作者:Alvin Bacani
Opera 表示有攻擊者入侵了他們的網路,並且偷走了至少一個的過期Opera程式碼簽章用憑證。攻擊者再拿這個憑證來簽章自己的惡意軟體,以騙過目標系統,甚或是安全軟體去認為這檔案是合法的。
趨勢科技取得了上述惡意軟體的樣本,這個惡意軟體(被偵測為TSPY_FAREIT.ACU)帶有過期的Opera電子憑證(見下面的截圖)。就跟Opera所報告的類似,我們所收到的樣本會偽裝成Opera的更新程式。
一旦執行,TSPY_FAREIT.ACU會從特定FTP客戶端程式或檔案管理程式竊取重要資訊,包括使用者名稱、密碼和伺服器名稱。
圖一、被竊的舊Opera電子憑證截圖
除了FTP客戶端程式外,TSPY_FAREIT.ACU還會從瀏覽器收集更多儲存
在這些瀏覽器內的資料(包括Mozilla Firefox、Google Chrome還有Opera)。這些資料通常是社群網站、銀行和電子商務網站等的登錄憑證。有了這些資料,這惡意軟體的幕後黑手就可以掌握你的各種網路帳戶,甚至進行未經授權的交易。他們也可以將這些偷來的資料賣給地下市場以賺取利潤。
Opera估計約有數千名Windows使用者受到影響,他們所安裝的Opera軟體會自動安裝帶有過期憑證的惡意軟體。為了解決這問題,這家軟體廠商承諾會釋出新版本的瀏覽器。
惡意軟體利用電子憑證來防止被偵測已經不是個新伎倆,在過去也被證明是有效的。最好的例子就是惡名昭彰的FLAME攻擊,它利用了帶有微軟所發出憑證的惡意組件。會鎖住螢幕的惡意軟體 – 警察勒索軟體在之前也被發現過會利用偽造的電子憑證,以繞過電子憑證檢查。
Opera也不是第一家軟體廠商會發出公告警告使用者,有惡意軟體利用他們的電子憑證。Adobe在去年也發出公告通知使用者有惡意軟體帶有合法的Adobe憑證。
趨勢科技會偵測和刪除帶有上述憑證的間諜軟體。你可以連上Opera網站以了解更多關於他們公告的資訊。
@原文出處:Spyware Hides Behind Stolen Opera Digital Certificate
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
