網路釣魚 Phishing - 資安趨勢部落格

iPhone被扒走,新手機傳來:”您遺失的裝置已經找到了，請點這裡查看….” 竟是網路釣魚騙Apple ID!

2017 年 06 月 12 日2017 年 06 月 09 日趨勢科技 TrendMicro

我的一位朋友在街上被人扒走了他的 iPhone 手機。像這樣的狀況，在巴西這類國家的大城市裡，實在是司空見慣。他後來又新買了一支手機，為了方便起見，仍然沿用原來的電話號碼。一開始並沒有什麼異樣，直到他發現自己的 Facebook 密碼被人篡改。

所幸，他的 Facebook 帳號有綁定電話號碼，因此才能救回帳號。不過這件事不太尋常，因為扒手竟然會進入受害者的 Facebook 帳號。歹徒為何對受害者的 Facebook 帳號有興趣？小偷行竊通常只是為了擁有某樣東西或者拿去變賣。災難還沒結束，隔天，我的朋友在他新的手機上收到了一封網路釣魚（Phishing）簡訊。

整起事件令人聯想到的是，傳統犯罪與網路犯罪的界線似乎開始變得模糊，尤其，傳統竊賊和網路犯罪集團未來若彼此合作，其犯罪手法將變得更加複雜。

這是一封葡萄牙文的簡訊，意思大概是說：「親愛的使用者，您遺失的裝置已經找到了，請點選這裡來查看它上次所在的位置：」。訊息後面還附上連結：hxxp://busca-devices.pe.hu。經過我們查證，這是一個網路釣魚網頁，會要求使用者輸入 Apple ID 登入憑證。

後來我們又上網查了一下這隻失竊手機最後的位置，官方 iCloud 網站確實顯示其最後位置就是手機被偷的地點。

圖 2：要求使用者輸入 Apple ID 登入憑證的網路釣魚網頁。

解析歹徒犯案手法 繼續閱讀

訂單通知夾帶惡意PDF附件檔

2017 年 06 月 09 日2017 年 06 月 08 日趨勢科技 TrendMicro

趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本，它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容，寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔，開啟之後會出現一個惡意連結，點入連結就會下載惡意軟體到系統上。

經過研究，這惡意軟體被偵測為W2KM_CRYPJAFF.G。

強烈建議使用者要小心檢查電子郵件，開啟任何附件檔或連結前要仔細檢查寄件者和內容。

趨勢科技客戶可以受到對此電子郵件威脅的全面保護。

⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment

資安威脅趨勢：攻擊者使用 LNK 檔案下載惡意軟體

2017 年 05 月 26 日2017 年 06 月 12 日趨勢科技 TrendMicro

PowerShell 是微軟的多用途命令列和 shell 腳本語言，可以與許多技術整合並且互動。它可以默默地在背景執行，無須執行檔就能夠取得系統資訊。換言之，這是對威脅者相當具有吸引力的工具。有許多網路犯罪分子惡意使用 PowerShell 的知名案例：像是2016年3月的 PowerWare勒索病毒，和2016年4月的新Fareit惡意軟體變種。因為這看起來是正在上升的趨勢，安全管理員對於如何防止PowerShell腳本造成損害也變得更加熟悉。

不過網路犯罪分子找到另一種方法來執行PowerShell腳本 – Windows LNK（LNK）。使用者常常可以看到的LNK檔案就是捷徑，出現在桌面和開始選單。事實上，LNK檔早在2013年就被用作攻擊載體。而在2017年初，我們注意到有木馬下載程式利用.zip包含.zip來掩飾一個會帶來Locky勒索病毒的LNK檔案。

現在，我們看見越來越多攻擊使用惡意 LNK 檔來利用正常應用程式（如PowerShell）下載惡意軟體或其他惡意檔案。為了說明LNK 的上升使用趨勢，請看看一個LNK 惡意軟體（趨勢科技偵測為LNK_DLOADR.*）如何從2017年一月開始一路飛升。這上升幅度顯示出這樣的方法正在成為流行：

圖1、4個月間的LNK_DLOADR偵測數量

最近的 LNK-PowerShell和 ChChes攻擊

在2016年10月，我們看到攻擊者利用LNK加上PowerShell和BKDR_ChChes來對日本政府機構和學術單位進行針對性攻擊。攻擊中使用了偽裝成假.jpg檔案的惡意PowerShell檔案。

圖2、在2016年十月針對日本目標的攻擊

我們在2017年一月注意到一個駭客集團 APT10（也稱為MenuPass、POTASSIUM、Stone Panda、Red Apollo和CVNX）在一波大規模魚叉式釣魚攻擊（SPEAR PHISHING）使用類似手法。在此起攻擊中，LNK 檔案執行cmd.exe來下載一個隱藏了惡意 PowerShell 腳本的假.jpg檔案。繼續閱讀

駭客愛用的5大Gmail詐騙釣魚郵件類型,九成五以上使用惡意網站連結手法

2017 年 05 月 25 日2022 年 09 月 17 日趨勢科技 TrendMicro

去年初，Google即宣布旗下Gmail郵件服務的全球活躍用戶已突破10億人，已然成為眾人普遍使用的郵件服務之一；然而近日Gmail釣魚郵件攻擊事件日益增加，如本月初發生的假冒熟人寄送Google Docs 邀請釣魚信件，就假以Google Doc服務之名要求存取受害者的通訊錄權限，帶給許多消費者很大的困擾。根據趨勢科技於今年1至5月的統計資料顯示，駭客最愛使用的5大Gmail釣魚郵件類型為下：

優惠折扣通知：過去曾發生駭客欺騙Apple 用戶可領取Apple Store「好康禮物卡」折扣優惠，再以此欺騙消費者填寫個人和財務資料。
銀行通知：駭客也可能假冒成銀行業者，以欺騙消費者安裝帳號安全管理系統為由，導引其連至一個釣魚網站並竊取用戶ID、密碼、信用卡資訊和聯繫資料。
社交網站通知：駭客仿冒社群網站的動態更新通知，如「點擊看看誰對你的照片說讚」，「誰將你加為朋友狀態說讚」等。
網購訊息通知：駭客偽裝成電子商務業者，從「訂單確認通知」、「付款通知」到「出貨通知」，這一連串的網購流程都有可能成為其動手腳的目標。
中獎通知：駭客可能以「免費抽iPhone 6s」為陷阱，當消費者點選查看信件中的「中獎名單」附檔，就有可能遭受勒索病毒攻擊。

綜觀上述案例，可知駭客主要利用三種方式進行Gmail網路釣魚郵件詐騙，一為直接在郵件正文提供惡意網站連結，導引消費者至其架設的釣魚網站，並輸入重要的個人或財務資訊；二為在信件中夾帶含惡意程式的檔案，吸引消費者點擊下載，最後還有利用郵件軟體或瀏覽器弱點，在信件中包含特殊腳本讓惡意程式在收件人開信後就自動下載後執行，無須點擊連結或開啟附件。而趨勢科技發現在這些Gmail釣魚郵件中，於信件中提供惡意網站連結者，占全部惡意郵件比例的最大宗95.3%，而排名第二的則是夾帶惡意程式檔案附件，發現數量約佔4.4%。繼續閱讀