新的 Blackhole 漏洞攻擊會駭入金融帳戶,破解系統安全機制

 

這一波垃圾郵件所偵測到的確切變種名稱為 TSPY_FAREIT.AFM,它不僅會在感染的系統上竊取 FTP 用戶端程式帳號資訊,還會竊取電子郵件帳號密碼、瀏覽器儲存的登入資訊,「而且」還會利用一份預先準備的密碼清單,試圖以暴力方式破解 Windows 登入密碼。基本上,它會盜取感染電腦上的個人資訊,然後駭入使用者的金融帳戶,竊取個人資料,甚至破解系統的安全機制。

 

Blackhole 漏洞攻擊套件是今日地下網路上流通的漏洞攻擊套件當中最惡名昭彰的之一。因此,趨勢科技一直在密切觀察與該套件相關的事件攻擊行動

上星期,趨勢科技揭露了一項利用英國威廉王子與凱特王妃生子消息的垃圾郵件攻擊。我們的分析顯示該行動與其他一些專門利用時事的持續攻擊行動有所關聯,例如利用即將上映的《戰爭遊戲》(Ender’s Game) 電影所引發的爭議話題。

一些其他相關的行動也利用了 Facebook 和 eBay 為誘餌來吸引使用點選惡意連結。

這波垃圾郵件(SPAM)郵件行動的垃圾訊息數量高達同時期所有垃圾郵件數量的 0.8% 左右,相較於其他行動,此比例偏高。此外,我們也找出其大部分垃圾郵件的來源國家名單,其中中國大陸佔第九名。

Continue reading “新的 Blackhole 漏洞攻擊會駭入金融帳戶,破解系統安全機制”

威廉王子和凱特王妃新生皇家寶寶:喬治王子,被駭客當作社交工程誘餌,發動攻擊

CNN新聞報導歐巴馬贈送新生禮 針對JAVA漏洞進行攻擊

趨勢科技發現王室寶寶相關的垃圾郵件攻擊,其中有假藉美國新聞網CNN名義,報導美國總統歐巴馬贈送英國王室新生兒禮物的假新聞,此漏洞攻擊碼為JS_OBFUSC.BEB,JAVA漏洞為JAVA_EXPLOYT.RO。此漏洞特別針對JAVA的兩處弱點:CVE-2013-1493、CVE-2013-2423,駭客恐利用這兩處漏洞植入木馬程式TROJ_MEDFOS.JET,一旦成功入侵後,將與可疑網站連結,可能下載更多惡意程式或是遊走在灰色地帶的廣告程式。趨勢科技呼籲莫因好奇心驅使而點選來路不明的連結。此類攻擊防不勝防,建議透過有網頁信譽評等的資訊安全防護軟體,方能協助封鎖惡意連結。

自從去年十二月初首次正式宣布以來,全世界就在引頸期盼著威廉王子和凱特王妃的頭胎寶寶誕生。經過了數月的等待,劍橋公爵夫人就在幾天前產下了一名男嬰,成為新的劍橋王子。

趨勢科技發現一則假冒CNN 新聞討論美國總統將會給喬治王子的新生賀禮影片,夾帶木馬TROJ_MEDFOS.JET.

 趨勢科技發現一則假冒CNN 新聞討論美國總統將會給喬治王子的新生賀禮影片,夾帶木馬TROJ_MEDFOS.JET.

舊的威脅也再次捲土重來。趨勢科技發現了和皇家寶寶相關的垃圾郵件(SPAM)郵件攻擊。這些郵件來得非常快速,在 正式宣佈的時間後半天就開始出現。

 

皇家寶寶相關的垃圾郵件樣本

 

皇家寶寶相關威脅在正式宣布後半天開始出現

  Continue reading “威廉王子和凱特王妃新生皇家寶寶:喬治王子,被駭客當作社交工程誘餌,發動攻擊”

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

作者:Romeo Dela Cruz(威脅反應工程師)

趨勢科技二〇一三資安預測裡,我們提到傳統的惡意軟體會專注在加強現有的武器,而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上,我們最近發現了一起黑洞漏洞攻擊包(Blackhole Exploit Kit :BHEK)會利用一漏洞攻擊碼(趨勢科技偵測為JAVA_ARCAL.A)來攻擊最近被修補的CVE-2013-0431

如果使用者還記得,這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時,會被重新導向到數個網站,最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼(以及後續的行為)到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本
圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試,這BHEK程式碼會檢查某些版本的Adobe Reader,讓它下載並執行一個惡意PDF檔案(被偵測為TROJ_PIDIEF.MEX),並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本,接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析,TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊,包括Chrome、Mozilla Firefox和Internet Explorer。最後,這BHEK程式碼將連上下列的惡意網頁,想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊
圖二、感染鏈的最終目標網頁

 

趨勢科技主動式雲端截毒服務  Smart Protection Network的資料中,我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國,其次是墨西哥。這很讓人驚訝,因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

Continue reading “黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊”