網路釣魚 Phishing - 資安趨勢部落格

竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

2020 年 06 月 10 日2020 年 06 月 10 日趨勢科技 TrendMicro

1-5 月威脅醫療，製造和政府部門三大產業的 Qakbot 變種,透過帶有惡意連結的郵件散播，這些郵件看起來像是在回覆一串業務討論郵件。
除了收件匣外,還在”已傳送”郵件資料夾內偵測到惡意威脅,這意味著不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。
已知的惡意軟體會不停地以更新更複雜的變種面貌再次出現，再加上有完全未知的威脅冒出，這些都需要具備先進偵測及回應功能的解決方案。

Qakbot重出江湖，威脅醫療產業，製造業和政府部門

趨勢科技經由託管式偵測及回應（MDR）服務發現有許多威脅來自寄入的電子郵件。這些郵件經常包含了網路釣魚(Phishing)連結、惡意檔案或指示。而且從每日對電子郵件後設資料（metadata）的分析調查可以看出不止是寄入郵件，還可以從使用者自己的”已傳送”郵件資料夾內偵測到惡意威脅。顯示出不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。從這類事件裡，我們關聯出電子郵件入侵來散播Qakbot相關郵件。

已知此惡意軟體會經由網路分享、可移除磁碟或軟體漏洞進行散播。我們最近所看到的例子是透過帶有惡意連結的郵件散播。點入連結會下載包含VBS檔（偵測為Trojan.VBS.QAKBOT.SM）的zip檔案，接著會下載一個惡意執行檔（趨勢科技偵測為Backdoor.Win32.QBOT.SMTH）。

繼續閱讀

政府單位資安事件可能的四個資安突破口以及對應之道

2020 年 06 月 03 日2020 年 06 月 03 日趨勢科技 TrendMicro

台灣這上半年來災情頻傳，新冠狀病毒(COVID-19, Coronavirus俗稱武漢肺炎) 的疫情才趨緩，這陣子許多重要機構又陸陸續續的傳出資安災情，像是敏感性資料遭竊並做為「進階持續性滲透攻擊」（以下簡稱 APT 攻擊）的材料，或是系統被癱瘓直接造成營運上的影響…，不論是哪一種資安事故帶來的後果都讓人難以承受。

台灣政府單位每個月被攻擊的次數是2,000萬次到4,000萬次

根據行政院資通安全處的資料顯示，台灣政府單位每個月被攻擊的次數是2,000萬次到4,000萬次，而1年之中攻擊成功的次數也高達360次，平均下來，每天都會遭到10萬次左右的攻擊，且被駭客攻陷1次！

繼續閱讀

粉專遭盜事件頻傳要求驗證臉書帳戶民眾要注意 !

2020 年 06 月 03 日2020 年 06 月 03 日趨勢科技 TrendMicro

【2020年6月3日，台北訊】近期名人粉絲專頁遭駭頻傳，受害人數眾多，其中包含知名圍棋美少女黑嘉嘉也差點受騙。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 發現有不肖分子企圖偽裝成 Facebook官方通知，不僅在Facebook開設幾可亂真的「Prıvacy Policy」粉絲專頁，甚至利用英文字母「i」和「ı」等微小差異，企圖混淆視聽、騙取粉絲團的帳密資訊。

趨勢科技發現駭客正偽冒官方訊息企圖騙取大量名人網紅臉書帳密

駭客正透過大量設立偽冒的官方粉絲專頁，企圖騙取臉書帳密。知名圍棋美少女黑嘉嘉也曾收過要求驗證帳戶的通知，黑嘉嘉指出當時看到訊息時，有先將不明網址傳送給防詐達人檢查，發現該網址為不安全連結，才沒有上當被騙。

根據趨勢科技研究團隊發現，駭客正透過大量設立偽冒的官方粉絲專頁，在其頁面上tag許多不同名人網紅的Facebook粉絲專頁，其中有個假冒官方粉絲專頁甚至已tag超過700位名人網紅，企圖騙取他們的臉書帳密。

這些被tag的名人網紅，會收到Facebook通知訊息或是E-mail信件的通知，宣稱「你的粉絲專頁已被其他人舉報，為了防止這種情況，我們需要驗證你的帳號」，並提供連結要求用戶遵循指示以驗證Facebook帳號。用戶被誤導點擊連結網址時，會引導至一個Telegram網頁，同時要求用戶點擊並進行帳戶驗證，點擊後便即刻被引導至假冒的Facebook登入頁面，要求用戶登入以驗證帳戶，一旦上當，駭客將會接收用戶的Facebook帳密資訊，獲得粉絲專頁的管理權限。

【圖說一】駭客企圖偽裝Facebook官方通知，利用英文字母「i」和「」等微小差異，開設假的「Prvacy Policy」粉絲專頁。

繼續閱讀

Loki資料竊取病毒偽裝成銀行付款通知,透過LZH檔散播

2020 年 05 月 22 日2020 年 05 月 18 日趨勢科技 TrendMicro

趨勢科技之前看過會用CAB格式檔案散播資料竊取病毒 Loki的垃圾郵件樣本。最近我們補抓到另一份提供相同惡意軟體的樣本，不過這次是透過LZH壓縮檔。我們將此附件檔和植入器偵測為TrojanSpy.Win32.LOKI.TIOIBYTU。

LZH檔（在日本比較常見的壓縮格式）也會被用來散播像Negasteal和Ave Maria等惡意軟體。

這次的惡意LZH附件檔來自偽裝成銀行付款通知的電子郵件。使用附件名稱payment confirmation.lzh。

繼續閱讀

駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增

2020 年 05 月 13 日2020 年 05 月 13 日趨勢科技 TrendMicro

趨勢科技發現多種專門利用在家上班相關工具的威脅。網路犯罪集團正透過登入憑證網路釣魚(Phishing)網站來誘騙使用者在假冒的電子郵件、協作平台以及網路視訊會議登入畫面上輸入自己的帳號密碼。

駭客們總是利用我們關心時事的心態，設計出與時事相關的詐騙訊息來誘拐人們受騙上當，單就 3月份的統計資料來看，趨勢科技便攔截到高達 897,711 封與新冠狀病毒(COVID-19,俗稱武漢肺炎) 相關的垃圾郵件，相關的資安事件也開始浮現。一個成功的企業除了具備拓展版圖的能力外，也需要堅強的保護機制來捍衛自己的城牆，而資安防護即是每一個企業的必要堡壘。

趨勢科技日前舉辦「社交工程攻擊 x 新冠肺炎」線上研討會，與 Trend Micro Phish Insight一起討論如何防範瞬息萬變的駭客攻擊，保護您的組織於無形。當中討論了一些台灣案例,請參考以下影片。

這麼多年以來，網路犯罪集團仍然非常積極地發動登入憑證網路釣魚攻擊。根據趨勢科技 2019 年 Cloud App Security 報告指出，使用未知網路釣魚連結的登入憑證網路釣魚嘗試攻擊數量從 2018 至 2019 年增加了 35%。這或許意味著，歹徒仍持續不斷在製造新的網路釣魚連結以躲避資安軟體的偵測。此外，趨勢科技 Cloud App Security^™ 所偵測並攔截的登入憑證網路釣魚攻擊數量亦成長 59%，從 2018 下半年的 150 萬成長至 2019 上半年的 240 萬。

[相關文章：The Rising Tide of Credential Phishing]