網路釣魚 - 資安趨勢部落格

竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

2020 年 06 月 10 日2020 年 06 月 10 日趨勢科技 TrendMicro

1-5 月威脅醫療，製造和政府部門三大產業的 Qakbot 變種,透過帶有惡意連結的郵件散播，這些郵件看起來像是在回覆一串業務討論郵件。
除了收件匣外,還在”已傳送”郵件資料夾內偵測到惡意威脅,這意味著不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。
已知的惡意軟體會不停地以更新更複雜的變種面貌再次出現，再加上有完全未知的威脅冒出，這些都需要具備先進偵測及回應功能的解決方案。

Qakbot重出江湖，威脅醫療產業，製造業和政府部門

趨勢科技經由託管式偵測及回應（MDR）服務發現有許多威脅來自寄入的電子郵件。這些郵件經常包含了網路釣魚(Phishing)連結、惡意檔案或指示。而且從每日對電子郵件後設資料（metadata）的分析調查可以看出不止是寄入郵件，還可以從使用者自己的”已傳送”郵件資料夾內偵測到惡意威脅。顯示出不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。從這類事件裡，我們關聯出電子郵件入侵來散播Qakbot相關郵件。

已知此惡意軟體會經由網路分享、可移除磁碟或軟體漏洞進行散播。我們最近所看到的例子是透過帶有惡意連結的郵件散播。點入連結會下載包含VBS檔（偵測為Trojan.VBS.QAKBOT.SM）的zip檔案，接著會下載一個惡意執行檔（趨勢科技偵測為Backdoor.Win32.QBOT.SMTH）。

繼續閱讀

釣魚網站仿冒 Netflix,蒐集信用卡等個資,並使用定位技術

2020 年 06 月 04 日2020 年 06 月 02 日趨勢科技 TrendMicro

根據 PartnerRe資安分析師Andrea Palmieri在推特上的發文，有網路釣魚(Phishing)仿冒Netflix網頁來收集帳號資訊、信用卡資料和其他個人身份資訊（PII）。我們檢視了惡意網站hxxp://secure-up-log.com/netflix/來了解更多其運作資訊，且發現這些網站具備地理位置定位（geolocation）功能。

A portrait of a store

Description automatically generated — 圖1. 偽造的Netflix登入頁面

該網站偽造了Netflix的登入頁面。使用者輸入帳密（如電子郵件地址或電話號碼以及Netflix帳號密碼）後會被帶到另一頁面來要求使用者更新帳號資訊。我們發現該網站具備了偵測使用者位置的定位功能。因為網站會自動帶入”城市”、”州/省/地區”和”郵遞區號”資訊。網頁網址也帶有國家/地區的縮寫。

繼續閱讀

粉專遭盜事件頻傳要求驗證臉書帳戶民眾要注意 !

2020 年 06 月 03 日2020 年 06 月 03 日趨勢科技 TrendMicro

【2020年6月3日，台北訊】近期名人粉絲專頁遭駭頻傳，受害人數眾多，其中包含知名圍棋美少女黑嘉嘉也差點受騙。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 發現有不肖分子企圖偽裝成 Facebook官方通知，不僅在Facebook開設幾可亂真的「Prıvacy Policy」粉絲專頁，甚至利用英文字母「i」和「ı」等微小差異，企圖混淆視聽、騙取粉絲團的帳密資訊。

趨勢科技發現駭客正偽冒官方訊息企圖騙取大量名人網紅臉書帳密

駭客正透過大量設立偽冒的官方粉絲專頁，企圖騙取臉書帳密。知名圍棋美少女黑嘉嘉也曾收過要求驗證帳戶的通知，黑嘉嘉指出當時看到訊息時，有先將不明網址傳送給防詐達人檢查，發現該網址為不安全連結，才沒有上當被騙。

根據趨勢科技研究團隊發現，駭客正透過大量設立偽冒的官方粉絲專頁，在其頁面上tag許多不同名人網紅的Facebook粉絲專頁，其中有個假冒官方粉絲專頁甚至已tag超過700位名人網紅，企圖騙取他們的臉書帳密。

這些被tag的名人網紅，會收到Facebook通知訊息或是E-mail信件的通知，宣稱「你的粉絲專頁已被其他人舉報，為了防止這種情況，我們需要驗證你的帳號」，並提供連結要求用戶遵循指示以驗證Facebook帳號。用戶被誤導點擊連結網址時，會引導至一個Telegram網頁，同時要求用戶點擊並進行帳戶驗證，點擊後便即刻被引導至假冒的Facebook登入頁面，要求用戶登入以驗證帳戶，一旦上當，駭客將會接收用戶的Facebook帳密資訊，獲得粉絲專頁的管理權限。