FACEBOOK 臉書(fb) - 資安趨勢部落格

FacexWorm瞄準了虛擬貨幣交易平台，利用Facebook Messenger進行散播

2018 年 05 月 05 日2018 年 05 月 04 日趨勢科技 TrendMicro

FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能，將其命名為FacexWorm，它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台，並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響，Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。

FacexWorm並不新。它在2017年8月被發現，儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動，這與德國、突尼西亞、日本、台灣、韓國和西班牙出現FacexWorm的外部報告一致。

我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程（social engineering）連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結，並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。

雖然在檢查攻擊者地址錢包後，至今只發現一起比特幣交易被FacexWorm劫持，但我們不知道它利用惡意網頁挖礦賺得多少。

圖1、FacexWorm的感染鏈

散播

FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

圖2、假YouTube網頁要求使用者安裝FacexWorm

圖3、FacexWorm所發送訊息的範例

繼續閱讀

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

2018 年 03 月 05 日2018 年 03 月 02 日趨勢科技 TrendMicro

可根據使用者的 Facebook 和 Spotify 資料，讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱，這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence Blog：Tinder、Grindr和OKCupid等網路應用程式是否會被惡意用在網路間諜活動？]

什麼是Facebook Account Kit？

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程，使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊，系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOS和Android。它也支援Web和行動Web應用程式（無論是否啟用JavaScript）。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀：Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

Account Kit漏洞如何被利用？ 繼續閱讀

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式

2018 年 01 月 26 日2018 年 01 月 25 日趨勢科技 TrendMicro

趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中，有許多是早在 2017 年 4 月就已上架，而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為：ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中，有許多都是採用越南文，就連它們在 Google Play 上的說明也是。

該程式幕後操縱 (C&C) 伺服器的網址也位於越南：mspace.com.vn。從這一點以及大量使用越南文來看，很可能意味著這些應用程式來自越南，例如，GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南，就會預設使用英文。

利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者

這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的：社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者，這一點與我們偵測到的 GhostTeam 行為吻合。根據報導，印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家，所以也因此成為 GhostTeam 肆虐最嚴重的國家。

失竊的帳號很可能將被組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式

雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動，但這一點應該是無庸置疑的事。因為，就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路)，這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式，或者組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊，因此在地下網路上算是常態商品。

圖 1：GhostTeam 肆虐最嚴重的國家。

除此之外，應用程式當中還有一項有關作者的線索：該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。

圖 2：會暗中竊取 Facebook 帳號的應用程式圖示。 繼續閱讀

《資安漫畫》【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

2018 年 01 月 16 日2019 年 08 月 22 日趨勢科技TrendMicro

據英國《每日郵報》報導，美國麻省理工學院和英國牛津大學專家指出，每天8則發文，即便是沒有任何技術和相關知識，也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出， 65%測試者可以大致知道使用者住家位置，而70%能推算出工作位置，甚至能有85%的能夠精準掌握其公司所在地。

網友發表一篇要跟愛打卡的老婆離婚了引起很多迴響,作者說:” 我工作請假是說家裡有事情,也沒告訴同事說要出國,連爸媽我都沒說…”一周後回國卻發現 “我的電視、音響，家裡所有值錢的東西都被搬光了, 我心裡有碎掉的聲音…..”,這是個血淋淋的真實案例.

以下還有兩則跟打卡有關的新聞報導,不禁讓小編要再度提醒大家安全「打卡」重要性了。

【案例一】:臉書打卡慶生女通緝犯躲16年破功,一名判刑遭通緝的沈姓女子，逃匿十六年，追訴時效再過十四天將消滅，但她過生日時在臉書上打卡，台南市玉井警方因此掌握到她行蹤，將她逮捕到案。

【案例二】:這則新聞小開臉書打卡洩蹤,綁匪按表擬擄人計畫報導說男子得知某小開常使用臉書紀錄個人資料，整理其臉書訊息以了解其作息及擬定擄人計畫，將他擄走後勒贖500萬元。

在這個社群網路快速擴張的時代，不僅是年輕人，小孩、大人們的FB、Ig使用率居高不下。但因為能輕易上傳日常生活動態以及刊登個人資訊得緣故，您公開的資訊，很有可能會被不法分子盯上。

繼續閱讀

Digmine 數位貨幣挖礦程式,透過Facebook Messenger 散播中

2017 年 12 月 27 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播，該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看，相信很快就會散播到其他國家。我們將其命名為 Digmine，這是根據在韓國最近所發生相關事件的報告內所提到的別名（비트코인채굴기bot）。

Digmine會偽裝成影片檔傳送，但實際上是個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入，Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播，但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制（C&C）伺服器，意味著可以被更新。

Digmine並會搜尋並啟動Chrome，然後載入從C&C伺服器取得的惡意擴充功能。

數位貨幣挖礦殭屍網路的已知工作模式（特別是挖掘門羅幣的Digmine）會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器，因為這代表了運算力的增加以及更多可能的網路犯罪收入。