ScarCruft 網路犯罪集團最近開發出一種可掃瞄藍牙裝置的惡意程式,蒐集包括裝置名稱、位址、類型以及連線和認證等資訊。此惡意程式利用了 Windows Bluetooth API 來蒐集這些裝置資訊。
這起多重階段攻擊行動專門鎖定俄羅斯、越南和香港的投資與貿易公司。ScarCruft 會運用魚叉式釣魚(spear phishing)技巧或水坑式攻擊試圖滲透目標企業機構。
[延伸閱讀:Anatomy of a spear phishing attack]
該惡意程式 (趨勢科技命名為 Trojan.Win32.SCARCRUFT.AA) 在滲透系統之後,會下載一個惡意程式來躲避 Windows 的使用者帳戶控制 (UAC) 機制,此機制是 Microsoft 整體安全願景的一環。
惡意程式一旦成功避開 UAC 的管制,就能以更高的權限執行,並在受害企業機構內執行一些合法的滲透測試工具。為了進一步躲避偵測,還會利用圖像隱碼術(Steganography)來隱藏自己的程式碼。
[延伸閱讀:駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測]
最後,此惡意程式會在系統上安裝 ROKRAT遠端存取工具 (趨勢科技命名為 Trojan.Win32.ROKRAT.AB),並經由雲端服務在背後操控。ROKRAT 會從受害網路上的系統和裝置竊取各種資訊,將資訊傳送至 Box、DropBox、pCloud 和 Yandex.Disk 等雲端服務。
這波攻擊並非 ROKRAT 首度現身,它在 2017 年即曾經將社群媒體平台 Twitter 當成幕後操縱 (C&C) 工具,並利用 Yandex 和 Mediafire 來接收竊取的資料。
在威脅一開始就加以攔截
這波攻擊行動一開始會經由電子郵件、社群媒體、即時通訊等網路通訊管道,使用魚叉式網路釣魚手法來攻擊目標機構的特定個人或群組,以騙取其個人資訊。
一般使用者可養成一些良好習慣來防範這類網路釣魚攻擊:
- 對於不請自來或非預期的電子郵件要格外小心,尤其是口氣聽起來很緊急的郵件,務必經由其他管道來與寄件人確認信件的真實性,例如打電話或當面確認。
- 學會辨認這類魚叉式網路釣魚郵件經常使用的基本技巧,例如:報稅相關詐騙、執行長詐騙、變臉詐騙以及其他社交工程技巧等等。
- 盡量避免點選郵件隨附的連結或下載郵件中的附件檔案,尤其是不明來源的郵件。
至於企業機構,則可利用代管式電子郵件防護或垃圾郵件防護來攔截經由電子郵件入侵企業的威脅。
趨勢科技解決方案
趨勢科技的各種端點防護產品 (如 Smart Protection Suites) 皆可偵測並攔截威脅相關的惡意檔案、電子郵件以及相關網址,有效防範使用者和企業遭到侵襲。
趨勢科技的電子郵件防護產品採用了人工智慧 (AI) 和機器學習(Machine learning,ML)技術來提升企業對變臉詐騙、電子郵件帳號入侵 (EAC)、網路釣魚與其他進階威脅的防護能力。趨勢科技的網路釣魚防範技術,結合了資安專家的專業知識與電腦自我學習數學模型,從電子郵件的行為和意圖層面偵測假冒郵件。此外,趨勢科技的電子郵件與網站閘道解決方案,如趨勢科技Deep Discovery™ Email Inspector 可防止威脅到達使用者端。
這些解決方案皆採用趨勢科技 XGen™ 防護為基礎,能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心、雲端環境、網路及端點。精準、最佳化、環環相扣的 XGen 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:ScarCruft Launches Malware With Bluetooth Device-Harvesting Capability