作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式
即將舉行的倫敦奧運會無疑是今年最受矚目的體育賽事之一。它也是網路犯罪分子最喜歡利用的社交工程陷阱( Social Engineering)誘餌。就在最近,我們發現免費旅遊套票樂透活動的奧運詐騙事件(請參考:2012倫敦奧運閉幕式旅行套票抽獎?!”Early Check-In 2012 London Olympics.doc”勿開啟!)。不過,這次有些網路騙子使用了不同的伎倆。並不是騙說使用者會贏得門票的典型奧運相關詐騙,這次的騙局是偽裝成注意事項的垃圾郵件(SPAM)郵件。
如前所述,這次騙局是警告收件者有假網站和單位去販售2012年倫敦奧運會的票。郵件裡有官方標誌來誘騙使用者相信它的正當性。郵件內還包含一個附加DOC檔案,列出這些假門票販售商。但是,這個附加檔案其實是被趨勢科技偵測為TROJ_ARTIEF.ZIGS的惡意檔案。這惡意軟體會利用RTF堆疊緩衝區溢出漏洞(CVE-2010-3333)來植入後門程式BKDR_CYSXL.A。這個後門程式會執行一些惡意程序,包括刪除和建立檔案,關閉受感染的系統。
網路犯罪挺進2012奧運會
2012年夏季奧運會就要開始了,這一次是七月在倫敦舉行。隨著各項相關活動將會全面的展開,網路犯罪分子也開始準備好騙局跟陷阱等著使用者點進來。
如果想要到現場去看2012年倫敦奧運會閉幕式的使用者可能會對下面活動感到難以抗拒,Visa Golden Space邀請使用者參加可以贏得奧運會閉幕式旅遊套票的抽獎。但是要這注意的是,這一切都是捏造的。
趨勢科技還發現一個惡意軟體以檔名「Early Check-In 2012 London Olympics.doc」出現。這個被偵測為TROJ_ARTIEF.XPL的檔案會攻擊在多個版本的Microsoft Office都存在的RTF文件堆疊緩衝區溢位漏洞。一旦攻擊成功,它就會植入數個惡意軟體到系統內,這些都被趨勢科技偵測為TROJ_DROPHIN.A和TROJ_PHINDOLP.A。
這並不是第一個利用倫敦奧運會來誘騙使用者的騙局。早在2008年,趨勢科技就已經發現有垃圾郵件(SPAM)會偽裝成2012倫敦奧委會所發行的彩卷。在2011年5月,我們也曾經報導過利用2012倫敦奧運會作為誘餌的垃圾郵件活動。另外,我們的社交 工程電子指南也提到了送禮季節和事件活動會被網路詐騙所利用。那些看起來太過美好的網路價格,可疑的電子郵件促銷著很棒但不存在的交易都是用來吸引使用者的工具,所有的這一切都是為了讓你在不經意間交出你的個人資料,或是在你的電腦上值入惡意軟體。
不值得冒讓個人資料流失的風險,只為了贏得一個不存在的大獎。要點電子郵件裡的連結前,都要先再三地確認。
@原文出處:Cybercriminals Race to the 2012 Olympics作者:Dianne Lagrimas
@延伸閱讀:
18 歲富家獨生女發出Facebook 交友邀請,附帶 630 萬美金遺產20%分紅?!
FBI 通知:「你是1050萬美金受益人」又是奈及利亞 419 詐騙!
【奈及利亞 419 詐騙】2010年世界盃足球賽倒數 詐騙搶先開踢
◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載
@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin 真的不一樣>100字推文
跟趨勢科技最近報導過的一樣,我們又看到另一起目標攻擊,攻擊者會利用親西藏言論做為社交工程陷阱( Social Engineering)誘餌來入侵目標的電腦。而且這一次也一樣地同時針對Windows和Mac系統。
攻擊是從下列電子郵件開始:
使用者點入電子郵件中所包含的連結會被導到一個網站,它會透過程式碼來判斷訪客是使用 Windows或Mac系統。
這個網站目前無法連上,但我們還是想辦法從Google快取中找到程式碼:
這個腳本會載入一個Java程式來攻擊漏洞CVE-2011-3544,這是一個Java Runtime Environment元件不明的漏洞。這個Java程式已經被偵測為JAVA_RHINO.AE。一旦它攻擊成功就會安裝SASFIS後門程式(BKDR_SASFIS.EVL)到Windows作業系統,或是OLYX後門程式(OSX_OLYX.EVL)到Mac OSX作業系統。
Pinterest是最近掀起一陣風潮的新社群媒體,如果你還沒有聽過或是嘗試過它,簡單的說,Pinterest是一個讓你可以上傳和釘(Pin)圖片到你自己的線上相片簿的社群網路服務。這就像是圖片板的Twitter,可以讓你的照片以時間軸的方式呈現給所有人。
你可以轉釘你在Pinterest上發現的圖片,或是利用瀏覽器附加元件的擴充功能來轉釘任何在網路上看到的圖片。如果你喜歡其他使用者的圖片,或是他們喜歡你的,那你可以關注(Follow)他們或是被關注。你還可以對這些圖片發表評論,所以也可以跟別人一起討論。
來看看Fearless的Pinterest網頁:https://pinterest.com/fearlessweb
我必須承認我真的很喜歡Pinterest的概念。在過去幾個禮拜裡,我已經釘了好幾個我所喜歡的圖片,像是音樂、電影和好笑的方面。Pinterest就是這麼好玩,我喜歡在這所看到的新圖片。每次上Pinterest網站就好像是在看本新相簿一樣。
但從另一方面來說,Pinterest所帶來的這一切就像他們所說的一樣,會將一切都公開出來。如果你沒有小心的使用這服務,你可能會真的犧牲掉自己的隱私,還會損害到你的名譽。
小心你所釘的東西
簡單的說,Pinterest目前沒有提供隱私設定,就跟Twitter一樣,你所釘的每件事情都可以讓所有人看到,不只是你的關注者。在上面並沒有像Facebook或Google+一樣可以用來限制誰可以看你釘的東西或是評論。而且就跟Twitter一樣,一旦你的圖片或是評論放上網路,就沒有辦法收回了。
惡意郵件利用西藏事件作誘餌來進行目標攻擊
就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。
