現在大多數的使用者都能夠輕易地偵測垃圾郵件(SPAM),尤其是那些看來像正常通知的垃圾郵件。不過有些看起來很具說服力,這也是為什麼從長遠來看,好的社交工程教育是有好處的。
趨勢科技最近發現一封偽裝來自UPS的電子郵件偽裝成包裹遞送通知,含有連到貨物追蹤網站的連結,以及收據的PDF格式副本。這當然不是我們第一次收到這樣的電子郵件。不過讓這垃圾郵件特別的是它隱藏惡意的方法。
標籤: 後門
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外,Android使用者也必須要小心那些有後門功能的應用程式。
雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體,但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告,這正好說明了針對Android攻擊的多樣化,而且還沒有看到盡頭。
而在出現這些報告之前,我們從二〇一二年七月就開始看到這類型的惡意軟體,到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本(趨勢科技偵測為ANDROIDOS_KSAPP.A,ANDROIDOS_KSAPP.VTD,ANDROIDOS_KSAPP.CTA,ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX)是從某第三方應用程式商店取得,但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類,有些會做成熱門遊戲的重新包裝版本。
我們所分析的第一批樣本是用相同的應用程式名稱,應該是來自同一家公司。
一旦這些惡意應用程式被安裝成功,它會連到下列的遠端網站以取得壓縮過的腳本程式,然後讀取這腳本程式:
- https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
- https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
- https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0
需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜,因為惡意軟體可以透過新腳本程式來變更自己。
如上圖所示,這惡意軟體還會更新執行中的腳本程式,以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令,讓遠端攻擊者可以在受感染設備上執行。例如,應用程式可以執行測試用函數(代碼如下所示):
解讀遠端腳本程式,可以用Java反射(reflections)安裝新的Java物件(如變數和函數),因此動態的遠端程式碼可以在本地端執行,這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案,應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備,執行更多可怕的指令。
二〇一二年已經成為Android威脅的一年,而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到,Android惡意軟體的數量成長到卅五萬,相對於我們在二〇一一年所看到的一千個行動惡意軟體,這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史,只是用更快的速度。如果這種趨勢繼續下去,我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬。 繼續閱讀
打開員工滿意度調查 PDF 附件,後門程式在裡面!!
當我看到這篇部落格文章時,我最先想到的是:「這是另一次的目標攻擊擊嗎?」我看了一下這文章內所提到的PDF檔案,它看起來像是給某國防承包商員工的員工滿意度調查。趨勢科技產品會將這惡意PDF檔案偵測為TROJ_PIDIEF.EGG。下面是這文件的截圖。
在我看來,網路犯罪分子的目標是這間國防承包商的員工以獲得該公司的資料,甚或是它客戶的資料。趨勢科技還發現到他們的客戶包括了許多廣為人知的聯邦政府機構。
這個PDF漏洞攻擊碼跟其他常被使用的漏洞攻擊碼類似。裡面夾帶了惡意JavaScript以執行shellcode來解開並安裝內嵌在PDF內的二進位檔案。下面是被嵌入的二進位檔案,趨勢科技將其偵測為BKDR_SYKIPOT.B。
