趨勢科技最新的分析顯示了即便是非法破解程式也會被網路犯罪分子用來誘騙使用者安裝惡意應用程式。在這次的案例中,趨勢科技看到一個惡意應用程式偽裝成Adobe Zii(用來破解Adobe產品的工具),針對macOS系統來挖掘虛擬貨幣並竊取信用卡資料。
技術分析
惡意應用程式是在VirusTotal上看到,最初由Malwarebytes回報,以「Adobe Zii.app」的形式進入目標系統。
圖1.、Adobe Zii.app的內容
執行時,它利用automator.app啟動Adobe Zii.app\Contents\document.wflow內的Bash腳本。
圖2、惡意軟體啟動Bash腳本
繼續閱讀趨勢科技近日發現了一波新的攻擊利用誤植域名(typosquatting)這舊方法來誘騙新受害者。這種舊攻擊手法會利用近似熱門網站的網域來將人們導到通常是惡意的網站。
資安趨勢部落格曾發表過看似拼錯的網域名稱 竟可賣100英鎊!(含facebook google paypal 等假網址一覽表),這類手法稱作誤植域名(Typosquatting),也稱作URL劫持,這種劫持的方式通常瞄準粗心輸錯網址的用戶,當他們不小心按錯鍵盤或拼錯字導致輸入錯誤網址,便有可能被導向早已守株待兔事前設計好的惡意網站。在這篇報導.com手殘打成.om,小心被騙到仿冒的惡意網站去了一文中,描述了刻意仿冒大廠的網址包含 facebookc.om、youtube.om、linkedin.om、yahoo.om、gmail.om、netflix.om、baidu.om、xbox.om,以及googlec.om、targetc.om、hotelsc.om等。
這類攻擊在Windows系統上相當常見。儘管這種做法很老套,但最近的這波針對Mac使用者的攻擊證明它仍然有效,它會將受害者導到號稱會偵測惡意威脅的網站,迫使他們下載非必要應用程式(Potentially unwanted application ,PUA)。
所謂的非必要的程式(PUAs),是被列為灰色軟體的程式。安裝這類的程式軟體可能讓您的行動裝置或電腦的使用安全跟個人隱私處於高風險狀態與受到任何不良的影響。它也可能會消耗電腦資源及效能。這類的非必要程式(PUAs)通常不會詳細說明它的功能及用途,安裝時有可能是經過使用者同意安裝,但大多數往往是在使用者不經意的狀況下被附加安裝。受影響的應用程式(app)可能是於無意間或者一些簡單的設計。非必要程式(PUAs)可能是由合法或者非法的軟體製造商所發行的。
非必要程式(PUAs)的行為可能如下:
《延伸閱讀 》數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三
有數十萬個這種 非必要程式 ( Potentially unwanted application 簡稱 PUA) 透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為,不過會蒐集使用者的敏感資訊,如果在 Android 裝置上,還可攔截使用者的私人簡訊。
Mac 最近總是燒燙燙?原來是下載到假的Flash Player,被植入挖礦程式了,詳情請看:Mac 最近總是燒燙燙?原來是下載到假的Flash Player,被植入挖礦程式了
「Mac不會中毒」的神話不再…..
Macbook Air或是 Macbook Pro等的Mac電腦是相當有人氣的。因為Mac一般來說在消費者眼裡存在著「Mac不會感染上病毒」的印象,所以會採取防毒對策的用戶幾乎少之又少。實際上,瞄準Mac的病毒早已存在了。
比如:
專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,
Mac 用戶當心!兩隻遠端存取木馬竊取個資,監看電腦螢幕及記錄鍵盤輸入
首例! Mac 用戶也不能倖免於勒索軟體,「KeRanger」鎖定蘋果 Mac OS X 系統
iWorm為Mac安全防護敲響警鐘?新蠕蟲感染1.7萬台蘋果Mac電腦
WhatsApp 提供 Windows和Mac版?!銀行木馬假好心真詐騙
最近有一則謊稱是蘋果公司將會傳送「用戶的帳號將暫時失效」等的信件,伺機將收件者誘導至類似仿蘋果的登入頁面的釣魚詐騙網站,從去年起已確認到不少不斷地變更各種詐騙的手法了。此時伺機騙取登入Apple Store時或是 iCloud時必須輸入的Apple ID或密碼、個資、信用卡等的資料。 相關報導:將網路用戶誘導至惡意網站,趁機騙取資訊及金錢的網路詐騙已經開始瞄準Mac用戶。 繼續閱讀
近來有 Mac 使用者表示其電腦的 CPU 用量與電池消耗速度都比平常更高。根據研究人員發現,這些使用者電池快速消耗的原因是某個名為「mshelper」的虛擬貨幣挖礦程式 (趨勢科技命名為:COINMINER_TOOLXMR.A-OSX) 在背後挖礦。
該程式的感染途徑據推測應該是使用者不小心下載到假的 Flash Player 安裝程式或惡意文件及軟體,而非遭到精密攻擊。研究人員在其系統上發現該挖礦程式的啟動程式「pplauncher」 (趨勢科技命名為:COINMINER_MALXMR.A-OSX) 會讓該挖礦程式持續在系統內執行,因此顯然該程式具有系統管理權限。我們發現這個 3.5MB 的啟動程式當中含有一個二進位檔案提供了 23,000 多個功能函式。背負著這麼龐大的負擔顯示該程式的作者可能對 Mac 平台不熟。
[延伸閱讀:加密虛擬貨幣挖礦惡意程式:2018 年最新威脅?]
這個啟動程式會建立一個名為「mshelper」的執行程序並利用開放原始碼挖礦工具 XMRig 來開採門羅幣 (Monero)。Mshelper是一個歹徒所使用的挖礦軟體,由於該軟體可能造成系統過熱並損壞風扇,因此最好將該軟體移除。 繼續閱讀
一位土耳其的軟體開發人員警告 Apple 注意一個可讓駭客略過 macOS High Sierra 10.13 作業系統安全機制並完全掌控電腦的漏洞。目前 Apple 已公布方法教使用者如何避開此問題,並且已釋出修補更新來解決此漏洞,所有 macOS High Sierra 10.13 的使用者皆應該立即更新。
該漏洞的觸發時機,是當使用者在登入某台含有多位使用者的電腦時,High Sierra 作業系統要求輸入使用者名稱和密碼的視窗。此時若在使用者名稱欄位輸入「root」 ,密碼保留空白,然後按「解鎖」按鈕兩次,就可以登入並完全掌控這台 Mac 電腦。有關這項漏洞的資訊在二週前就開始出現在蘋果開發者論壇 (Apple Developers Forum) 。
惡意程式也可利用此漏洞將自己安裝到電腦上而完全不需密碼。由於這個 High Sierra 作業系統的最新漏洞,使得 駭客可以在電腦上新增系統管理員帳號、變更重要設定、將電腦鎖住讓 Mac 電腦使用者無法登入等等,同時也讓使用者的私密資料暴露於風險中。同時,啟用 遠端桌面連線的 Mac 電腦,還會讓駭客從遠端利用此漏洞登入電腦。
Apple 已確認這項安全問題,並提供了一個避開此問題的快速方法,同時也正在開發正式修補更新,正如其發言人所說:「我們正在製作軟體更新來永久解決此問題。」
macOS High Sierra 10.13 作業系統在今年 10 月已釋出了多項錯誤修正,其中還包括一個可輕易洩漏使用者密碼的漏洞。該作業系統更早的版本也出現過 iMac 硬碟遭到損壞的問題,以及系統核心內的安全機制因程式設計太差而根本沒用。
如何降低風險
Apple 已教導大眾如何啟用 root 帳號並為 root 帳號設定密碼來防止駭客利用此漏洞。另一個作法是直接停用 root 帳號,但在修補更新出來之前,建議還是不要這麼做。因為先啟用 root 帳號之後再將它停用,很可能又回到原點,因為如果漏洞還是存在,被停用的 root 帳號很可能還會遭到利用。
若要變更 root 密碼,請至「系統偏好設定」底下的「使用者與群組」或「帳號」。由於 root 帳號的權限較大,因此建議使用者應選擇較為複雜的密碼,而且不要與其他帳號的密碼相同。
原文出處:New Flaw in macOS High Sierra Allows Anyone Easy Login Access
PC-cillin 雲端版
防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
