惡意Chrome擴充功能竊取Roblox遊戲貨幣

資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord,從Windows電腦上的Roblox程序竊取cookie。在那之後,我們又看到類似的竊取行為,只是這次是利用Chrome擴充功能(CRX檔案)。

雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者,但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送,不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到:

圖1、Roblox Trade Bot在“Dream Market”地下市場販賣(點擊放大)

 

我們取得這交易機器人內的樣本如下:ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crxDankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js

圖2、 ZIP檔案內容

 

搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX(Roblox遊戲內的貨幣)來交易其他工作或產品。

檢視bgWork.js會發現一個設定好的Discord網路掛接(webhook)。安裝之後,惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中,這個交易機器人擴充功能號稱會取得最近的平均價格,協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做;只會將偷來的cookie送到Discord頻道,對使用者沒有任何用處。 Continue reading “惡意Chrome擴充功能竊取Roblox遊戲貨幣”

以太幣平台 Enigma 遭攻擊並失竊近 50 萬美元

加密貨幣交易所 Enigma 遭到攻擊,就在受到高度矚目的首次貨幣發行 (ICO) 的幾週前,該公司發出警訊,表示其系統中的部分帳戶已遭到入侵。

根據報導指出,駭客藉由更改 enigma.co 網站,利用 Slack 管理員帳戶張貼訊息,並傳送垃圾郵件至該公司的郵寄清單,讓使用者將錢送至其加密錢包,共計竊取價值近 50 萬美元的以太幣。這項訊息藉由預售公告,刻意讓該公司的潛在客戶產生緊迫感。

Enigma 於 8 月 21 日在其 Twitter 帳戶上張貼聲明,提醒使用者此攻擊事件。該公司澄清,預售只能透過未來代幣簡單協議 (SAFT) 進行,它是合法交易所需要的法律文件。該公司同時澄清,實際將提供此代幣的網站並未受到影響,9 月 11 日的 ICO 將如期進行。

根據來自 reddit 的 EthTrader 子網站推測,這次事件可能源自與 Enigma CEO Guy Zyskind 的電子郵件相關的個別攻擊,導致有關 Zyskind 的電子郵件地址資訊被散佈至網站,並在後來被用於展開這項攻擊。 Continue reading “以太幣平台 Enigma 遭攻擊並失竊近 50 萬美元”

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

 

作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

無檔案病毒很難被分析和偵測。所以也並不令人驚訝地有越來越多惡意軟體利用此手法,讓偵測和鑑識都更加困難。趨勢科技最近發現一個新的數位貨幣採礦病毒:TROJ64_COINMINER.QO,也利用了此一技術。

亞太區為重度感染區,台灣排名第三

這隻病毒散播七月首次現身在亞太地區。根據趨勢科技主動式雲端截毒服務  Smart Protection Network 的統計,受此威脅最嚴重的國家前三名依次為:日本、 印尼和台灣。

圖1、2017年7月至8月的TROJ64_COINMINER.QO感染分佈

 

無檔案病毒WMI腳本加上EternalBlue 漏洞,讓此威脅更刁鑽

此威脅利用WMI(Windows管理規範)作為無檔案感染的持久性機制。具體來說,它利用 WMI Standard Event Consumer腳本程式(scrcons.exe)來執行它的腳本。為了進入系統,這惡意軟體利用了EternalBlue永恆之藍漏洞 – MS17-010。無檔案病毒WMI腳本加上EternalBlue漏洞讓此威脅變得既隱蔽又具備持久性。

TROJ64_COINMINER.QO數位貨幣採礦病毒的感染分成幾個階段。感染流程從MS17-010開始;這漏洞被用來在系統安裝和執行一個後門程式(BKDR_FORSHARE.A),它會安裝數個WMI腳本。這些腳本接著會連到C&C伺服器來取得命令和下載數位貨幣採礦病毒及其他元件。

圖2、感染流程

 

利用WMI- Windows的核心元件,達到持久性

WMI是Windows的核心元件,通常被用於日常管理工作,例如部署自動化腳本、在給定時間執行程序/程式、取得已安裝應用程式或硬體的資訊、監視資料夾內的變化和監視磁碟空間等。然而,到了網路犯罪份子手上就會被用在惡意用途,就如趨勢科技在報告了解WMI惡意軟體中所探討的那樣。這案例中所用的技術跟報告內提到的樣本(我們偵測為TROJ_WMIGHOST.A)非常類似。

下面類別在滿足特定條件後會用來觸發惡意WMI腳本:

  • ActiveScriptEventConsumer
  • __EventFilter
  • __IntervalTimerInstruction
  • __AbsoluteTimerInstruction
  • __FilterToConsumerBinding

 

惡意WMI腳本可以從ROOT\subscription名稱空間底下的ActiveScriptEventConsumer類別找到。 ActiveScriptEventConsumer是持久性有效載荷,包含了當條件滿足時會執行的命令。在此例中,它包含在條件滿足時會執行的惡意JScript。 Continue reading “無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三”

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商,進而劫持了該網站

根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。

除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: Continue reading “古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議”

販賣網路遊戲金幣:它如何成為攻擊企業的途徑?

作者:Raimund Genes(趨勢科技技術長)

跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值,而且是個不斷成長的競爭社群,自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案,一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣,將其賣給歐洲和中國的買家。在趨勢科技的研究中發現,這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。

雖然有些網路攻擊似乎只針對特定產業,但威脅本身並無邊界,意味著它們也可能成為對其他產業進行更嚴重網路犯罪的入口。畢竟這麼巨大的潛在收入加上對數位貨幣的無法可管,要如何去阻止網路犯罪分子對網路遊戲產業進行更加多元的攻擊的賺錢大計?

online-gaming-01

圖1、如何洗出遊戲金幣來資助網路犯罪活動

Continue reading “販賣網路遊戲金幣:它如何成為攻擊企業的途徑?”