隨著2014年在巴西舉辦的世界杯足球賽接近,我們也看到越來越多威脅利用這賽事作為誘餌。我們最近談到巴西的網路犯罪分子利用此事件來散播惡意軟體,但我們發現還不只如此:我們看到了假FIFA網站在出售比賽門票。
其中一網站甚至在不同國家有不同的子網域,如下圖所示:
圖一、詐騙網站的多個子網域
(點擊上圖放大)
在目標放在巴西使用者的網站上,球迷可以用8,630.20巴西幣(略低於3900美元)的價格買到最後決賽的門票。這價格比FIFA網站上的官方價格還要高出近4000%。
在一巴西的抱怨網站上,一名使用者說他在這網站上買了三張葡萄牙對德國的門票,結果一張票也沒收到。受害者還說此詐騙網站沒有留下聯絡號碼。同一網站上的另一名抱怨者說,要聯絡這詐騙集團的唯一方法是透過聊天室或電子郵件。 繼續閱讀
網路犯罪份子非常擅長去利用引起人們好奇心的世界性事件。最新鮮的例子就是即將到來的2014年巴西世界杯足球賽。雖然全世界都在等待它的到來,網路犯罪分子可不會浪費時間,現在就推出了新威脅在世界各地找尋受害者。
搜尋結果導致惡意軟體和廣告軟體
趨勢科技最近看到一個檔案名為Jsc Sport Live + Brazil World Cup 2014 HD.rar,裡面包含了檔案Brazil World Cup Streaming 2014.exe。這是一個被偵測為BKDR_BLADABIN.AB的後門程式。
這支後門程式是BLADABINDI的變種,咸信是由nJRAT所建立(一個已知的遠端存取工具)。它可以執行來自遠端惡意使用者的命令,有效地攻擊被感染的系統。它也可以進行螢幕截圖,用來截取敏感資料。
足球遊戲玩家們也成為了目標。進行世界杯相關搜尋會出現一個所謂的FIFA 2014遊戲序號產生器,但這所謂的序號產生器其實是被偵測為ADW_INSTALLREX的廣告軟體。
圖一、出現序號產生器的網站
趨勢科技第一時間攔截零時差攻擊
呼籲政府及企業儘速修補程式 並進行APT 防護檢測
【2014年4月11日台北訊】全球雲端資安領導廠商趨勢科技,今日針對最新一波重大APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)事件發出警訊!根據趨勢科技APT調查小組第一時間的攔截報告,發現國際性駭客組織透過微軟RTF程式漏洞,針對台灣經濟相關的政府部會及企業,進行首波大規模目標性零時差攻擊!駭客利用主旨為與服貿等熱門議題有關的社交信件,夾帶後門程式以操控受害電腦,目前已知影響近20家台灣相關政府單位與企業!趨勢科技呼籲用戶,應儘快更新微軟MS14-017重大弱點修補,並立即進行APT資安防護檢測。
趨勢科技技術總監戴燊表示:「趨勢科技於昨(10)日發現,有駭客使用國際駭客組織慣用的惡意程式,利用微軟的RTF程式漏洞,專門針對台灣用戶的電腦進行零時差攻擊。駭客利用被感染電腦做跳板,發送以熱門新聞議題(例如服貿)為主旨的社交電子郵件,給台灣經濟相關的各政府單位及組織,信件夾帶後門程式HEUR_RTFEXP.A及HEUR_RTFMALFORM,用戶一旦開啟即被植入,駭客將可取得受害電腦的操控權為所欲為,例如竊取資密資料等。」
微軟公司在3/24日公佈此項RTF 弱點,趨勢科技APT解決方案於當天即偵測並攔載到惡意程式樣本,成功協助台灣與全球客戶在第一時間防禦此波APT威脅。趨勢科技更進一步發現,為了規避資安防護產品的偵測,駭客組織透過一個日本的網站為攻擊中繼站,以增加偵測的難度,但趨勢科技網頁信譽評等服務( Web reputation service, WRS)早已將此網站封鎖。
“【瘋傳】失蹤的馬航真的在印度降落了!!” facebook 臉書正在流傳這則中文影片訊息,這是繼「失蹤馬航客機找到了!」又另一波新的詐騙,此病毒點選後自動轉貼給朋友,請大家不要點選!(3/24 更新)
=============================================================
馬航370航班新聞被網路犯罪份子大作文章
隨著越來越多國家加入搜尋失踪的馬航370航班,趨勢科技也看到網路犯罪分子利用這被熱烈談論的話題來製造各種網路威脅。
其中一種是和這次飛行相關的假影片,我們相信是透過電子郵件來散播。這份影片聲稱是關於馬航370的五分鐘短片,檔名為Malaysian Airlines MH370 5m Video.exe。但實際上它是個被偵測為 BKDR_OTOPROXY.WR 的後門程式。就跟大多數的後門程式一樣,這惡意軟體讓遠端攻擊者可以在系統上執行各種命令,包括從它的伺服器下載並執行檔案,並且收集各種系統資訊。
這後門程式有一個不尋常的地方。它在www-dpmc-dynssl-com(用破折號代替點)上的指揮與控制(C&C)伺服器在去年十月被其他安全研究人員發現和一起目標攻擊有關。目標攻擊和其他較「傳統」的網路犯罪活動共用相同的基礎設施並不尋常,但這裡所看到的例子卻是如此。我們目前還沒
我們也看假新聞快報,聲稱失踪的飛機已經在海上發現。點入連結的用戶會被導到一個網站,外觀看起來和Facebook幾乎一模一樣。這網站內嵌了一部影片,內容據說是發現失踪的飛機。點入網頁的任何地方其實都會打開另一個網頁,有更多關於電影阿凡達續集的假影片。
圖一、嵌入「影片」的惡意網站
受歡迎的訊息應用程式WhatsApp最近又上了頭條,因為它被Facebook以天價160億美元進行收購。網路犯罪份子並沒有浪費時間的去利用此一熱門新聞:幾乎就在正式宣布後不到一個星期,趨勢科技就看到了一波垃圾郵件(SPAM)攻擊宣稱有這款熱門行動應用程式的桌面版在進行測試。
趨勢科技發現了一個垃圾郵件(SPAM)樣本,內容關於Facebook收購了 WhatsApp,並且提到有Windows和Mac版的WhatsApp可以提供給使用者。該郵件還提供了此版本的下載連結,它被偵測為TROJ_BANLOAD.YZV,常見被用來下載銀行惡意軟體。(此行為不管是在個人電腦或行動設備上都一樣。 )
大致的情況如下;TSPY_BANKER.YZV被下載到系統內。此一銀行惡意軟體變種會取得系統內儲存的使用者名稱和密碼,這讓受影響系統上使用過的網路帳號陷入安全風險。
雖然這起垃圾郵件攻擊的數量比較少,但還在不停地增加中。根據趨勢科技獲得的垃圾郵件來源回報說,此次攻擊的樣本佔了這特定來源所看到全部郵件的高達3%,這顯示出了潛在的垃圾郵件爆發。
趨勢科技強烈建議使用者要小心此次或類似的郵件;WhatsApp目前並沒有Windows或Mac版軟體,因此,所有宣稱有此版本的郵件都可以視為詐騙。趨勢科技透過偵測惡意軟體和垃圾郵件,以及封鎖相關網站來保護使用者,免於此垃圾郵件攻擊。
@原文出處:WhatsApp Desktop Client Doesn’t Exist, Used in Spam Attack Anyway作者:Michael Casayuran(垃圾郵件研究工程師)
