毒軟體偽裝工程及科學軟體註冊碼產生器”

使用竊取憑證簽章的假防毒軟體在增加

惡意軟體通常會偽裝成別的東西來穿透IT的防衛 – 可能是用電子郵件送出的緊急帳款通知,或能夠免費解決一切問題的防毒軟體。儘管安全社群發出了警告,許多使用者還是輕易地落入這些陷阱裡,攻擊者也每天都在找新方法來包裝惡意軟體。

hacker

 一個比較進階的做法是讓惡意軟體看起來像合法的防毒軟體,加上一個數位簽章。比方說,2010年的Stuxnet蠕蟲就採取了這做法,利用兩個安全廠商的憑證來散播檔案。從那時算起,使用竊取憑證的惡意軟體並不多見,但事情可能有所變化。

雖然有些惡意軟體會使用舊憑證,但更進步的變種會竊取建立只有幾天的憑證,減少會被視為無效的機會。Antivirus Security Pro這惡意軟體,自2009年以來就已經用過許多不同的名字出現,而且可能使用超過一打的竊取或偽造憑證來騙過軟體開發者和感染其系統。

CA憑證已經漸漸地成為惡意軟體作者和情報單位針對的目標,他們可能會建立假憑證來進行監視或中間人攻擊。連網頁瀏覽器(如Mozilla Firefox)都出現可能會被惡意憑證製作和安裝所攻擊的漏洞。

有鑑於這些狀況,為了保護使用者資料和維護商業信譽,現在確保簽章用金鑰比以往任何時候都更加重要。廠商還應該更加經常檢查憑證撤銷,讓無效憑證無法被用來穿透安全防護。

網路犯罪份子如何和爲什麼要針對數位憑證

數位憑證是由認證機構所簽發,就像是一個印章,用來表明這特定軟體沒有被篡改過。使用者可以檢查憑證加密來驗證應用程式確實來自其聲稱的開發商。

因此,如果一個不法團體取得一個合法的CA憑證,它就能夠簽署惡意軟體,讓程式看起來合法。簽章惡意軟體的作者通常會支付相關單位憑證的費用,因為CA可能不知道憑證會被用在惡意目的。

但與其透過標準管道,有許多網路犯罪分子會去竊取憑證用在自己的應用程式。微軟最近報導一個稱為Winwebsec或是Antivirus Security Pro的威脅演變,它採用了世界各地單位所簽發的憑證。這些憑證來自一些知名的CA,簽發給荷蘭、美國、英國、加拿大、德國和俄羅斯的開發者。

一旦安裝,Antivirus Security Pro的行為介於防毒掃描程式和勒索軟體 Ransomware之間。它會持續地用發現「惡意程式和病毒」的假通知來干擾使用者,要擺脫這些通知的唯一方法就是付錢來「註冊」軟體。它還可能會利用微軟標誌來讓自己看起來合法,而且還會下載其它惡意軟體,或封鎖連向某些網站的流量。

想拿到CA憑證一直被認為是困難而有風險的作法,因為需要攻擊者去攻入使用合法憑證的組織,或直接駭入簽發憑證的CA。不過,部分安全專家警告憑證竊取會變得更加普遍,因為攻擊者想要能夠繞過64位版本Windows 7和Vista驅動程式強制簽章的方法。

在Stuxnet蠕蟲之後,惡意軟體作者會製造帶有竊取憑證所保護Rootkit驅動程式的後門。雖然針對這漏洞去撤銷憑證並不是個很難的過程,問題是,許多作業系統並不是那麼常去檢查憑證撤銷列表,如果他們有檢查的話。結果就是,簽章過的惡意軟體有足夠的時間來破壞受感染的系統。

安裝程式和模組也是已簽章惡意軟體的目標。有些合法防毒軟體不會去掃描這些簽章過的檔案,因為會預設這些檔案是安全的。

「簽章過的模組更有可能會被加入白名單,它們被充分分析的機率較低,所以它們會有一段長時間不被發現」:安全研究員Costin Raiu在InfoWorld上說明。

Winwebsec、Fareit和其他對安全憑證的威脅

Winwebsec/Antivirus Security Pro並不是最近唯一簽章過的惡意軟體。它和其他幾個變種關係緊密,這些變種可能被下載或交動,以深入挖掘受感染的系統。

Antiviurs Security Pro可能會下載Ursnif,一個用來監測網路流量和竊取密碼的工具。類似的Fariet惡意軟體具備Ursnif所移除的早期版本功能,可以從FTP客戶端竊取密碼和下載Antivirus Security Pro副本,建立一個已簽章惡意軟體複雜、自給自足的網路。

除了Antirvirus Security,還有其他幾個威脅是應該要知道的。一名安全研究人員最近發現一個Firefox漏洞,會允許流氓擴充程式來變更網路代理程式設定,並且在Windows安裝假CA憑證

上個月,Google回報有一個法國當局認證機構下的中級CA發出假SSL憑證給它的網域。這些憑證可能已經被用來檢查加密網頁流量、假造內容或執行中間人攻擊。

如何安全地管理程式碼簽章憑證

隨著憑證被放在鎂光燈下,開發者和組織必須確保他們保持私鑰的安全。他們可以將金鑰儲存在安全模組、隨身碟或是智慧卡。任何儲存憑證的系統都必須要安裝定期更新的防毒軟體,也不能用來做一般網頁瀏覽。

「就跟保護你房子和車子鑰匙安全是一樣的重要,保護你程式碼簽章私鑰是很基本的事情,」Microsoft在一篇談到Winwebsec的部落格文章裡這樣提到。「置換憑證不只是不方便,而且往往代價昂貴,它也可能導致你公司的聲譽受損,如果被用來簽章惡意軟體。」

@原文出處:Fake antivirus solutions increasingly have stolen code-signing certificates

假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)

刑事局接獲報案得知,新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料。

編按:其實這些畫面可能是螢幕保護程式,請參考:當機又重開機!原來是流氓軟體利用螢幕保護程式製造恐慌)

Fake AV

本案例「好心」地跳出防毒軟體的購買頁面名為「Privacy Protection」假防毒軟體,還區分一年及三年的不同版本。王女不疑有他線上刷卡購買兩千元後,隨即收到電子郵件傳來一個壓縮檔案,包含金鑰密碼;但她解除壓縮執行軟體,電腦卻毫無動靜,不僅不能解毒,電腦還中毒,發現是騙局一場後,氣得向警方報案。

2014 更新:

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台,請參考假防毒軟體從電腦移植到了 Android 平台

Virus Shield 於2014年 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據趨勢科技的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。

趨勢科技對這款 App 程式做了進一步的分析來了解其運作。根據分析顯示,該程式會在畫面上顯示一個打叉 (X) 的圖案,當使用者點一下之後就會變成打勾 (V) 圖案 (見圖二)。該程式在應用程式商店的說明當中運用了一些聰明的社交工程技巧,讓人以為它是一個合法的應用程式,因而才會購買及下載。其中一項就是它獲得了 4.7 顆星的驚人評價與 Google+ 社群的 2,500 次推薦。該程式在 4 月 6 日已被 Google Play 下架,但仍在網路上流通,而且歹徒很可能會在其他網路商店上架,或者透過直接下載的方式販售 (這是美國以外地區最流行的攻擊手法)。

這類 App 程式突顯了趨勢科技「行動裝置應用程式信譽評等服務」一項全新功能對保護客戶安全的重要性。除了原有的靜態分析之外,行動裝置應用程式信譽評等服務現在更利用一套先進的動態分析環境來發現諸如此類的假應用程式。

其實假防毒軟體在國外已經散播好多年了,以下文章介紹各種假防毒軟體詐騙手法

=========================================================

什麼是假防毒軟體 Fake AV(案例:假Facebook 密碼更新通知信,內有”假掃瞄,真騙錢”木馬)

「我都用免費的防毒軟體!」但你怎麼知道你那些正在掃毒的畫面是 flash 做的假頁面?Google曾經提出的報告,網路上的惡意程式中,有15%是假的防毒軟體所造成的,而這些假防毒軟體已經進化到集團操作,可以欺騙搜尋引擎的網站排名機制,用作弊的方式讓刻意製作好的假防毒軟體的網站搜尋排序在前面,塑造高下載率的假象。

橫跨 6個國家破百萬名的消費者購買假防毒軟體

近日(2012 年10 月)有個新聞說美國聯邦法院以高達1.63億美元的重罰判決一名販售假防毒軟體的女性,該女子透過社交工程陷阱( Social Engineering),欺騙使用者讓他們以為自己的電腦潛藏病毒或其他惡意軟體,接著推銷一經付費便可立即下載使用的假防毒軟體。該集團誘騙橫跨 6個國家破百萬名的消費者購買假防毒軟體。相關報導:FTC slaps scareware distributor with $163 million fine

最早的假防毒軟體利用恐嚇軟體手法(scareware tactics)憑藉的是讓使用者信以為真的感染警告。不過這個手法的威脅情勢已轉化為營利為主,促使網路犯罪份子運用更多的迂迴狡詐的技術。

以下以 facebook 密碼詐騙信為案例

假Facebook 密碼更新通知信,內有”假掃瞄,真騙錢”木馬

一封來自 The Facebook Team 的信件,以標題“Facebook Password Reset Confirmation,”( Facebook 密碼確認) 大量散播,該信件內容說明因為安全起見收件者的facebook 密碼已經更新,新的密碼在附件中。經趨勢科技測試發現裡頭有一隻木馬TROJ_BREDLAB.SMF ,一經執行會連線到某個網站下載假防毒軟體TROJ_FAKEAV.BLV,藉以進行”假掃瞄,真騙錢”詐騙,受害者不只會被騙錢買沒有掃瞄能力的完整版防毒軟體,還會被偷信用卡帳號資訊。(關於更多假防毒軟體手法,請看這裡)

假的Facebook 密碼通知信 

新的Facebook 密碼附件其實含有木馬 

 

一旦執行會出現電腦已遭感染訊息  

假防毒軟體會引導受害者進一步買完整版防毒軟體,還有維妙維肖的得獎保證

現在最常用的是Black_Hat SEO 搜尋引擎毒化尋引擎毒化的手法,模仿即時防毒軟體產品掃瞄電腦的畫面,讓使用者只要進入某些特定網站就會遭感染。

進化版能測知目標電腦上執行的作業系統版本,然後跟著調整相對應的詐騙介面。

感染後會如何?

1.要脅付費購買才能清除毒窟

這個會自動在您電腦開機時幫你掃毒的假好心軟體,在你被看起來很逼真的掃瞄頁面嚇到後,然後會告訴你共抓到有多少隻病毒, 如果你想要徹底清除病毒,請輸入信用卡資料付費。所以也有人把這些假防毒真詐財的軟體成為恐嚇軟體。

2.假線上掃毒 騙個資

以Flash動畫做出正在掃描的視窗頁面,引誘受害者去點選相關的設定,其實是下載病毒,這些假的線上掃毒服務,聲稱要登錄 Email 才能使用,他們也可能冒用其他廠商的免費線上掃毒服務,賺黑心錢。

3.難以解除安裝,無法執行 Windows 更新

一旦感染到防毒軟體,就難以解除安裝。甚至無法再執行Windows更新,或安裝某些防毒軟體。

Continue reading “假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)”

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

作者:Jon Oliver(趨勢科技軟體架構總監)

 上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。

 在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務  Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。

 有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:

 

 

利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌: 

  1. 偽造的LinkedIn訊息
  2. 假防毒軟體通知
  3. 偽稱來自eFax的傳真
  4. 西聯匯款轉帳 Continue reading “Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌”

員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險

並不是說你的員工不好,他們可能只是不了解他們在工作時上網有多麼的危險。而這就是問題所在:他們的無知,很可能會變成你的頭號網路安全威脅。這裡是五個你可以參考來解決安全問題的建議:

1.    避免員工誤觸地雷網址

網頁過濾技術能夠限制會讓人分心的正常網站(像是Facebook),但也能夠阻止你接觸到令人討厭或惡意的網站,這在粗心的使用者點到他們不該去碰的連結時很有用。網頁過濾技術可以封鎖某些網站,可能是因為藏有病毒,也可能是會讓公司產生法律問題的網站。

2.    使用強密碼

一個無知的使用者無論在哪個網站都用一樣的密碼,而且這密碼可能是一個名字、一組數字排列像是「12345」,甚或就直接用「password」。所以需要建立使用強密碼的政策:要有8-15個字元,夾雜著數字和字母以避免被人簡單的猜中。記住,密碼最好不是使用單字,而是利用某些模式產生。而且密碼應該每隔幾個月就改變一次。
參考文章:
關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

3.    教導員工分辨假防毒軟體

假防毒軟體彈出視窗仍然困擾著許多中小企業使用者。如果一個人不是特別了解技術,而且也不夠細心的話,當看到螢幕上突然出現一個可怕的警告訊息,很容易就會上當了。請確保員工知道公司內部使用什麼防毒軟體,而且當它進行更新時是什麼樣子。正常情況下它會自動更新,不需要使用者來手動進行。你的員工應該知道,當出現任何要更新他們安全軟體的提示都有可能來自偽造的來源。

假防毒軟掃瞄作業結束之後,還會顯示遭到哪些病毒感染

 

假防毒軟掃瞄作業結束之後,還會顯示遭到哪些病毒感染

Continue reading “員工可能是最大的安全威脅?! 五個建議幫助員工避免網路風險”