儘管網路釣魚是最古老的網路詐騙手法之一,但至今仍是企業和個人頭痛的問題。事實上,其數量似乎仍在不斷成長。根據網路釣魚防治工作小組 (Anti-Phishing Working Group) 的報告,2016 年估計高達 1 億以上的用戶,因為網路釣魚信件而被導向一個散布 Locky勒索病毒 的網站。網路犯罪集團不斷假冒各種知名服務,例如 Netflix 影音網站的用戶即曾經成為 網路釣魚攻擊的目標,許多人都被騙走了帳號和密碼。
⊙延伸閱讀:勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌
有鑑於網路釣魚如此盛行,使用者務必學會如何分辨網路釣魚郵件。儘管犯罪集團會盡可能讓網路釣魚郵件看起來像真的一樣,但使用者仍有一些蛛絲馬跡可循。以下提供幾個假冒全球知名網站的網路釣魚郵件真實案例來說明使用者該注意哪些地方:
LinkedIn是一個專業人士聚集和建立人脈的社群網站,也因此成了網路犯罪集團覬覦的重要目標,歹徒覬覦它擁有上億用戶的企業員工的個人資訊。
我的一位朋友在街上被人扒走了他的 iPhone 手機。像這樣的狀況,在巴西這類國家的大城市裡,實在是司空見慣。他後來又新買了一支手機,為了方便起見,仍然沿用原來的電話號碼。一開始並沒有什麼異樣,直到他發現自己的 Facebook 密碼被人篡改。
所幸,他的 Facebook 帳號有綁定電話號碼,因此才能救回帳號。不過這件事不太尋常,因為扒手竟然會進入受害者的 Facebook 帳號。歹徒為何對受害者的 Facebook 帳號有興趣?小偷行竊通常只是為了擁有某樣東西或者拿去變賣。災難還沒結束,隔天,我的朋友在他新的手機上收到了一封網路釣魚(Phishing)簡訊。
整起事件令人聯想到的是,傳統犯罪與網路犯罪的界線似乎開始變得模糊,尤其,傳統竊賊和網路犯罪集團未來若彼此合作,其犯罪手法將變得更加複雜。
這是一封葡萄牙文的簡訊,意思大概是說:「親愛的使用者,您遺失的裝置已經找到了,請點選這裡來查看它上次所在的位置:」。訊息後面還附上連結:hxxp://busca-devices.pe.hu。經過我們查證,這是一個網路釣魚網頁,會要求使用者輸入 Apple ID 登入憑證。
後來我們又上網查了一下這隻失竊手機最後的位置,官方 iCloud 網站確實顯示其最後位置就是手機被偷的地點。
圖 2:要求使用者輸入 Apple ID 登入憑證的網路釣魚網頁。
解析歹徒犯案手法 繼續閱讀
趨勢科技最近發現另一種散播惡意軟體的獨特方法,當滑鼠停在PowerPoint投影片超連接的圖片或文字時就會中毒。
以偽裝的發票或採購訂單,包裝成PPSX或PPS檔案,誘使企業採購相關承辦人點擊
POWHOV.A木馬 以偽裝的發票或採購訂單,包裝成微軟PowerPoint Open XML Slide Show(PPSX)或PowerPoint Show(PPS)檔案,誘使企業採購相關承辦人點擊。
提醒您:PPS/PPSX跟PowerPoint投影片檔案(PPT或PPTX)不同,PPSX或PPS檔案打開就直接是投影模式,而後者可以進行編輯。
一旦受害者下載並打開檔案,將滑鼠移過內嵌惡意連結的文字或圖片即會觸發滑鼠懸停動作,內容被啟用後,內嵌的惡意PowerShell腳本會被執行下載另一個JScript編碼檔案格式(JSE)的下載程式(JS_NEMUCOD.ELDSAUGH),最後會從命令與控制(C&C)伺服器取得有效載荷。
並且在安全提示視窗跳出時選擇啟用內容。
由於微軟預設停用可疑檔案的內容,透過Office後期版本的保護瀏覽功能來減少Office功能被惡意使用,像是巨集和物件連結與嵌入(OLE)。因此,引誘受害人打開檔案並啟用惡意內容在系統上執行的關鍵是社交工程(social engineering )陷阱。
出現安全通知/提示的惡意PPSX檔案樣本 繼續閱讀
趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本,它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容,寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔,開啟之後會出現一個惡意連結,點入連結就會下載惡意軟體到系統上。
經過研究,這惡意軟體被偵測為W2KM_CRYPJAFF.G。
強烈建議使用者要小心檢查電子郵件,開啟任何附件檔或連結前要仔細檢查寄件者和內容。
趨勢科技客戶可以受到對此電子郵件威脅的全面保護。
⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment
PowerShell 是微軟的多用途命令列和 shell 腳本語言,可以與許多技術整合並且互動。它可以默默地在背景執行,無須執行檔就能夠取得系統資訊。換言之,這是對威脅者相當具有吸引力的工具。有許多網路犯罪分子惡意使用 PowerShell 的知名案例:像是2016年3月的 PowerWare勒索病毒,和2016年4月的新Fareit惡意軟體 變種。因為這看起來是正在上升的趨勢,安全管理員對於如何防止PowerShell腳本造成損害也變得更加熟悉。
不過網路犯罪分子找到另一種方法來執行PowerShell腳本 – Windows LNK(LNK)。使用者常常可以看到的LNK檔案就是捷徑,出現在桌面和開始選單。事實上,LNK檔早在2013年就被用作攻擊載體。而在2017年初,我們注意到有木馬下載程式利用.zip包含.zip來掩飾一個會帶來Locky勒索病毒的LNK檔案。
現在,我們看見越來越多攻擊使用惡意 LNK 檔來利用正常應用程式(如PowerShell)下載惡意軟體或其他惡意檔案。為了說明LNK 的上升使用趨勢,請看看一個LNK 惡意軟體(趨勢科技偵測為LNK_DLOADR.*)如何從2017年一月開始一路飛升。這上升幅度顯示出這樣的方法正在成為流行:
圖1、4個月間的LNK_DLOADR偵測數量
最近的 LNK-PowerShell和 ChChes攻擊
在2016年10月,我們看到攻擊者利用LNK加上PowerShell和BKDR_ChChes來對日本政府機構和學術單位進行針對性攻擊。攻擊中使用了偽裝成假.jpg檔案的惡意PowerShell檔案。
圖2、在2016年十月針對日本目標的攻擊
我們在2017年一月注意到一個駭客集團 APT10(也稱為MenuPass、POTASSIUM、Stone Panda、Red Apollo和CVNX)在一波大規模魚叉式釣魚攻擊(SPEAR PHISHING)使用類似手法。在此起攻擊中,LNK 檔案執行cmd.exe來下載一個隱藏了惡意 PowerShell 腳本的假.jpg檔案。 繼續閱讀
