社群(交)網路 - 資安趨勢部落格

FacexWorm瞄準了虛擬貨幣交易平台，利用Facebook Messenger進行散播

2018 年 05 月 05 日2018 年 05 月 04 日趨勢科技 TrendMicro

FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能，將其命名為FacexWorm，它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台，並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響，Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。

FacexWorm並不新。它在2017年8月被發現，儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動，這與德國、突尼西亞、日本、台灣、韓國和西班牙出現FacexWorm的外部報告一致。

我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程（social engineering）連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結，並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。

雖然在檢查攻擊者地址錢包後，至今只發現一起比特幣交易被FacexWorm劫持，但我們不知道它利用惡意網頁挖礦賺得多少。

圖1、FacexWorm的感染鏈

散播

FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

圖2、假YouTube網頁要求使用者安裝FacexWorm

圖3、FacexWorm所發送訊息的範例

繼續閱讀

山寨 Binance CEO 慷慨贈幣Twitter 推文,駭客1天獲利820 萬台幣! 兩招預防社群網站虛擬貨幣詐騙

2018 年 03 月 09 日2018 年 03 月 20 日趨勢科技 TrendMicro

淘金熱好夯,偷用電腦挖礦花招也愈來愈多,連社交網站也遭挖礦詐騙者覬覦,該怎麼做? 3月7號晚上，一件駭客透過盜用帳密所引發的異常交易量，觸發了虛擬貨幣交易所 Binance 的內部警報系統。Binance CEO 在 Twitter 帳號發表的官方聲明，動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號，並用假帳號回覆真正 CEO 的推文，表示將送出 5000 個以太幣 ETH做為 Binance客戶的免費補償，光3月8日當天，就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客，這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780)，駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣)，相當驚人的詐騙獲利。

作者: Ieta Chi 紀孟宏 (趨勢科技首席資安顧問)

2018年3月7號晚上，一件駭客透過盜用帳密所引發的異常交易量，觸發了虛擬貨幣交易所 Binance 的內部警報系統。根據 Binance的報告，駭客在今年2月份就己經使用網路釣魚(Phishing) 的手法取得一批用戶登入交易所的帳號密碼，在釣魚成功後，駭客並不急於獲利，而是耐心的等到 3 月7號這天，開始大量賣出用戶帳戶裡的虛擬貨幣，並轉至駭客帳號。在事件發生幾個小時候，Binance CEO (CZ, Changpeng Zhao) 隨即在自己的 Twitter 帳號發表對此事件的官方聲明 (圖中藍框)，並安撫交易所的客戶。

不過動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號(圖中紅框)，並用假帳號回覆真正 CEO 的推文，表示將送出5000 個以太幣 ETH做為 Binance客戶的免費補償，只要用戶傳送0.3-5 ETH到指定Address，就可以立即收到 Binance 所回贈的 3-50 個ETH。為了以假亂真取信於人，駭客還建立了許多假 twitter 帳號，回覆推文說在極短的時間內就收到CEO 的慷慨贈幣，感謝推文一個接著一個，看到這些推文很難不讓人信以為真。

為了刺激人們想要獲得免費贈幣的慾望，駭客還設計了一個動態網站，顯示逐漸減少的贈幣數量，用來告訴你動作再不快一點，5000個免費 ETH 就快送完了。利用害怕搶不到所導致的思考不週來進行詐騙，也是詐騙的常見手法。

在短短一天內(3月8日)，就有超過七百個tweet回覆Binance CEO 最早的官方推文，只不過90% 的回覆推文都駭客假造的，絕大多數是由一連串假帳號所發出成功收到數個到數十個免費 ETH 的感謝推文（畫面內的用戶及推文全部都是駭客假造的）。

甚至還利用假帳號，秀出戶頭畫面，證明自己收到 99 個贈幣。

受影響程度

在3月8日的 twitter 推文中，假造的 Binance CEO 帳號總共貼出了四個不同的以太幣轉帳 Address：

1) 0x1e3c07ce10973fcaebc81468af1d3f390d2a4c71
2) 0xa8b3c9c2a45d68eb435b5f3ef6712fa50cdbd996
3) 0x75b9ca8e82cf03bc8d793a44f2e928f266cadca5
4) 0xd0206f494e1834a0ad76b202bebfc916317884cb

虛擬貨幣的特性就是所有的交易都會記錄在區塊鏈 (Blockchain) 上，所以透過以太幣的區塊鏈查詢網頁 (如: https://etherscan.io/) 就可以查詢有多少人轉帳到上述駭客所提供的錢包地址(下圖紅框)。先以查詢第一個錢包 address「0x1e3c07ce10973fcaebc81468af1d3f390d2a4c71」為例，綠色 IN 代表的是那個錢包把錢轉到駭客錢包以及金額，橘色 OUT 代表的是有多少錢從駭客錢包被轉到哪裡去。從這裡我們也可以看出，駭客把錢轉出 (OUT) 時，刻意把每一筆交易的轉到不同的錢包 Address (下圖藍框)，提高未來把錢追回來難度。

駭客把錢轉出 (OUT) 時，刻意把每一筆交易的轉到不同的錢包 Address (下圖藍框)，提高未來把錢追回來難度

照這個方法就可以把 4個駭客錢包的所有IN/OUT交易記錄從區塊鏈上調出來，統計了一下光3月8日當天，就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客，這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780)，駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣)，相當驚人的詐騙獲利。

如何預防社群網路上的虛擬貨幣詐騙?

除了記住天下沒有不勞而獲這個致理名言以外，如何判斷 Twitter 帳號真假也很重要。一個通過Twitter 實名制認證的帳號 (下圖/上)，在帳號旁邊會出現一個藍色圓圈打勾的圖案，反之，駭客建立的假帳號(下圖/下)幾乎不可能接受實名制認證，也就不會有前面說的認證圖案 (駭客也知道所以放了一個藍色心型圖案魚目混珠)，有能力辨認詐騙帳號才免於上當。

詐騙說穿了就是一種社交工程攻擊，從事件最開始 Binance 交易所用戶的帳密被盜，到 Twitter 上駭客所發的贈幣假消息，都是透過社交工程手法引誘用戶受騙上當。提高企業員工及個人對於社交工程攻擊的資安意識，才能真正降低受到網路詐騙的風險。趨勢科技提供免費的社交工程演練服務 Phish Insight，歡迎立刻試用

《延伸閱讀》

< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大！跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

2018 年 03 月 05 日2018 年 03 月 02 日趨勢科技 TrendMicro

可根據使用者的 Facebook 和 Spotify 資料，讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱，這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence Blog：Tinder、Grindr和OKCupid等網路應用程式是否會被惡意用在網路間諜活動？]

什麼是Facebook Account Kit？

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程，使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊，系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOS和Android。它也支援Web和行動Web應用程式（無論是否啟用JavaScript）。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀：Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

Account Kit漏洞如何被利用？ 繼續閱讀

《虛擬貨幣》關注這些名人的 Twitter ,就可獲得比特幣?!山寨版名人Twitter 帳號耍詐

2018 年 02 月 14 日2018 年 02 月 13 日趨勢科技 TrendMicro

詐騙集團利用山寨版名人Twitter 帳號竊取比特幣

詐騙集團已經找到新方法來延續過去的奈及利亞王子騙局：利用社群媒體來竊取虛擬貨幣（又稱數位貨幣），如以太坊或比特幣。而且從最近的報導中可以發現似乎真的有受害者上當，將自己的虛擬貨幣送給了詐騙集團。

這騙局相當簡單，卻能夠有效地欺騙沒有防備的受害者。在這騙局中，詐騙集團山寨了知名人士或組織的Twitter帳號（如John McAfee，Elon Musk，Donald Trump，Ripple，CryptoCoinsNews）。接著用這山寨帳號來回復推特，開啟一個對話或討論串。他們聲稱會送出多達30比特幣給關注者，只要他們將微薄的0.02-0.03比特幣發送到一個特定錢包/地址。

根據不斷出現的推文，這種快速致富的詐騙似乎是奏效了。儘管有很多人將這些推文標記為可笑且很容易就可以避開，但是因為假推文送到比特幣地址的金額總計已達0.184比特幣，約合1,474美元。對於這樣不用花多少努力的騙局來說，這投資報酬率不算壞。

[相關閱讀：奈及利亞王子騙局在西非地下市場很普遍 ]

冒用知名人士與組織的信譽加上虛擬貨幣日益成長的現實價值，使其成為有力的社交工程誘餌。這些詐騙也象徵威脅環境的一種趨勢：經過考驗可以成功的技術會被重複運用在新興技術或平台上。繼續閱讀

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式

2018 年 01 月 26 日2018 年 01 月 25 日趨勢科技 TrendMicro

趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中，有許多是早在 2017 年 4 月就已上架，而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為：ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中，有許多都是採用越南文，就連它們在 Google Play 上的說明也是。

該程式幕後操縱 (C&C) 伺服器的網址也位於越南：mspace.com.vn。從這一點以及大量使用越南文來看，很可能意味著這些應用程式來自越南，例如，GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南，就會預設使用英文。

利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者

這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的：社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者，這一點與我們偵測到的 GhostTeam 行為吻合。根據報導，印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家，所以也因此成為 GhostTeam 肆虐最嚴重的國家。

失竊的帳號很可能將被組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式

雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動，但這一點應該是無庸置疑的事。因為，就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路)，這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式，或者組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊，因此在地下網路上算是常態商品。

圖 1：GhostTeam 肆虐最嚴重的國家。