這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!

以神奇寶貝月精靈為名的 Umbreon Rootkit , 攻擊 x86 和 ARM 處理器的 Linux 系統

趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)

我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。

編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一

Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。

Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。

何謂 Ring 3 Rootkit?

Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。

這類程式有幾種執行模式,分別具備不同的存取權限:

  • 使用者模式 (Ring 3)
  • 核心模式 (Ring 0)
  • 虛擬化監管程式 (Hypervisor) 模式 (Ring -1)
  • 系統管理模式 (SMM) (Ring -2)

此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。

Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。

在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。

跨平台功能

Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。

趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。

後門認證機制

Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。

該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:

圖 1:SSH 登入畫面。 Continue reading “這裡有隻神奇寶貝,是會攻擊 Linux 系統的月精靈!"

2016夏季奧運的安全指南

奧林匹克這樣的全球運動賽事,一向是網路犯罪集團的最愛。對他們來說,沒有什麼比奧林匹克更適合用於垃圾郵件、網路釣魚或社群媒體詐騙的題材。奧運是一項真正全球化的運動競賽,因此以奧運為題材的網路攻擊也將行遍全球。
從網路犯罪分子的角度來看,以超級盃為題材的網路攻擊,除了美國之外無其他地區適用。以世界盃足球賽為題材的攻擊,則除了美國之外,幾乎全球適用。反觀以奧林匹克運動會為題材的網路攻擊,卻是全球通用,就連南極洲也肯定有一些忠實的觀眾。

巴西因為主辦2016年夏季奧運會而再次成為體育世界的焦點。巴西舉辦2014年世界杯足球賽的成功證明他們具備舉辦國際賽事的能力,也可以看出網路犯罪分子會去利用如此重大活動的潮流及能力。

像國際賽事這類重大活動往往也會引來社交工程攻擊或導致身份竊盜詐騙的惡意活動,證據就是在2014年看到一大堆跟世界杯足球賽有關的詐騙活動惡意應用程式

之前在2012年所舉辦的奧運會也是出現了相應的網路犯罪活動。攻擊者知道體育愛好者在這緊張興奮的重大活動時更容易中招,因為世界各地的粉絲都會在網路上訂位買票,再加上蜂擁而來的遊客可能並不熟悉東道國的語言或是風俗。

有各式各樣可能的陷阱 – 假的網路機票特賣,垃圾郵件和惡意軟體出沒的串流網站是最常見的威脅。我們可以預見今年的巴西賽事也會出現相同的攻擊,甚至更多。巴西駭客以專門從事銀行詐騙而著名,因為該國法律對於網路犯罪相當寬鬆。 Continue reading “2016夏季奧運的安全指南"

< APT攻擊 >「預防中東呼吸綜合症(MERS)」網路釣魚主旨散播中

駭客總是跟你一起關心熱門議題。。但不懷好意

近日全台關注的八仙塵爆事件 疑已有詐騙集團蠢動 警方關注,大家請提高警覺別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)。本文介紹的是近日全球關注的中東呼吸綜合症(MERS)。

攻擊者將中東呼吸綜合症(MERS)的爆發當作魚叉式網路釣魚(Phishing)郵件的魚餌,發送給日本大型媒體公司的一名員工。使用雅虎郵件免費帳號來輕易地通過防垃圾郵件過濾程式,攻擊者複製網路上的公開資訊,用來引誘收件者去打開郵件。

MERS

郵件標題是用日文,意思是「轉寄:預防中東呼吸綜合症(MERS)」,而附件檔名為「預防中東呼吸綜合症(MERS).7z」。

圖1、以MERS為主題的網路釣魚郵件寄給一名日本媒體公司員工

Continue reading “< APT攻擊 >「預防中東呼吸綜合症(MERS)」網路釣魚主旨散播中"

網路報稅破6成 小心網路駭客正在監看你報稅!

 

 【2015年5月19日台北訊】你報稅了嗎?一年一度的報稅季即將結束!為節能減碳,近年來財政部積極鼓勵民眾使用自然人憑證進行網路報稅,且根據統計,2014年採用網路申辦人綜合所得稅者已多達329萬戶,占總件數的55%,今年財政部預估使用網路報稅的民眾將可望破6成,然而,趨勢科技調查發現,平均每一台電腦就有29隻間諜軟體在秘密監控,小心你完成報稅的那一刻,個人的年收入所得、收入來源、信用卡帳號全部被駭客看光光!趨勢科技提醒使用網路報稅的民眾,安裝專業的資安防護軟體,如趨勢科技趨勢科技PC-cillin雲端版,並記住「網路安全報稅3撇步」,避免報稅與個人資料外洩,讓網路犯罪集團趁機駭進你的報稅帳戶! 

網路報稅小提醒

趨勢科技資深技術顧問簡勝財表示:「近年來,網路犯罪集團手法不斷更新,利用各種非法方式誘騙或竊取使用者登入資訊、錢財及身分資料等。例如,他們會發送詐騙電子郵件給潛在的受害者,當使用者下載惡意附件檔案或甚至僅點擊一個連結,網路犯罪集團即可在使用者的電腦中植入木馬間諜程式、遠端存取工具或銀行木馬程式等,竊盜民眾個人身分識別資訊,並駭入使用者的金融帳戶取走款項。加上許多民眾習慣使用檔案分享軟體或下載影音軟體,個人報稅資料很有可能被潛藏在其中的惡意程式偷竊;或是非法分子會先購買網路報稅軟體、所得稅申報等關鍵字的廣告,植入惡意連結,一旦用戶點選下載偽裝的『網路報稅軟體』,就立即將間諜軟體植入電腦中!」

趨勢科技資深技術顧問簡勝財也提醒民眾:「國稅局絕不會透過以下方式與民眾聯繫及要求繳款,第一,透過電話或電子郵件要求民眾提供個人資訊、金融帳號資訊、信用卡、現金卡的資料;第二,要求民眾以特定方式繳款或在稅單寄出前就要求先行繳款;第三,恐嚇民眾若不繳款將進行逮捕等。此外,報稅季結束後也不可掉以輕心,網路犯罪集團也看準退稅的時機點,冒用國稅局、財政部名義,寄發郵件或網址,誘導民眾輸入個資、銀行帳密或點選詐騙網址。」

 

報稅停看聽!小心間諜軟體竊個資 網路安全報稅3撇步!

  • 步驟1:電腦可疑程式大掃除+電腦健康檢查再報稅

Continue reading “網路報稅破6成 小心網路駭客正在監看你報稅!"

尼泊爾地震事件成詐騙誘餌:別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)

編按:最近尼泊爾地震事件成為世界關注焦點,小編特別把這篇文章重推,提醒大家別讓愛心 成為駭客提款機,特別要提防搜尋相關新聞時,惡意網頁守株待兔

==============================================

奈及利亞釣客假借新加坡慈善團體:至少捐 100美金,讓200萬人不餓肚子

食道癌富商:我有 12億現金,請幫助我轉到你的帳戶,捐給南亞災民
斯里蘭卡漁夫:我要幫助村民買漁船,請把錢匯到荷蘭
普吉島無助父親:我只剩一個人,請把善款匯到倫敦,讓我重新面對人生
以上都是詐騙

當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。

Black seo 當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。愛心捐款前,免費試用PC-cillin 2014 防毒軟體 不讓愛心遭利用
當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候

趨勢科技已經發現藉由尼泊爾地震事件藉機詐騙捐款的信件:Spammers Use Earthquake in Nepal for Scam Donation Funds,信件出現: ‘Nepal earthquake’ 和 ‘Help Nepal’ 字樣,藉此讓用戶以為來自合法機構. ,一旦受害人依照指示回覆你想要捐款的數目,即會收到如何匯款的通知。

 

2006 年泰國禽流感,木馬藏在紅十字會網站;2009年 H1N1新流感出現南美總統集體得 H1N1 新流感!? 假新聞連結,偷個人資料木馬藏匿其中,利用時事大作文章的不只是媒體的專長,更是駭客病毒的一貫伎倆, 311日本大地震時黑心詐騙紛出籠,假新聞,假募款,假臉書分享…;美國大選時的喝醉的歐巴馬",和可能導致資料外洩的美國 2012 年總統大選 App 程式;在台灣則有這個文章看了讓你多活十年/新年度行政機關辦公日曆表( 這類搏感情的信件,誤點率很高) 。2013年波士頓馬拉松爆炸案也難逃一劫,緊接其後的一則德州爆炸案居然也被垃圾郵件集團拿來大做文章


波士頓爆炸案惡意連結,點選後會看到的影片畫面

以下的歷年案例供大家提高警覺:

歷年天災詐騙伎倆大揭發

2004年起國際間災難頻傳,從南亞海嘯到巴基斯坦地震、卡崔娜風災,成千上萬的善心捐款,卻讓網路釣客半途攔截。2005 年2008年皆 出現偽造的紅十字會釣魚網站詐財,趨勢科技提醒網友捐款時請直接輸入官方網址,不要直接從搜尋結果或是信件, FACEBOOK 分享中直接點選連結.

紅十字會網站成為釣魚網站詐財的目標

 2011 日本大地震

 1:搜尋日本地震相關新聞,惡意網頁守株待兔 

關心日本地震最新報導的網友,點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。趨勢科技已經發現了數個網址被植入假防毒軟體,一旦點選其中的頁面,會出現警告感染了惡意軟體的警訊。如果你同意下載任何一種他們促銷的防毒軟體,最後很有可能感染上的就是你試著要避開的惡意軟體。 這就是所謂的Black_Hat SEO 搜尋引擎毒化,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站,一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

目前這個手法被假防毒軟體廣為採用,用當時網友關心的議題,使用Black_Hat SEO 搜尋引擎毒化手法,將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。

 

2:FACEBOOK 上的惡意 Youtube 影片分享

臉書上有人分享日本大地震影片,像是“Japanese Tsunami RAW Tidal Wave Footage!”千萬不要輕易點擊,這個看似影片的連結只是張含有連結的圖片,該假頁面含有病毒HTML_FBJACK.A,會引導受害者到惡意網頁:

hxxp//www.{BLOCKED}u.fr/view.php?vid=Le-plus-gros-Tsunami-du-Japon-depuis-20-ans.


接著會要求使用者輸入手機號碼,還會自動幫受害者按下臉書的”讚(LIKE)”按鈕,然後自動幫你貼分享網址到你的塗鴉牆,企圖讓你的親友團受駭.

3:捐款詐騙,假冒聯合國兒童基金會 UNICEF:

‘HOPE FOR JAPAN NOW, DONATE TO THE EARTHQUAKE & TSUNAMI VICTIMS’

信件鼓勵收件者即使只有一分錢或一塊錢,對日本孩子而言都不嫌少

還在信中要求輸入收件者的電子郵件帳號和住址等私密資料. 趨勢科技呼籲大家提高警覺,根據以往的經驗四川大地震,南亞海嘯時也曾出現過冒用公益機構,如紅十字會名義的詐欺案例,大家的愛心千萬不要被利用

 

詳情請看:日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…

Continue reading “尼泊爾地震事件成詐騙誘餌:別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)"

羅賓威廉斯( Robin Williams) 去世消息,被網路犯罪份子利用

羅賓·威廉斯(Robin Williams)在8月12日的過世消息震驚了全世界。這位著名演員的早逝消息在網路上迅速傳開,成為了網民間的熱門話題,同時也引來了垃圾郵件發送者和網路犯罪分子。

Robin

圖片截圖來源:Robin Williams 粉絲頁

當羅賓威廉斯(Robin Williams)的過世消息一傳出,趨勢科技就攔截到有垃圾郵件的主旨提到他的名字。垃圾郵件內容是用西班牙文,並要收件者下載關於羅賓威廉斯(Robin Williams)過世「令人震驚」的影片。一旦點擊該連結就會下載蠕蟲WORM_GAMARUE.WSTQ 。

類似的攻擊也開始流傳在 facebook 和 Twitter,一旦點擊會被進行點擊劫持(clickjacking),誘使被害者到另一個惡意網站,要求填問券或下載最新版本的播放器以觀賞影片,實際上卻會讓你的個資外洩。

利用新聞事件(像是名人的死訊,包括死亡謠言),是網路犯罪分子常用的誘餌。在過去也有一些攻擊使用類似的手法。

利用眾所關注的事件做為社交工程 ( Social Engineering )陷阱手法的攻擊在未來仍將持續發生,以下是趨勢科技提供的幾個竅門,幫助你在取得最新消息的時候,避免淪為網路犯罪份子攻擊:

  • 不要輕易點選搜尋結果:
    與其使用當下聯想到的關鍵字來搜尋新聞,不如將值得信賴的新聞網站以書籤標示,然後直接從網站直接取得最新消息。不過要注意的是,如果網站已遭入侵,你仍無法免於受攻擊傷害,除非你的系統能進行適度的防護。不過比起瞎點擊搜尋結果連結來說,這還是比較好的搜尋方式。
  • 臉書等社交網站分享的新聞相關訊息請先查證:
    先設定任何在社交網路網站上的資訊都是假的,除非有任何證據可做證實,試著去看資訊是從何處而來的。
  • 使用安全軟體並時時更新軟體版本及你的系統。

 

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

 

免費下載 防毒軟體 PC-cillin 試用版下載

《同場加映》

當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。

Black seo 當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。愛心捐款前,免費試用PC-cillin 2014 防毒軟體 不讓愛心遭利用

當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候

 

2006 年泰國禽流感,木馬藏在紅十字會網站;2009年 H1N1新流感出現南美總統集體得 H1N1 新流感!? 假新聞連結,偷個人資料木馬藏匿其中,利用時事大作文章的不只是媒體的專長,更是駭客病毒的一貫伎倆, 311日本大地震時黑心詐騙紛出籠,假新聞,假募款,假臉書分享…;美國大選時的喝醉的歐巴馬",和可能導致資料外洩的美國 2012 年總統大選 App 程式;在台灣則有這個文章看了讓你多活十年/新年度行政機關辦公日曆表( 這類搏感情的信件,誤點率很高) 。前陣子全球關心的波士頓馬拉松爆炸案也難逃一劫,緊接其後的一則德州爆炸案居然也被垃圾郵件集團拿來大做文章

免費看暑期強檔電影《龍虎少年隊:童顏巨捕》、《變形金剛 4》、《黑魔女:沉睡魔咒》?當心詐騙!

暑假已成了強檔電影的代名詞,但不幸的,這些電影也成了網路犯罪集團的社交工程誘餌。

依照過去幾年的慣例,趨勢科技工程師同樣調查了一下今夏可能成為威脅工具的暑期強檔電影。今年,《龍虎少年隊:童顏巨捕》是最熱門的社交工程(social engineering 誘餌,其次分別是《變形金剛4:絕跡重生》和《黑魔女:沉睡魔咒》。而這些所謂的免費影音網站的廣告都張貼在哪些地方呢?Tumblr 排名第一,其次是 WordPress 和 Blogspot。

Movie1

圖 1:最常被歹徒用來當成誘餌的暑假強片。英文片名

圖 2:影音網站廣告張貼處。

電影相關網址點閱次數最多的地區是美國,其次是澳洲和印度。

圖 3:影音網站瀏覽排行榜。

 

可疑的影音網站

使用者只要上前述的網站搜尋一下關鍵字,就能找到這些影音網站。例如:我們在社群媒體 Facebook 上搜尋一下「馴龍高手2」,就找到了一個相關的頁面。

圖 4:宣傳免費影音網站的 Facebook 頁面。 Continue reading “免費看暑期強檔電影《龍虎少年隊:童顏巨捕》、《變形金剛 4》、《黑魔女:沉睡魔咒》?當心詐騙!"

iPhone 6 謠言滿天飛,網路釣魚信件伺機蠢動

經驗告訴我們跟Apple有關的詐騙往往會隨著Apple新品上市謠言的出現而成長(請參考:網路釣客也愛啃蘋果!成千上百釣魚網站伺機竊取Apple ID)。隨著 iPhone 6 預期推出時間點愈來愈靠近,一些謠言也助長了騙局順水推舟。

一些負責Apple的記者回報說,他們收到偽造的「the wait is over(等待已經結束)」iPhone 6上市通知郵件。趨勢科技也收到了幾封,以下是樣本 之一:

圖一、垃圾郵件樣本

 

沒有追蹤 Apple 謠言或 iPhone 發表時程的使用者可能會被這電子郵件所騙,因為它的內文並不會跟真正的 Apple 通知有太多差別。然而,有兩個值得注意的地方:一個是七月並不符合最近幾次的 Apple 發表日程(iPhone5 和 5S 都是在九月發表),而且電子郵件中的設計也跟最近 Apple 謠言網站所發表的樣本機不符。

隨著 iPhone6(或許還有 iWatch)發表日期的接近,我們預期會看到更多的詐騙和利用這些(謠言中)Apple 產品為誘餌的攻擊。呼籲使用者要小心這些「通知」電子郵件,因為它們充斥著網路釣魚(Phishing)或其他威脅。

趨勢科技已經封鎖這起攻擊所用的垃圾郵件,也封鎖對所有相關威脅網站的存取。

 

@原文出處:iPhone 6 Rumors Spur Scams作者:Johnliz Ortiz(垃圾郵件研究工程師)

 

 

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

 

2014年 FIFA 世界盃足球賽剛開踢,惡意 App 已超過375種!

趨勢科技建議採取「讀、不、達」三大措施  保護球迷「百毒不達」!

2014年的世界盃足球賽在巴西展開了,對這樣知名而具新聞價值事件的熱愛讓國際間都都熱起來了。不幸的是,網路犯罪分子也開始進入狀況。

除了最近充斥在網路上的網路釣魚詐騙和駭客主義者癱瘓了兩個巴西政府網站(聖保羅軍警網站2014年世界盃官方巴西網站)外,網路犯罪分子也將目標放在行動世界,帶來了以世界盃為主題的行動惡意軟體 – 根據最近一次統計,有超過375種行動惡意軟體。趨勢科技發現這些惡意應用程式潛伏在未經授權/第三方應用程式下載商店,等待著使用者將其安裝到行動設備上。趨勢科技呼籲球迷可採取「讀、不、達」三大防禦措施,讓自己「百毒不達」!FIFA相關威脅資訊,請看這裡。

足球賽世界盃

經過分析,趨勢科技發現大部分有問題的惡意軟體是普及的行動惡意軟體家族變種。例如偽造熱門應用程式的 ANDROIDOS_OPFAKE.CTD家族、私下過濾簡訊和竊取資料的ANDROIDOS_SMSSTEALER.HBT家族、吃角子老虎詐騙程式ANDROIDOS_MASNU.HNT、和木馬程式ANDROIDOS_OPFAKE.HTG的變種等。」

FIFA球迷可採取「讀、不、達」三個自保步驟,避免遭受惡意程式侵害,讓自己「毒不達」:

  • :隨時利用趨勢科技整理的「FIFA相關威脅資訊」,來了解最新威脅資訊與防禦之道
  • :只從有信譽的平台下載App,不從第三方平台下載程式,以降低風險
  • :儘速安裝行動安全解決方案,如趨勢科技的「安全達人」免費App,利用趨勢科技26年的資安專業、保護自己不受惡意程式侵害!

偽造應用程式

一被偵測到的惡意軟體家族是ANDROIDOS_OPFAKE.CTD家族。此惡意軟體家庭最早出現在2013年5月,透過偽造熱門應用程式出現。它的惡意行為包括替使用者訂閱加值服務,外洩使用者的重要資料(如聯絡人清單/訊息),以及安裝惡意連結和捷徑在行動設備主畫面上。在短短一年間,被偵測到的ANDROIDOS_OPFAKE.CTD變種數量達到10萬次,偽造了14,707種應用程式。

趨勢科技也發現應用程式所連到的遠端伺服器有66個不同網域,每個網域都假裝成著名網站,像是MtGox.com。

圖一和二:假的世界盃遊戲應用程式

假的遊戲應用程式加值服務濫用通知 Continue reading “2014年 FIFA 世界盃足球賽剛開踢,惡意 App 已超過375種!"

釣魚網站以世界盃足球賽為餌,收集信用卡等個資

針對2014年巴西世界盃足球賽的垃圾郵件(SPAM)  開始傾巢而出。比方說試圖用獎金500萬巴西幣(相當於220萬美元)的樂透彩來誘騙使用者。

世足賽 足球

圖一、彩券釣魚郵件

像這樣的典型網路釣魚(Phishing)攻擊分為三個階段。首先,使用者連上釣魚網站,個人資料被收集。在這起案例中,被竊取的資料包括:

  • 信用卡號碼
  • 信用卡檢查碼(CVV)
  • 到期月年
  • 發卡銀行
  • 網路銀行密碼
  • 使用者電子郵件地址 

在第二階段,一PHP檔案會將所有擷取的資料儲存在惡意網站上的一個文字檔。

圖二、PHP程式碼

在這起案例中,文字檔名為CCS.TXT。在第三階段,這檔案被寄到攻擊者所控制的一個電子郵件地址。

圖三、儲存的資料

趨勢科技已經發現有其他攻擊使用類似誘餌,但他們更明顯地跟世界盃相關。下面例子是我們在約一個月前首次看到:

圖四、世界盃相關的釣魚網站

Continue reading “釣魚網站以世界盃足球賽為餌,收集信用卡等個資"