作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式

即將舉行的倫敦奧運會無疑是今年最受矚目的體育賽事之一。它也是網路犯罪分子最喜歡利用的社交工程陷阱( Social Engineering)誘餌。就在最近，我們發現免費旅遊套票樂透活動的奧運詐騙事件(請參考:2012倫敦奧運閉幕式旅行套票抽獎?!”Early Check-In 2012 London Olympics.doc”勿開啟!)。不過，這次有些網路騙子使用了不同的伎倆。並不是騙說使用者會贏得門票的典型奧運相關詐騙，這次的騙局是偽裝成注意事項的垃圾郵件(SPAM)郵件。

作賊喊抓賊,倫敦奧運售票詐騙網警告信,夾帶後門程式 — 警告收件者有假網站和單位販售2012年倫敦奧運會的票。郵件裡有官方標誌來誘騙使用者相信它的正當性

如前所述，這次騙局是警告收件者有假網站和單位去販售2012年倫敦奧運會的票。郵件裡有官方標誌來誘騙使用者相信它的正當性。郵件內還包含一個附加DOC檔案，列出這些假門票販售商。但是，這個附加檔案其實是被趨勢科技偵測為TROJ_ARTIEF.ZIGS的惡意檔案。這惡意軟體會利用RTF堆疊緩衝區溢出漏洞（CVE-2010-3333）來植入後門程式BKDR_CYSXL.A。這個後門程式會執行一些惡意程序，包括刪除和建立檔案，關閉受感染的系統。

常上這個網站的讀者一定知道，這只是我們過去看到的眾多奧運相關詐騙的其中一個。早在2008年10月，就有垃圾郵件偽裝成2012年奧運樂透通知。其他運動事件，像是2008年北京奧運會和世界杯足球賽也都沒有逃過被這類型的詐騙攻擊所利用。

當2012倫敦奧運會的日子漸近，我們也可預期這類威脅會更加猖獗。因此，使用者應該養成習慣，在下載附件檔或點擊連結時都要先檢查信件本身的正當性。

趨勢科技的使用者可以利用主動式雲端截毒服務 Smart Protection Network來做好防護，偵測和移除所有相關的惡意軟體。趨勢科技保護實體、虛擬與雲端伺服器免受惡意攻擊的 Deep Security也可以利用規則1004498 – Word RTF File Parsing Stack Bugger Overflow Vulnerability來防護系統。

想知道更多關於之前利用奧運會、世界杯等重大體育賽事的威脅，可以參考我們的文章 – 用運動當誘餌：網路犯罪分子為勝利而戰。

@原文出處：Bogus Olympics 2012 Email Warning Blindside Users With Malware作者：Chloe Ordonia（垃圾郵件研究工程師）

＠延伸閱讀：