繞過Mac內建保護機制的 Windows惡意執行檔,會下載資料竊取病毒跟廣告軟體

EXE是在Windows的執行檔格式,這代表它們只在Windows平台上執行,這也是種安全的作法。在預設情況下,在 Mac或 Linux作業系統上執行 EXE檔只會顯示錯誤訊息。

趨勢科技發現一個 EXE 檔會繞過 Mac的內建保護機制(如Gatekeeper)來進行惡意行為。能夠繞過 Gatekeeper是因為EXE不會檢查,可以繞過程式碼簽章檢查和驗證,因為 Gatekeeper 只檢查原生Mac檔案。雖然沒有看到特定的攻擊模式,但我們的監測資料顯示英國、澳洲、亞美尼亞、盧森堡、南非和美國的感染數量最多。

行為

我們所分析的樣本是Mac和Windows上常見的防火牆應用程式(Little Snitch)安裝檔,可以從各種 torrent 網站下載。用.NET編譯的 Windows執行檔名稱如下:

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM +  –  + Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

解壓縮下載的.ZIP檔案後,裡面包含裝有Little Snitch安裝檔的.DMG檔案。

圖1、解壓縮Windows執行檔所得到的檔案樣本。

繼續閱讀

Mac惡意軟體,偽裝非法破解 程式Adobe Zii,竊取信用卡,還偷挖礦

趨勢科技最新的分析顯示了即便是非法破解程式也會被網路犯罪分子用來誘騙使用者安裝惡意應用程式。在這次的案例中,趨勢科技看到一個惡意應用程式偽裝成Adobe Zii(用來破解Adobe產品的工具),針對macOS系統來挖掘虛擬貨幣並竊取信用卡資料。

這張圖片的 alt 屬性值為空,它的檔案名稱為 mac.jpg

技術分析

惡意應用程式是在VirusTotal上看到,最初由Malwarebytes回報,以「Adobe Zii.app」的形式進入目標系統。

圖1.、Adob​​e Zii.app的內容

執行時,它利用automator.app啟動Adobe Zii.app\Contents\document.wflow內的Bash腳本。

圖2、惡意軟體啟動Bash腳本

繼續閱讀

變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大!

 
一封信騙走一棟房子!本部落格先前提到的案例指出變臉詐騙 (BEC) 竟讓受害者匯出 531,981 美元 (約 1,637 萬台幣) 。至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。

然而一旦掌握了大型資料外洩事件的更多詳細資訊之後 (比如: 2010 至 2014 年間,網路犯罪集團專門鎖定 LinkedIn 個人檔案當中含有「Esq.」(律師) 尊稱的使用者,使得多家法律事務所遭到駭客入侵; 2014 年Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。),新一代的變臉詐騙將可能深入企業基層人員,比如假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。

趨勢科技2019 年資安預測報告「映對未來:對抗無所不在的持續性威脅」指出未來變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊數量將持續攀升:「變臉詐騙的對象將轉向比現在低兩階的員工」。該報告指出:

變臉詐騙 (Business Email Compromise,簡稱 BEC) 依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。我們相信,由於企業 CXX 高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此,網路犯罪集團未來將降低其攻擊對象的層級。例如,網路犯罪集團可能會轉而攻擊 CxO 的秘書、助理,或是財務部門總監、經理之類的職務。

然而,這類風險很可能比預測的更高。

2014 年爆發了多起超大型資料外洩事件。Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。犯罪集團掌握了這麼多的身分資料,等於挖到了一大筆寶藏,進而更容易描繪出多數大型企業的組織架構。這些資料提供了大量且通用格式的身分資訊,讓犯罪集團很容易套用大數據分析。

從 Yahoo 和 Starwood 外洩的資料當中,犯罪集團能分析出哪些網際網路使用者經常旅行。透過旅行者的個人檔案,就能知道哪些使用者擁有公司電子郵件帳戶,以及他們任職於哪家公司。而 Facebook 的資料則能讓犯罪集團分析出某家公司員工彼此之間的社交關係。若再配合 LinkedIn 的付費訂閱服務,網路犯罪集團就能詳細掌握企業的組織架構、上下級關係以及升遷路徑。。

至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了 2014 年大型資料外洩事件的更多詳細資訊之後,新一代的變臉詐騙將可能假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。此時,IT 人員或系統管理員將收到一封類似如下的郵件:

嗨 Ted, 我的團隊成員 Ffloyd Farkle 已突然離職,另謀高就,其職務將由 Joseph Needham 接手。但由於 Ffloyd 之前是我們這邊的系統管理員,他一離職,變得沒人能幫我修改團隊成員的權限。可否麻煩你幫我設定讓 Joseph (員工編號 123456) 擁有跟 Ffloyd 之前一樣的管理權限?申請表我已送出,但流程的處理速度似乎有點慢,而這一季眼看著就要結束。還麻煩幫忙一下,謝謝你。 Chuck Itall

在這範例當中,Ffloyd 確實是分公司的系統管理員,但他並未真的離職。Chuck Itall 也是貨真價實的分公司主管,只是他的帳號已遭駭客暗中入侵。他目前正在出差,且未來一兩天內將聯絡不上。Joseph 也是一位正牌員工,只是他的帳號也遭到駭客入侵,但他剛好也不在公司 (從他的 Facebook 貼文來看應該是正在渡假)。而 Ted 則是總公司 IT 部門的系統管理員。

Ted 面臨了一項難題,他不曉得是否該答應對方的緊急要求並且讓申請表的流程跑完,或是忽略這項緊急要求並引來分公司主管 Chuck 的一番怒火。若您是 Ted,您會答應對方的要求嗎?

繼續閱讀

保護重大基礎設施和道路:智慧城市如何出現新風險?

科技的進步改變了生活各層面,不管是企業內部流程或是消費者追求等等。甚至不論大小城市的設計、管理和支援也因創新的智慧城市系統而發生了變化。

雖然公用事業、重大基礎設施及交通運輸等背後的科技進步帶來了許多好處,但卻也可能為城鄉帶來新的風險和網路威脅。

趨勢科技正在深入地研究城市的基礎設施和道路,包括電力、自來水公共事業和道路系統,這些領域進行中的變化以及如何恰當地進行風險評估來平衡新技術的影響。

升級自來水和電力設施

毫無疑問地,自來水和電力輸送是居住最重要的因素之一。許多地區的城市管理者和官員正在想辦法升級現有的系統(有一些已經存在了數十年,相當老舊)來採用更新的智慧技術。

繼續閱讀

《資安新聞周報》網路釣客以Google 翻譯工具掩護/ 去年遇駭個資增加126%/ 2019年十大FinTech趨勢

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精

媒體資安新聞精選:

台灣是重點感染區!比 WannaCry 更兇猛的勒索型病毒 Mongo Lock 來襲        科技報橘網

勒索病毒又襲台 金額拉高  自由時報電子報

勒索病毒又來 直接刪除檔案「台灣成中毒危險區」      台灣蘋果日報網

研究:全球性的勒索軟體攻擊最高可造成逾1,900億美元的經濟損失        iThome

Android手機用戶注意:多款美肌相機應用程式會發送詐欺和色情內容!  鎖定亞洲地區,下載量已高達數百萬次    iThome

oogle Translate遭駭客利用以執行網釣攻擊    iThome

Android藏重大漏洞,用戶只要點擊PNG圖片就可能遭受遠端攻擊      iThome

行動支付好方便 政院:留意使用安全      中時電子報網

繼續閱讀