網路釣魚 Phishing - 資安趨勢部落格

奧運即時轉播? 19 個網址有毒! 下載奧運相關手機 App,當心閉幕式後帳單暴增

2012 年 07 月 31 日2023 年 05 月 19 日趨勢科技 TrendMicro

即時轉播釣魚網站充斥;回味開幕式影片,網路釣魚虎視眈眈;惡意 APP,下載後帳單破紀錄 …倫敦奧運相關威脅層出不窮

期待已久的 2012 年倫敦奧運正式揭開序幕。除了一些兜售門票的詐騙網站與販售偽造票卡給日本消費者的惡意網站之外，趨勢科技也看到了許多趁此運動盛會佯稱提供即時影音串流的網站。以下摘錄一些網址給大家參考：

奧運即時轉播?19 個網址有毒!

https://olympicsopeningceremony2012live.{BLOCKED}d.com
https://olympicgames2012live.{BLOCKED}d.com
https://olympics-2012-live-stream.tumblr.com
https://olypiccoverage2012.{BLOCKED}d.com
https://{BLOCKED}12openinglivestream.{BLOCKED}d.com
https://{BLOCKED}livestream.epl-schedule.com
https://{BLOCKED}ingceremony2012live.blogspot.com
https://{BLOCKED}ndonolympics2012liveonline.{BLOCKED}g.com
https://{BLOCKED}12olympicsonline.{BLOCKED}log.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}o.com
https://{BLOCKED}ndonolympicsliveonline.tumblr.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}w.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}ner.com
https://{BLOCKED}ympics2012livestreamfree.{BLOCKED}d.com
https://{BLOCKED}donolympics2012liveonline.{BLOCKED}g.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
https://{BLOCKED}peningceremony2012.{BLOCKED}b.com
https://{BLOCKED}urnal.co.uk

搜尋”奧運”,找到便宜奧運門票?!想再度回味開幕式,網路釣魚守株待兔

當使用者搜尋「watch london olympics opening ceremony live」(觀賞倫敦奧運開幕式實況轉播)、「watch london olympics online」(線上觀賞倫敦奧運)、「watch london olympics 2012 live」(觀賞 2012 倫敦奧運實況轉播) 等關鍵字詞時，前述網站將出現在搜尋結果的前幾項，因為駭客使用了所謂的「Black_Hat SEO 搜尋引擎毒化」(簡稱 BHSEO)。

搜尋「watch london olympics online」(線上觀賞倫敦奧運)當新病毒就在幕後虎視眈眈

趨勢科技在分析時，前述有些網站會重導到假的 2012 年倫敦奧運實況轉播網站，網站上還提供一些連結可購買便宜的 (事實上是假的) 門票。該連結已在之前部落格文章當中披露。

還有一些實況影音串流網站，則會重導到另一個要求您輸入電子郵件地址的網站。網路犯罪者藉此收集消費者的電子郵件地址，然後用於散發垃圾郵件(SPAM)。

: 一些實況影音串流網站，會重導到另一個要求輸入電子郵件地址,網路犯罪者藉此收集消費者的電子郵件地址，然後用於散發垃圾郵件(SPAM)

繼續閱讀

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

2012 年 07 月 26 日2012 年 07 月 26 日趨勢科技 TrendMicro

就在一波疑似某 Android 殭屍網路/傀儡網路 Botnet垃圾郵件(SPAM)的報導出現之後不久，趨勢科技就發現了 Android 平台Yahoo! App 程式的漏洞，此漏洞可讓駭客利用遭入侵的 Yahoo! 帳號散發垃圾郵件。

第一波透過 Android 殭屍網路散發的垃圾郵件？

近日趨勢科技發現了多個專門散發假藥品網站連結或網路釣魚（Phishing）網站連結的郵件。這一波垃圾郵件之所以特別，在於訊息的簽名部分有著「Sent from Yahoo! Mail on Android」(從 Android 上的 Yahoo! Mail 寄信) 的字樣，而且信件的 Message-ID 欄位數值為「androidMobile」。根據報導，其 IP 位址顯示這些訊息來自於開發中國家的網路業者。

某些專家依據這些證據猜測，這些垃圾郵件(SPAM)散發者可能利用了被植入惡意 App 程式的 Android 裝置。不過，Google 駁斥了垃圾郵件是從 Android 殭屍網路/傀儡網路 Botnet散發的說法，並宣稱歹徒應該是使用已感染的個人電腦，並在信件當中假冒行動裝置的特徵來試圖躲避電子郵件過濾機制。

就在最近，有人提出了另一種可能的情況。某些資訊安全研究人員推論，歹徒可能利用Android 平台Yahoo! App 程式的漏洞來入侵行動裝置並散發垃圾郵件(SPAM)。

歹徒可能利用 Adroid 平台的 Yahoo! Mail App 程式漏洞來散發垃圾郵件

不論這些訊息是從何而來，網路駭客是有可能利用 Android 平台的 Yahoo! App 程式漏洞來入侵 Yahoo! Mail 帳號然後散發垃圾郵件。事實上，趨勢科技最近在 Android 上的Yahoo! 郵件用戶端上發現了一個漏洞，此漏洞可允許攻擊者取得使用者的 Yahoo! Mail cookie。此問題來自於 Yahoo! 郵件伺服器和 Android 平台 Yahoo! 郵件用戶端之間的通訊弱點。在取得這個 cookie 之後，駭客就能使用已遭入侵的 Yahoo! Mail 帳號來散發精心製作的信件。此外，上述漏洞還可讓駭客存取使用者的收件匣和信件。繼續閱讀

銀行詐騙軟體再進化：自動轉帳系統

2012 年 07 月 12 日2013 年 11 月 18 日趨勢科技 TrendMicro

銀行和其他的金融機構提出更嚴格的管控，企圖將網路釣魚（Phishing）攻擊所造成的損失降到最低。網路犯罪分子並沒有因此而收手，而是開始利用新的工具來自動化網路銀行詐騙 – 自動轉帳系統（Automatic Transfer Systen，ATS）。

在之前，像ZeuS和SpyEye這些惡意軟體家族會利用Webinject檔案來修改目標公司的網站（像是銀行）。Webinject文件基本上是帶有JavaScript和HTML程式碼的文字檔，裡面包含了攻擊者想要插入到目標網站的程式碼。

但是有了自動轉帳系統，攻擊已經提升到了另一層次。不僅僅是被動地竊取資訊，自動轉帳系統讓網路犯罪分子可以在使用者不知情下立刻進行金融交易，直接搜刮使用者的銀行帳戶。不再需要使用者去輸入帳號和密碼，自動轉帳系統可以讓網路犯罪分子從受害者的銀行帳戶不留痕跡的自動將錢轉到自己的帳戶底下。

這份研究報告包含了趨勢科技對自動轉帳系統的初步研究。在研究的過程中，我們找到自動轉帳系統的關鍵部分，確定某些已知的目標，並且更加深入地下世界去找出生產和銷售自動轉帳系統的黑幕。

完整的內容可以參考我們的研究報告 – 「自動化網路銀行詐騙」，你可以點選下列圖檔來下載：

: 趨勢科技「自動化網路銀行詐騙」研究報告

以下是說明這種攻擊的資料圖表：

: 自動化網路銀行詐騙

自動化網路銀行詐騙
狡猾的網路犯罪份子不會停止去覬覦你的資料。一種新興的威脅稱為自動轉帳系統，可以讓詐騙份子在你不知情下從你的帳號提錢，甚至可以不留痕跡。

它是什麼？
自動轉帳系統是網路犯罪份子所使用的新工具，結合已知的SpyEye和ZeuS銀行木馬軟體。

它有多陰險？攻擊者完全不需要現身，而且使用者也完全毫無察覺。

: 它如何運作？

它如何運作？
受害者電腦會在背景執行一個腳本，它會初始化提款交易，並將錢轉到錢騾帳戶。

: 銀行網站使用者看到或沒看到什麼？

繼續閱讀

網銀要求安裝安全軟體?其實是銀行木馬設下的詐騙陷阱

2012 年 06 月 11 日2012 年 06 月 04 日趨勢科技 TrendMicro

網銀木馬偽裝成Google Chrome安裝程式

趨勢科技最近發現一些可疑的網址，顯示有個檔名為ChromeSetup.exe的惡意檔案放在類似Facebook和Google的網域。

這個經由趨勢科技主動式雲端截毒服務 Smart Protection Network資料分析處理後所標示出的發現的確引起了我們的注意。

從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料來看，我們可以找到三個不同的二進制檔案似乎可以從下列網址下載：

hxxp://br.msn.com/ChromeSetup.exe
hxxp://www.facebook.com.br/ChromeSetup.exe
hxxp://www.facebook.com/ChromeSetup.exe
hxxp://www.globo.com.br/ChromeSetup.exe
hxxp://www.google.com.br/ChromeSetup.exe
hxxp://www.terra.com.br/ChromeSetup.exe

當我們仔細檢查了下載狀況，趨勢科技發現，所有下載都被重新導到兩個不同的IP地址，而不是這些網域的合法IP地址。更值得注意的是，可以看到客戶端來自於拉丁美洲，絕大多數來自巴西和秘魯。針對ChromeSetup.exe所做的檔案分析結果來看，這是個被偵測為TSPY_BANKER.EUIQ的多重組件銀行木馬。

一旦在系統上執行，TSPY_BANKER.EUIQ會將受感染系統的IP地址和作業系統名稱等資訊送到一個特定的IP地址。它同時也會下載一個設定檔，包含了當使用者想要連上某些銀行網站時，將其重新導向到假銀行網頁的資訊。

當使用者打開目標銀行網站時，TSPY_BANKER.EUIQ會劫持網頁請求，並顯示以下消息，騙使用者以為這網站要加載安全軟體，實際上是將使用者重新導到偽造的銀行網站：

然後它會打開Internet Explorer，根據瀏覽器標題連到新的連結。下面是一個假網站的截圖。請注意有「_」出現在視窗標題跟銀行網站網址：

另一方面，TSPY_BANKER.EUIQ的組件TROJ_KILSRV.EUIQ會去移除一個軟體 – GbPlugin，這是用來保護巴西銀行客戶進行網路銀行交易的軟體。它透過gb_catchme.exe來進行，這是個來自GMER的合法工具，稱為Catchme，原本是用來移除惡意軟體。但是在這案例裡被壞人用來做為惡意的工具。

繼續閱讀

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

2012 年 05 月 25 日2014 年 04 月 02 日趨勢科技 TrendMicro

在黑洞垃圾郵件（Black Hole Exploit Kit spam）肆虐下保護使用者

因為有一連串黑洞（Black Hole）垃圾郵件(SPAM)攻擊持續地在肆虐著，趨勢科技也一直在追蹤和調查這起利用黑洞漏洞攻擊（Black Hole Exploit）來攻擊使用者的威脅。這些攻擊通常一開始來自垃圾郵件(SPAM)，裡面夾帶了指向淪陷網站的連結，接著將使用者重新導向到放有上述漏洞攻擊碼的惡意網站。結果是將ZeuS 木馬變種安裝到使用者電腦上以竊取敏感資料。

趨勢科技針對黑洞垃圾郵件攻擊的解決方案

如果只針對黑洞漏洞攻擊包(Black Hole Exploit Kit spam)感染瞬間，當惡意軟體開始被下載的時候，那防護可能是不夠的。趨勢科技進而專注在攻擊的開始階段。因為電子郵件是威脅的起點，所以需要一開始就做出偵測，避免網路釣魚（Phishing）電子郵件送給使用者來誘騙他們點擊了會導致下載惡意軟體的網址。

趨勢科技建立了一套系統，會利用巨量資料分析加上趨勢科技主動式雲端截毒服務 Smart Protection Network ，在攻擊發生時找出獨特的資訊，所以可以快速地建立解決方案。一旦這些攻擊細節被關聯分析出來，就會將對應的解決方案透過主動式雲端截毒技術來保護客戶。

從攻擊起點來深入黑洞漏洞攻擊

解決這威脅的最初困難點來自被入侵淪陷的網站。這些淪陷網站的所有者需要不斷清理地這些淪陷網站。但是，這些淪陷網站依然還有漏洞存在，仍然可能被用在下一波的攻擊。

在過去幾個禮拜內，黑洞漏洞攻擊的相關活動利用社交工程陷阱( Social Engineering)來展開攻擊，利用知名公司像是LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder作為誘餌。我們看到幾個非常聰明的樣本，都是精心製造的網路釣魚（Phishing）以獲取使用者的信賴。這些郵件的格式和措辭都和這些公司的正式郵件一模一樣。這也是為什麼這些郵件很難用傳統方法加以偵測。