作者:Alvin Bacani
Opera 表示有攻擊者入侵了他們的網路,並且偷走了至少一個的過期Opera程式碼簽章用憑證。攻擊者再拿這個憑證來簽章自己的惡意軟體,以騙過目標系統,甚或是安全軟體去認為這檔案是合法的。
趨勢科技取得了上述惡意軟體的樣本,這個惡意軟體(被偵測為TSPY_FAREIT.ACU)帶有過期的Opera電子憑證(見下面的截圖)。就跟Opera所報告的類似,我們所收到的樣本會偽裝成Opera的更新程式。
一旦執行,TSPY_FAREIT.ACU會從特定FTP客戶端程式或檔案管理程式竊取重要資訊,包括使用者名稱、密碼和伺服器名稱。
圖一、被竊的舊Opera電子憑證截圖
除了FTP客戶端程式外,TSPY_FAREIT.ACU還會從瀏覽器收集更多儲存
在這些瀏覽器內的資料(包括Mozilla Firefox、Google Chrome還有Opera)。這些資料通常是社群網站、銀行和電子商務網站等的登錄憑證。有了這些資料,這惡意軟體的幕後黑手就可以掌握你的各種網路帳戶,甚至進行未經授權的交易。他們也可以將這些偷來的資料賣給地下市場以賺取利潤。 繼續閱讀
接獲Skype授權通知的信件?小心已經成為間諜軟體的攻擊目標。趨勢科技發現國外已經出現網路犯罪者假冒Skype官方通知電子郵件,並宣稱須盡快點選信中連結下載「官方授權憑證」,否則使用者的Skype帳號將會被刪除,點選該網址後將下載TSPY_DELPBANK.EB間諜軟體,該軟體會監控並竊取受感染裝置上的網頁瀏覽資訊、滑鼠活動記錄以及系統資料等資訊,更會於使用者瀏覽特定國外銀行網頁時,跳出看似該銀行要求提供個資的假視窗,不成功獲得使用者個資絕不罷休。
MSN與Skype的合併改變民眾多年的網路通訊軟體使用習慣,適應嶄新的Skype介面以及悼念MSN小綠人離去的同時,趨勢科技發現國外已經出現有心人士假Skype官方名義廣泛發送「要求使用者即刻下載授權憑證」電子郵件的案例,郵件內文提醒使用者若不盡快下載所謂的「授權憑證」,其Skype帳號將被停權。
假冒Skype官方名義發送的假「要求下載授權憑證」信件樣本
該間諜軟體會收集以下資料:
當間諜軟體在傳送上述資料時,會出現以下 Skype 更新畫面,藉以掩人耳目
犯罪者設計彈出視窗,使用者容易誤以為Skype正在更新,誰知間諜病毒正在入侵。
除了上述行為外,當使用者連到特定國外銀行網站時,該間諜程式會跳出看似安裝「 Gbplugin」的視窗,讓使用者誤以為需要下載此程式才能瀏覽網站,一旦點選下載,將會看到顯示下載完成的視窗,接著就被導向假冒該銀行的網頁,網頁中要求使用者提供許多個人資料,不排除可能會造成個人姓名、電話,信用卡個資等相關資訊外洩。
第二重陷阱:假冒特定銀行網頁,誘騙使用者提供許多機密資訊。
趨勢科技資深顧問簡勝財表示:「這是一個多層設計的電子郵件社社交工程陷阱( Social Engineering)手法,結合Skype與MSN合併的議題讓使用者降低戒心,一旦點選後將遭植後門程式,除了使用行為以及電腦系統資訊遭監控外,歹徒煞費苦心的最後目標仍是鎖定使用者較為機密的個人資料,以圖謀利或是冒用使用者身分進行不法行為,不排除之後可能出現使用相同手法並針對華語地區的攻擊出現。」
趨勢科技用戶請放心, PC-cillin 2013雲端版會封鎖該垃圾郵件,同時也會封鎖所有相關的惡意網址和惡意軟體。
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
不想排隊去看鋼鐵人3(Iron Man3)?想在網路上找盜版下載或是免費串流影片?熱門電影鋼鐵人3已成為有心人士騙取個資的利器。趨勢科技發現網路上已經出現至少一百多個號稱提供鋼鐵人3影片串流的網站,要求使用者下載特定影片播放軟體,一旦下載完成,將會主動播放廣告,讓使用者不堪其擾,並且網路犯罪者也利用臉書來大量散播「免費鋼鐵人3串流視訊」的廣告連結,誘導使用者至問卷調查詐騙網站,騙取使用者個資。
鋼鐵人3輔上映即造成全球熱潮,有心人士立刻透過網路散播免費的鋼鐵人3影片串連,根據趨勢科技病毒防治中心 Trend Labs 觀察,短短一周已經發現超過一百個號稱可以提供鋼鐵人3免費影片串連的網站,一旦連上這些網站,使用者會被要求下載視訊安裝程式,此檔案的確是如駭客所言的影片播放程式,但這個影片播放程式在之前曾被偵測為會主動播放廣告,除了讓網友不勝其擾之外,更不排除為駭客植入惡意軟體的跳板,造成網友上網安全的潛在疑慮。
我們簡單地用Google來進行查詢,發現有一百多個網站號稱提供了鋼鐵人3的影片串流。
一旦連上這些網站,就會要求使用者下載一個視訊安裝程式。根據趨勢科技的分析,這檔案的確是如他們所說的影片播放程式。這個影片播放程式在過去已知會侵略性的播放廣告,只是目前我們沒有看到這行為。此外,這播放程式也可以被用來下載和觀看色情影片。
不過這些正常程式還是有可能在之後被更換成惡意軟體。所以如果我們很快就發現有惡意軟體網頁偽裝成鋼鐵人3串流播放或是下載網頁也不會感到訝異。
我想你們一定看過這幾個月的新聞,發生了好幾起高調的推特(Twitter)駭客事件,包括了知名品牌,如Jeep,漢堡王(Burger King),以及最近的美聯社(AP)。一般不是很懂電腦的人可能會出現下列的疑問:
推特帳號一直會被駭的原因
推特帳號一直都有被駭事件的原因很多。可能只是簡單地因為有人為了好玩去散播謠言,也可能是惡毒的想要抹黑特定個人或公司。這可不僅僅是傷害到這公司或個人,在某些案例裡,像是美聯社的帳號被入侵,就實際地讓美國股市出現短暫的下跌。而正如你可以想像的,這樣一個短期波動可是在股市獲得巨大利益的機會。
推特被駭也凸顯出關於密碼安全一個更大的問題。你可以使用有史以來最長、最複雜的密碼,但如果你點入一個惡意連結或偽裝成推特的網站讓你輸入密碼,基本上這就已經跳過任何密碼的安全性,直接把密碼交到壞人手上。
常見的社交工程伎倆
這是今天在推特上一個令人難以想像常見的社交工程陷阱( Social Engineering)伎倆。透過從你關注的一個被駭帳號發送「私人訊息」給你,網路犯罪份子就可以駭入你的帳號。這訊息可以裝得非常簡單:「嘿!我看到你這個有趣的畫面!」然後,它會連到一個惡意網站。這種戰術在過去已經被廣泛成功地運用在電子郵件病毒上,今日轉移陣地到社群媒體上也是一樣的成功。
另一種常見用來竊取你密碼的方式,就是去入侵並不具備推特安全控管等級的網站或服務。如果你在多個服務上都使用相同的密碼,就可以利用自動化工具,很快地在多個網站和社群媒體服務上嘗試這偷來的帳號/密碼組合。
【2013年4月18日 台北訊】波士頓馬拉松爆炸案相關連結?點選前請小心,駭客攻擊就在你身邊。趨勢科技發現在波士頓馬拉松爆炸案發生的24小時內,已經有駭客以此為誘餌,透過垃圾郵件攻擊,以及社交平台散播內含蠕蟲WORM_KELIHOS.NB的惡意連結。該蠕蟲會竊取使用者的FTP帳號密碼與存在本機的電子郵件地址,同時監控受感染裝置的網路狀態以進一步竊取資料。除此之外,該蠕蟲會感染USB等卸除式裝置,達成其擴散目的。趨勢科技呼籲民眾對於近期與波士頓爆炸案相關網路訊息與電子郵件都應該保有一定程度戒心,不要輕易點選來路不明的連結是最佳自保之道。
運用波士頓馬拉松大爆炸 散播蠕蟲以竊取資訊
波士頓馬拉松爆炸案發生後不到24小時內,趨勢科技已經偵測到超過9000封的以波士頓爆炸案為名的的垃圾郵件,更發現駭客以主旨為「Aftermath to explosion at Boston Marathon 」的垃圾郵件發動社交工程陷阱( Social Engineering)。該垃圾郵件夾帶連結https://{BLOCKED}/boston.html,使用者點選後將看到一段來自波士頓爆炸現場的影片,同時也下載了名為WORM_KELIHOS.NB的蠕蟲程式。該蠕蟲程式會透過被感染裝置竊取使用者FTP的帳號密碼與本機中的電子郵件地址,更會監控受感染裝置的網路流量以達成竊取資訊牟利的目的。為了避免被追查,駭客精心設計許多不同的蠕蟲程式下載點,下載IP位址來自阿根廷、台灣、烏克蘭、日本等地。
圖說:波士頓爆炸案惡意連結,點選後會看到的影片畫面。
此蠕蟲也會透過USB磁碟等裝置散佈,並隱藏卸除裝置中所有資料夾。使用者在遭感染的裝置上看到的是與原資料夾相同名稱,實際上為LNK.的檔案。這些LNK檔的圖示看起來與一般目錄圖示一模一樣,使用者不疑有他點選並順利開啟資料的同時,該蠕蟲也成功擴散感染至電腦。
