社群(交)網路 - 資安趨勢部落格

後門程式透過FB臉書和Yahoo、ICQ、Google Talk.即時通軟體散播帶毒短網址

2013 年 05 月 14 日2013 年 05 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

一種新的攻擊正透過臉書和好幾種即時通應用程式發送短網址散播, 攻擊者可以藉由後門程式，控制受感染的電腦。惡意軟體會送垃圾訊息給使用者的好友們,垃圾訊息甚至會根據系統的語言設定，下載高達十一種不同語言的暗示性圖片。

趨勢科技發現它利用兩個蠕蟲程式來散播，其中一個是惡名昭彰DORKBOT病毒家族的新變種。DORKBOT已知會透過社群媒體和即時通應用程式（egSkype和mIRC等）來散播，現在被發現會利用支援多協定的即時通應用程式（利如Quiet Internet Pager和Digsby）散播。

這些應用程式讓使用者可以同時使用多種即時通。Digsby支援AIM、MSN、Yahoo、ICQ、Google Talk、Jabber和Facebook訊息，而Quiet Internet Pager則支援至少四種不同的即時通服務。因此，有了更廣泛的散播管道，這惡意程式可能會影響更多的使用者。

這蠕蟲被偵測為WORM_DORKBOT.SME，會在中毒電腦上發送短網址給即時通上的聯絡人，該短網址指向一個檔案，被上傳到檔案代管網站Mediafire上的更新DORKBOT檔案。這可能是用以避免被偵測以及被輕易移除的手段。

除了它的散播方式，DORKBOT著名的還有它會透過掛勾特定瀏覽器的API來竊取登錄認證資訊。

主要程式BKDR_LIFTOH.DLF會去下載WORM_DORKBOT.SME。這個後門程式從C＆C伺服器所接收的命令之一就是下載並執行其它惡意軟體。這命令還包括這後門程式會被下載的網址。不過這次檔案是被上傳到Hotfile。

此外，這後門程式也可以編輯來自C＆C伺服器的設定。

在上面的截圖裡，設定檔裡包括了C＆C伺服器、連線逾時、連線嘗試最大次數和惡意軟體編譯版本。代表這惡意軟體可以切換不同的C＆C伺服器以避免被偵測。另一方面，buildid欄位的值是build1，代表這惡意軟體還是第一個版本，可能會在不久的將來看到這後門程式的其他版本。

繼續閱讀

超過百個假鋼鐵人3(Iron Man3)影片串流網站流竄,網路廣告不斷跳出,更藉臉書散播詐騙個資問卷

2013 年 05 月 06 日2013 年 05 月 06 日 Trend Labs 趨勢科技全球技術支援與研發中心

不想排隊去看鋼鐵人3(Iron Man3)?想在網路上找盜版下載或是免費串流影片?熱門電影鋼鐵人3已成為有心人士騙取個資的利器。趨勢科技發現網路上已經出現至少一百多個號稱提供鋼鐵人3影片串流的網站，要求使用者下載特定影片播放軟體，一旦下載完成，將會主動播放廣告，讓使用者不堪其擾，並且網路犯罪者也利用臉書來大量散播「免費鋼鐵人3串流視訊」的廣告連結，誘導使用者至問卷調查詐騙網站，騙取使用者個資。

鋼鐵人3輔上映即造成全球熱潮，有心人士立刻透過網路散播免費的鋼鐵人3影片串連，根據趨勢科技病毒防治中心 Trend Labs 觀察，短短一周已經發現超過一百個號稱可以提供鋼鐵人3免費影片串連的網站，一旦連上這些網站，使用者會被要求下載視訊安裝程式，此檔案的確是如駭客所言的影片播放程式，但這個影片播放程式在之前曾被偵測為會主動播放廣告，除了讓網友不勝其擾之外，更不排除為駭客植入惡意軟體的跳板，造成網友上網安全的潛在疑慮。

我們簡單地用Google來進行查詢，發現有一百多個網站號稱提供了鋼鐵人3的影片串流。

一旦連上這些網站，就會要求使用者下載一個視訊安裝程式。根據趨勢科技的分析，這檔案的確是如他們所說的影片播放程式。這個影片播放程式在過去已知會侵略性的播放廣告，只是目前我們沒有看到這行為。此外，這播放程式也可以被用來下載和觀看色情影片。

不過這些正常程式還是有可能在之後被更換成惡意軟體。所以如果我們很快就發現有惡意軟體網頁偽裝成鋼鐵人3串流播放或是下載網頁也不會感到訝異。

繼續閱讀

從美聯社 Twitter 帳號被入侵事件,看推特為何一直被駭?

2013 年 04 月 30 日2013 年 08 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

我想你們一定看過這幾個月的新聞，發生了好幾起高調的推特（Twitter）駭客事件，包括了知名品牌，如Jeep，漢堡王（Burger King），以及最近的美聯社（AP）。一般不是很懂電腦的人可能會出現下列的疑問：

這些帳號為什麼及如何被駭客攻擊的？這些企業不是應該都會設定又長又複雜的密碼來保護自己的帳號嗎？
如果他們不能持續維護自己的安全，我將會遇到什麼？
什麼是雙因子認證？我一直聽說這會讓我更安全。

推特帳號一直會被駭的原因

推特帳號一直都有被駭事件的原因很多。可能只是簡單地因為有人為了好玩去散播謠言，也可能是惡毒的想要抹黑特定個人或公司。這可不僅僅是傷害到這公司或個人，在某些案例裡，像是美聯社的帳號被入侵，就實際地讓美國股市出現短暫的下跌。而正如你可以想像的，這樣一個短期波動可是在股市獲得巨大利益的機會。

推特被駭也凸顯出關於密碼安全一個更大的問題。你可以使用有史以來最長、最複雜的密碼，但如果你點入一個惡意連結或偽裝成推特的網站讓你輸入密碼，基本上這就已經跳過任何密碼的安全性，直接把密碼交到壞人手上。

常見的社交工程伎倆

這是今天在推特上一個令人難以想像常見的社交工程陷阱( Social Engineering)伎倆。透過從你關注的一個被駭帳號發送「私人訊息」給你，網路犯罪份子就可以駭入你的帳號。這訊息可以裝得非常簡單：「嘿！我看到你這個有趣的畫面！」然後，它會連到一個惡意網站。這種戰術在過去已經被廣泛成功地運用在電子郵件病毒上，今日轉移陣地到社群媒體上也是一樣的成功。

另一種常見用來竊取你密碼的方式，就是去入侵並不具備推特安全控管等級的網站或服務。如果你在多個服務上都使用相同的密碼，就可以利用自動化工具，很快地在多個網站和社群媒體服務上嘗試這偷來的帳號/密碼組合。

繼續閱讀

九千萬人按讚?! 病毒製造假人氣, 山寨Adobe Flash Player外掛夾毒, 受駭者 facebook垃圾貼文拖朋友下水

2013 年 04 月 22 日2015 年 06 月 10 日趨勢科技 TrendMicro

繼假臉書個人檔案檢視器的騙局後，趨勢科技又發現另外一個臉書騙局會誘騙使用者去下載假Adobe Flash Player外掛程式。我們注意到有無數的文章分享指向一個超過九千萬人按讚的臉書網頁。對某些人來說，能在臉書上得到這麼多讚，已經值得讓他們去看看那網頁了。這也代表這網頁非常受歡迎，讓使用者因此認為它是正常而無害的。

九千萬人按讚?! 病毒製造假人氣, 山寨Adobe Flash Player外掛夾毒, 受駭者 facebook垃圾貼文

圖一、臉書垃圾貼文

然而，我們證實了這九千萬個讚並不是真的，只是個社交工程陷阱( Social Engineering)的誘餌。一旦使用者連上該網頁，會將他們帶到下列網站。

圖二、使用者被導到內有假Adobe Flash Player外掛程式的網站

看起來，這網頁應該提供Adobe Flash Player外掛程式（偵測為TROJ_FAKEADB.US）。如果使用者下載外掛程式，並透過Google Chrome去瀏覽網頁，網頁會自動關閉，出現一個Chrome擴充套件。這擴充套件被偵測為TROJ_EXTADB.US。

一旦安裝，中毒者 facebook 臉書帳號會自動發送相同的垃圾貼文（甚至將他們的朋友標記到貼文內）。此外，TROJ_EXTADB.US也會對某些特定網址發送和接收資訊。趨勢科技 PC-cillin 2013雲端版已經封鎖了這威脅所有的相關網址。

繼續閱讀

臉書個人檔案檢視器 (Facebook Profile Viewer)?是詐騙!

2013 年 04 月 17 日2013 年 04 月 23 日趨勢科技 TrendMicro

好奇心真是沒有修正程式的漏洞,還記得本部落格介紹過的“今天有哪些人看過你的 FACEBOOK 個人檔案?”假Instagram 之名網路釣魚詐騙嗎?(如下圖)

: 「Recent Profile Views（最近看過個人檔案）」自動貼文表示那些人看了他們臉書的個人檔案，而且有多常看。

現在另一個雷同手法號稱最新的應用程式又如法泡製了:安裝 ” 臉書個人檔案檢視器Facebook Profile Viewer” 這個最新應用程式,就可以知道哪些人最常看你臉書的個人檔案?趨勢科技提醒您如千萬別安裝!

手法1:點擊劫持:你按一下滑鼠,它竊取密碼或是散播垃圾郵件

目前發現此類的應用程式,比如「看誰看過你的個人檔案」或「誰在追蹤你」都只是針對臉書使用者的騙局，想要竊取密碼或是散播垃圾郵件。他們怎麼做？clickjacking點擊劫持就是其中一種做法。在典型的點擊劫持攻擊裡，網路犯罪分子利用正常網頁作幌子來隱藏惡意內容，並且可能會利用惡意JavaScript來載入第三方網站內容，這一切只要按幾下滑鼠就可得逞。

但如果網路犯罪份子採用不同的新技術會怎麼樣？讓使用者利用鍵盤輸入命令會是種全新的做法。具體案例如下：

手法2:操作快速鍵,聲稱”安全檢查”

讓我們檢查一下以下這則” Facebook Profile Viewer 臉書個人檔案檢視器 ”垃圾貼文裡的留言，就可以看出垃圾郵件發送者最近開始了不同的策略。