數千個網路商店被注入 Magecart信用卡盜卡程式,今年第三起類似事件!

最近趨勢科技在 3,126 個網路商店當中發現了 Magecart (亦稱 E-Skimming) 網路信用卡盜卡攻擊。 此次攻擊所用的程式碼與先前攻擊英國航空 (British Airways) 及 Newegg 所用的類似。盜卡程式碼會拷貝付款畫面上的所有資訊,包括受害者的姓名、住址、電話、電子郵件以及信用卡詳細資訊 (卡號、持卡人姓名、到期月份、到期年份、CVV 驗證碼)。專挑大型受害者下手的 Magecart Group 6 駭客集團會試圖註冊與受害者的網域名稱相近的網域來架設接收資料的伺服器。在此次的案例當中,歹徒接收資料的伺服器網域為「volusion-cdn.com」與受害者 Volusion 自家的網域「cdn3.volusion.com」非常相似。

趨勢科技解決方案皆能保護使用者和企業,有效攔截惡意腳本並防止使用者連上惡意網域 。一般用戶, 可免費下載試用 PC-cillin 雲端版

根據我們的資料顯示,這波攻擊始於 2019 年 9 月 7 日,所有受影響的網路商店都是架設在 Volusion這個知名電子商務平台上。事實上,這已經是我們第三次發現盜卡程式被注入電子商務廠商的雲端平台。今年已有另外兩家廠商受害:一家是校園電子商務平台,另一家是飯店電子商務平台。很明顯地,這些目標之所以會被網路犯罪集團盯上,原因就在於這些平台廣受許多網路商店青睞,例如這次受害的平台旗下有數千家商店。

繼續閱讀

惡名昭彰 Emotet 銀行木馬,偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊

Emotet銀行木馬(趨勢科技偵測為TrojanSpy.Win32.EMOTET.THIBEAI)最近又再次浮出水面,而且還利用了前美國中央情報局職員 愛德華·史諾登 (Edward Snowden, 前美國中央情報局職員,美國國家安全局外包技術員)的熱門回憶錄來快速地擴大戰線。

這波攻擊背後的惡意份子會寄送與該回憶錄同名的 Word 附件「Permanent Record ( 永久檔案)」,誘騙受害者打開夾帶Emotet病毒的惡意文件。

根據安全研究人員的說法,一旦受害者開啟文件,就會跳出假訊息來要求啟用Microsoft Word。點擊啟用按鈕後,惡意巨集就會在背景執行。接著它會觸發一個PowerShell命令來連上一個被入侵的WordPress網站。再將Emotet及其他惡意軟體(如Trickbot)下載到受害者的電腦上,同時連到命令與控制(C&C)伺服器。

Emotet銀行惡意軟體,會監聽網路活動竊取資料

在2014年,趨勢科技發現Emotet是種銀行惡意軟體,它會監聽網路活動來竊取資料。它已經演進了好幾年。Emotet會利用自己的垃圾郵件模組來散播到全世界不同的產業和地區,並且還會利用沙箱及分析躲避技術

繼續閱讀

就像在 ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料

官網訂機票後,信用卡即遭竊取! 新式數位盜卡集團來了!該如何確保信用卡資料安全?

就像犯罪集團在 ATM 提款機上安裝的盜卡裝置一樣,駭客將一種叫做「Magecart」的惡意程式碼植入目標網站,專門竊取客戶在結帳時所提供的付款資料,只不過是數位版本。更厲害的是,這類程式碼不但強大,而且持卡人完全無法察覺。

過去這一年來 Magecart 駭客集團已證明,沒有任何一個網站可以倖免於這類盜卡攻擊。不論是知名電子商務品牌 (如 Newegg)、國內大型航空公司、全球售票網站 (Ticketmaster),甚至服務對象遍及美國、加拿大將近 200 所大學的校園網路商店只要網站接受線上刷卡就存在著風險

就像在 ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料

近年來大約有 17,000 個網站是經由此方式遭到入侵。還有另一波攻擊在短短 24 小時內就入侵了 962 家網路商店。Magecart 還變本加厲開發支援各種結帳網頁的萬用盜卡程式碼們,最高記錄可支援 57 種支付閘道,也就是說駭客可以很輕鬆地利用同一套工具來攻擊全球網站。

七月英國航空 (British Airways) 遭到了航空史上最高的罰鍰,原因是該公司的客戶在其官網訂票之後,信用卡資料便隨即遭到竊取。這筆由英國隱私權監理機構所開出的 2.28 億美元罰款,反映出這起事件的嚴重性,以及該公司未善盡保護客戶個人及金融資訊的責任。不過,這起事件的後續發展並不只侷限於英國航空公司及其客戶。這其實是一波最新的攻擊手法,歹徒專門在電子商務網站上植入「數位盜卡」程式碼來竊取使用者在網站上消費時所輸入的付款資訊。

雖然,數以萬計的網站都曾經發生同樣的情況,但你還是有一些方法可以確保自身的消費安全,最方便的作法就是安裝一套 PC-cillin 雲端版 。不過,有些事情你還是必須預先了解。


🔴 PC-cillin 雲端版30天防毒軟體 》即刻免費下載試用

繼續閱讀

LokiBot變種利用圖像隱碼術來隱藏蹤跡

當Lokibot第一次出現在地下論壇時,標榜的是資訊竊取和鍵盤記錄等能力,但這幾年來它又加入了許多功能。最近的攻擊活動已經看到這病毒家族會利用Windows Installer進行安裝,而且使用了新的派送方式,利用夾帶惡意ISO檔的垃圾郵件。分析新的LokiBot變種後發現它更新了持續性機制且使用 圖像隱碼術 (steganography)  來隱藏其程式碼,讓它在系統內更不容易被發現。

事件背景

當時我們通知一家使用趨勢科技託管式偵測及回應(MDR)服務的東南亞公司出現潛在威脅時發現此一LokiBot變種(趨勢科技偵測為TrojanSpy.Win32.LOKI.TIOIBOGE) – 一封聲稱來自印度甜點公司的電子郵件附件檔。公司內部署的趨勢科技趨勢科技的Deep Discovery Inspector沙箱發出了警訊加上此封郵件的可疑性質讓我們通知公司可能的惡意威脅,接著趨勢科技研究部門進一步地深入調查和分析。

Figure 1. Screenshot of the actual email sample that contained a LokiBot attachment

圖1. 包含LokiBot附件檔的郵件樣本截圖

繼續閱讀

新手駭客也可輕易取得“軍事級”工具,攻擊使用過時 Windows 系統的企業

先進的針對性攻擊工具被用來散播挖礦病毒

使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。 近日趨勢科技發現一波針對全球企業散播挖礦病毒的攻擊活動。

這波攻擊活動有一些特別的地方。首先是它只針對企業,另外是所有的受感染電腦都運行過時版本的Windows作業系統,很容易遭受已修補的漏洞攻擊。

網路犯罪分子似乎都會從針對性目標攻擊(Targeted attack )的攻擊工具包取材,好讓惡意活動取得最大的效果,像是挖礦劫持(Cryptojacking)。

新手駭客也可輕易取得“軍事級”工具,攻擊使用過時 Windows 系統的企業

一般網路犯罪和針對性目標攻擊(Targeted attack )的差別之一是意圖:前者的主要動機大多數是要馬上得到金錢上的好處,但後者常會有其他目的,像是竊取智慧產權。此外,攻擊者心態也可能相當不同。一般網路犯罪通常會想盡可能地攻擊更多對象,來大量散播勒索病毒 Ransomware (勒索軟體/綁架病毒)、挖礦( coinmining )病毒或銀行木馬等,但針對性目標攻擊(Targeted attack )則需要計劃如何滲透並取得企業網路的完全存取權限,同時儘可能保持不被發現。

此外,針對性攻擊通常會經過大量的規劃,加上製作或使用高度特製化的工具。而一般網路犯罪可能沒有能力或資源來規劃複雜的攻擊活動,因此會從地下市場取得通用工具。

趨勢科技最近發現攻擊者使用來自Equation駭客集團的工具(由Shadow Brokers公開流出),大量入侵使用過時版本Windows作業系統的機器。

使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。趨勢科技在本月初也發現了一個稱為BlackSquid的惡意軟體家族,它會用已知的漏洞攻擊碼來散播挖礦病毒。本文所討論的調查結果證實了我們的懷疑,就是網路犯罪分子新手現在也可以輕易地取得“軍事級”工具。

繼續閱讀