分類: 垃圾郵件(SPAM)

SPAM 午餐肉罐頭為何會跟垃圾郵件的英文名字撞名？

你的一生中可能會遇過幾個「淑○」「○惠」和「○玲」姊姊/阿姨,還有「○豪」「○明」和「○傑」哥哥/叔叔。其實英文名字也有類似的常用名,「Mary」「Patricia」和 「Jennifer」姊姊/阿姨; 「James」「Robert」和 「John」哥哥/叔叔。
（註：文末附有台灣/美國最多人使用的中/英文名排行）

趨勢科技研究人員偵測到針對韓國使用者的惡意垃圾郵件活動。這波攻擊利用ALZip壓縮的附件檔，ALZip是在韓國廣泛使用的壓縮工具。附件檔解壓縮後會出現兩個執行檔（.EXE），夾帶 資訊竊取病毒TrojanSpy.Win32.INFOSTEALER.THBOCBO和 勒索病毒Ransom.Win32.NEMTY.THBOCBO。

這波惡意郵件偽裝成來自韓國公平貿易委員會的郵件，聲稱是要通知一件電子商務違規調查。附加的ALZip檔名翻成中文為「要求保存電腦化及非電腦化資料」。

這波惡意郵件在去年12月下旬達到高峰。大多數電子郵件是在韓國收到，不過在美國、德國和英國也有人收到郵件。

Heatstrok惡意活動利用多階段網路釣魚攻擊,專竊取PayPal和信用卡資訊

雖然網路釣魚活動在2019年上半年顯得較為平靜，但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。

Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術，不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址，尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站，以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號；取得權限的攻擊者也可以存取受害者的Google雲端硬碟，甚至可能會危及連結帳號的Android裝置。因此，跟防護較高的企業郵件帳號比起來，這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。

Heatstroke攻擊鏈

Heatstroke操作者使用下列策略來隱藏自己的踪跡：

• 多階段網路釣魚攻擊。為了避免起疑，攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來，Heatstroke試圖用多階段作法去模仿合法網站，讓目標受害者不會感受到不妥之處。
• 混淆蹤跡。釣魚套件內容是從另一個位置轉發，但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線，則該網頁不會顯示內容（出現HTTP 404錯誤），或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生，來躲避或繞過防火牆。
• 網路釣魚即服務。我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
• 自我感知的釣魚套件。釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
• 試圖顯得合法。會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡，用於攻擊的網域曾屬於合法商家但後來被出售。

被偷的帳密會用圖像隱碼術(Steganography)（將資料隱藏或嵌入到圖檔裡）送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者，另一個則會竊取PayPal帳密。