利用惡意廣告(Malvertising)來誘騙受害者的網路犯罪集團,就像利用配樂來製造電影氣氛的大師一樣,能在短短幾秒之內就讓人們坐立難安。電影大師懂得利用音樂來配合情緒,歹徒則懂得利用廣告來配合您的喜好和習性,所以受害者經常不知不覺就點選了惡意廣告,絲毫不知已落入陷阱。對某些人來說,網路廣告沒什麼大不了的,頂多只是網路生活中的一點小小困擾,而且惡意廣告經常出現在人們信賴的網站上,因此這項攻擊才會這麼有效。
這類廣告之所以可怕,是因為其背後暗藏著可能造成使用者帳號被盜、身分遭到冒用或是造成財務損失的惡意程式。
惡意廣告如何運作?
惡意廣告的受害者不單只有一般使用者而已,還有廣告主。線上廣告與行動廣告都允許廣告主追蹤使用者的地點、資料以及其他資訊。由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者,所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
惡意廣告感染使用者裝置的方式主要有兩種:
小朋友不用長大到可以自己操作電腦的年齡,很多人都已經擁有一個父母幫他們創造的Facebook 臉書帳號了!你是「過度分享」的父母嗎?親子天下在這篇文章中提到:父母最在意的莫過於孩子的安全。和家人分享自己孩子的照片或近況,當然無傷大雅,但臉書的複雜設定不見得人人都會或有耐心使用,一旦上了網的資訊幾乎都可以搜尋到也是不爭的事實。許多父母汲汲營營布局家中網路安全,不希望孩子擁有臉書,擔心他在網路上透露太多個資,卻在自己的臉書上大量曝光孩子的生活與照片,卻忽略了孩子的照片可能會被有心人士複製、利用。
在孩子長大前父母可能利用這個帳號分享了:
1.孩子長大後會覺得尷尬的糗事 2.公開孩子可能出現的地點 3.孩子洗澎澎等私密照片
「數位綁架」(digital kidnapping) /「虛擬綁架」(virtual kidnapping)
不過,家長們也承認,在網路上分享孩子的情況確實存在著潛在風險:美國密西根大學 C.S. Mott 兒童醫院全國兒童健康普查 (University of Michigan C.S. Mott Children’s Hospital National Poll on Children’s Health) 發現有將近三分之二的家長擔心有人會蒐集孩子的隱私,或轉貼孩子的照片。事實上這樣的恐懼是其來有自的,因為家長分享過度而引發的「數位綁架」(digital kidnapping)或「虛擬綁架」(virtual kidnapping)已經發生了,以下是兩個例子:
陌生人「剽竊」小孩的網路照片,然後玩角色扮演,當成自己小孩照片轉貼在網路上
一位媽媽原本很高興地在 Facebook 上,看到有人對她的 Red Head Baby Mama (紅頭寶貝媽媽) 部落格文章按讚。但是查看按讚來源後心情卻瞬間跌落谷底,因為兒子的相片被盜用了,而且盜用者將她兒子的照片設定為封面照片,並以母親的身分發言,公開與網友討論 ”兒子”何時會開始長牙,朋友們有多喜歡兒子的紅頭髮…等等將他人小孩視為己有的角色扮演遊戲。 繼續閱讀
趨勢科技曾於上周發現新型態的勒索軟體 Ransomware,近日在亞太區已出現蔓延的趨勢。 此惡意程式會偽裝於 Email附加檔案中。一旦被執行,使用者電腦上的檔案將 會被加密鎖定而無法使用。同時攻擊者會要求受感染的用戶付出贖金(或透過虛 擬貨幣),獲得解密金鑰以還原被加密的文件。趨勢科技再一次提醒各位用戶, 切勿輕易打開來源不明的信件。
以下為此次勒索軟體 Ransomware的相關資訊:(真實案例)
如果按下左下角的「View」按鈕,會列出遭到加密的檔案:
此勒贖軟體還能夠任意恢復若干加密檔,以顯示其”真實性”:
截至目前為止,趨勢科技產品已可偵測攔截此勒贖軟體,( OPR病毒碼 11.445.00)並偵測為: TROJ_DALEXIS.YUU
TROJ_CRYPCTB.SME
TROJ_CRYPCTB.AU
此外,由於目前本勒贖攻擊的趨勢已擴及至亞太區,趨勢科技預測此惡意程 式短期內也將有變種的可能,在此建議用戶盡快採取以下防範措施:
1. 確認防毒軟體病毒碼更新至最新
Joefel.com
m-a-metare.fr
ourtrainingacademy.com
locamat-antilles.com
thomasottogalli.com
cds-chartreuse.fr
趨勢科技最近報導了 EMEA(歐洲、中東和非洲)地區出現 勒索軟體 Ransomware大量激增,特別是 加密勒索軟體 攻擊。現在這類攻擊不再僅限於該地區。趨勢科技工程師的研究顯示,紐澳地區最近也受到此類惡意軟體的影響,這次是TorrentLocker勒索軟體。
感染鏈
圖一、紐澳地區攻擊的感染鏈圖解
這惡意軟體透過電子郵件到達,偽裝成來自新南威爾士州政府(在此篇裡簡稱為NSW)的刑事命令或澳洲郵政的遞送通知。一旦使用者點入連結就會被重新導倒一個偽造的網頁,使用類似官方名稱的新註冊網域。
這網頁會指示使用者輸入驗證碼來下載檔案。如果輸入正確,就會下載來自檔案代管網站(SendSpace)的壓縮格式惡意檔案。
一旦使用者打開壓縮檔並執行惡意程式,它會連到指揮和控制(C&C)伺服器。收發資訊成功後,惡意軟體會利用ECC加密演算法來加密使用者電腦上的檔案,並且加上.encrypted副檔名。接著,它會放入一帶有解密說明和勒贖頁面的HTML檔。它還會透過指令vssadmin.exe Delete Shadows /All /Quiet來刪除感染系統上的陰影複製(Shadow Copy),防止使用者從備份回復檔案。
根據趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料,有98.28%的收件者來自澳洲。
比特幣付款
為了支付贖金,使用者需要註冊一個比特幣(Bitcoin)錢包和從建議連結購買比特幣。一旦完成付款,網路犯罪份子會將比特幣從給定的比特幣地址轉到其官方比特幣地址,他們也可以進行一連串的轉移好不被警方追踪。解密軟體只能用於指定的感染電腦;每一個受感染的系統都需要自己獨特的30位數金鑰。否則就會破壞掉檔案。
受此惡意軟體感染的使用者被分配如下格式的代碼:
直到12月9日,垃圾郵件發送者將密碼加入這個樣本格式:
這些網址只能透過Tor網路連上,因為其網站使用TOR2Web網路代理。使用TOR2Web,使用者就不需要安裝Tor瀏覽器來進行付款。TOR匿名網路是用來隱藏網路流量。在此案例中,其主要目的是要當使用者付費後用來隱藏解密檔案的資料。
勒贖頁面會警告贖金將會在4天或96小時後加倍。在澳洲,贖金價格是598澳幣。但如果使用者不是位於紐澳或EMEA地區,會出現以英文寫成的通用網頁來要求美金計價的贖金。
圖二、澳洲(上),西班牙(中)和非紐澳/EMEA國家(下)的勒贖訊息
趨勢科技注意到偽裝成來自跨平台網路電話及即時通訊軟體 Viber 的垃圾郵件數量在急遽地增加。這個應用程式也有電腦版,讓使用者可以使用免費電話和訊息。這封電子郵件通知收件者他們的帳號內有一封語音留言。
圖1、垃圾訊息樣本
電腦和手機上的不同行為
在電腦上的感染行為非常簡單:點入內嵌的連結會導致下載被偵測為BKDR_KULUOZ.VLU的後門惡意軟體到系統內。
然而,在行動裝置上打開電子郵件的收件者經歷了不同的結果。它不會下載任何惡意軟體,而是將使用者重新導到不同的網站,像是一個隨機網址、搜尋引擎甚或是官方應用程式商店。
行動使用者有時會被重新導到一個串流媒體網站。調查顯示此網站已經跟可疑活動連結。比方說,該網站會秘密地去對使用者在註冊過程中必須提供的信用卡號碼收費。一些使用者會在點入「Flash Player」更新廣告時被導到該網站。
圖2、使用者有時會被重新導到一個串流媒體網站
基於行動作業系統的重新導向
更值得注意的是其重新導向結果也取決於設備的作業系統。Android 使用者被重新導到Google Play上的「GO桌面EX」應用程式。Apple 使用者被重新導到 iTunes 網站上的一個中國遊戲應用程式。要特別指出的是,這些應用程式都並非惡意程式。
圖3和4、使用者有時會被重新導到 Google Play和 iTunes