趨勢科技發現有一個惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。
一旦使用者打開惡意PPT檔案就會觸發Flash檔內的Shellcode來攻擊CVE-2011-0611漏洞,接著將「Winword.tmp」放入Temp資料夾中。它同時也會產生一個非惡意的PowerPoint簡報檔「Powerpoint.pps」,以矇騙使用者認為這只是一般的簡報檔案。根據趨勢科技的分析,「Winword.tmp」是一個後門程式,它會連到遠端站台跟幕後黑手進行通訊。它也可以下載並執行其他惡意軟體,讓受感染系統面臨更可怕的威脅,像是進行資料外洩資料竊取的惡意軟體。
趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。
駭客工具和利用SOPA的問卷調查詐騙以Facebook使用者做為目標
在監測趨勢科技主動式雲端截毒服務 Smart Protection Network技術內的資料時,我們注意到一個可疑檔案來自https://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe。從網域名稱來看,這是針對社群網站 – Facebook臉書的駭客工具。
這工具看起來是用來擷取Facebook密碼。根據趨勢科技對這安裝程式的分析
,它就像是個普通的安裝程式會顯示使用者授權合約(EULA),並讓使用者選擇要安裝的資料夾。安裝過程中會產生惡意檔案「Toolbar.exe」,並且在使用者不知情下放入暫存目錄。
一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID:
為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼:
有趣的地方來了:想要獲得密碼,使用者必須購買產品金鑰,售價29.99美金。如果使用者選擇購買產品金鑰,會被導到網站https://{BLOCKED}bookhacking.com/p/unlock。
一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以下內容:
但是這工具怎麼取得這些呢?簡單:這個程式會下載並使用一個免費的第三方應用程式,用來恢復並顯示使用者本地瀏覽器暫存區內保存的密碼。所以只有在使用者電腦中有儲存過的密碼才會有用。上述的第三方應用程式是個正常的密碼恢復程式,只是被惡意的用在這次攻擊中。也就是說是指受害者被騙去付錢了 但其實只能看到儲存在自己電腦上的密碼而已 沒辦法找到別人的密碼。
如果駭客工具無法下載第三方應用程式,就會出現以下錯誤訊息:
今年初發生在iOS的事件,有應用程式在未經使用者允許或甚至未告知下就從通訊錄裡收集資料。
這問題第一次引起注意是在二月初,有個開發人員發現一個社群媒體應用程式 – Path會從使用者的通訊錄裡取得幾乎全部的資料,包括名稱、電子郵件地址和電話號碼,而且會將這些資料在未經使用者許可下送回Path的伺服器。
經過國會議員地介入並要求Apple回答此問題時,一大堆的應用程式開發商,包括Foursquare,Hipster和最近被收購的Instagram都趕緊修改自己的軟體,讓它在要求資料時會出現要求授權的訊息。
這裡要澄清一點,Apple對國會議員的說法是真實的:「應用程式未經使用者許可收集或傳送使用者資料違反了我們的規定。」但顯然地,這在並不能阻止不法或輕忽的開發商去「遺忘」這個規定。但Apple公司已經表示它會在未來的版本解決這個問題。
在比較兩個最受歡迎的智慧手機平台時,Android的安全性和隱私控制往往落在第二名。但它已經有內建功能會強制應用程式在存取手機通訊錄時要先取得使用者授權。
但在這裡我還是要提出一個和一般人的習慣有關的根本性安全問題,就是大多數使用者並不知道或不關心自己的手機或是會發生在他們個人 繼續閱讀
Facebook 臉書交友邀請電郵,遭 Black Hole 漏洞攻擊做為釣餌
◎以下哪一個信件內容,你會在第一時間發現是詐騙?
這些善於利用人性弱點的網路釣魚(Phishing)信件,最近又有新的案例了。
過去一個月來,趨勢科技一直在調查幾樁大量垃圾郵件(SPAM)行動,這些垃圾郵件會讓使用者連上一些含有 Black Hole (黑洞) 漏洞攻擊程式的網站。某些調查中的垃圾郵件(SPAM)行動會使用 Facebook 和 US Airways 的名義。其他垃圾郵件行動則利用 LinkedIn 及 USPS (美國郵政) 的名義。而最近的一波行動則是冒用 CareerBuilder 的名義:
以下,趨勢科技將針對冒用 Facebook 名義的垃圾郵件來說明,但結論同樣也適用於其他行動:
現在,讓我們來看看冒用 Facebook 名義的垃圾郵件如何發動攻擊。這些垃圾郵件會偽裝成來自好友的請求,如下所示:
其連結會連上一些遭到竄改的網站。我們在此項攻擊當中已發現 2,000 多個不重複的惡意網址,分散在 374 個不同網域。平均每個遭到入侵的網域有 5 個不同的惡意網頁。
如同先前所說,這樁垃圾郵件(SPAM)行動只是我們所調查的行動之一。有明確的證據顯示,這些所有攻擊在背後都有某種程度的關聯。很多情況下,不同垃圾郵件行動所用的網址都一樣。這表示,即使他們不是同一批人,至少某些攻擊背後負責的人是重複的。
就垃圾郵件攻擊來說,上述每一攻擊行動的規模並不大。最大的是冒用 US Airways 名義的行動,根據趨勢科技產品所回報的資料,其最高數量大約只占所有垃圾郵件總量的 1% 左右。但是,由於其持續的特性,對使用者來說仍舊是一項嚴重威脅。
這些攻擊的目標是要在使用者的電腦上安裝 ZeuS 殭屍網路 變種,以便竊取使用者的資料。
相關報導:《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭
@原文來源:Persistent Black Hole Spam Runs Underway作者:趨勢科技Jon Oliver (軟體架構總監)
@延伸閱讀
Jessica 想跟你做朋友,加入她吧!原來是病毒的邀請函!
18 歲富家獨生女發出Facebook 交友邀請,附帶 630 萬美金遺產20%分紅?!
病毒偽裝 Facebook 訊息通知信件
金光閃閃的Facebook VIP 用戶粉絲專頁,可換背景和超多額外功能? 是詐騙!
Facebook 變慢了嗎?試試看這個應用程式!搜尋相關程式當心其中有詐
[ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片,駭客卻記得
[ 社交網站安全指南 2 ] 可在 Facebook 使用的Email 帳號 黑市價碼較高
[ 社交網站安全指南 3] 不會對電話詐騙者回答的私人問題,也不要公開在社交網站(減少社交網站風險的四個方法)
◎了解更多PC-cillin 2012 雲端版防毒軟體五大功能
►『社群網路安全防護』
►『即時通訊防護』
►『網頁安全分級』
►『私密資料保全』
►『遠端檔案保險箱』
►《免費下載試用》
◎ 歡迎加入趨勢科技社群網站
