LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

在黑洞垃圾郵件(Black Hole Exploit Kit spam)肆虐下保護使用者

因為有一連串黑洞(Black Hole)垃圾郵件(SPAM)攻擊持續地在肆虐著,趨勢科技也一直在追蹤和調查這起利用黑洞漏洞攻擊(Black Hole Exploit)來攻擊使用者的威脅。這些攻擊通常一開始來自垃圾郵件(SPAM),裡面夾帶了指向淪陷網站的連結,接著將使用者重新導向到放有上述漏洞攻擊碼的惡意網站。結果是將ZeuS木馬變種安裝到使用者電腦上以竊取敏感資料。

 

趨勢科技針對黑洞垃圾郵件攻擊的解決方案

如果只針對黑洞漏洞攻擊包(Black Hole Exploit Kit spam)感染瞬間,當惡意軟體開始被下載的時候,那防護可能是不夠的。趨勢科技進而專注在攻擊的開始階段。因為電子郵件是威脅的起點,所以需要一開始就做出偵測,避免網路釣魚(Phishing)電子郵件送給使用者來誘騙他們點擊了會導致下載惡意軟體的網址。

趨勢科技建立了一套系統,會利用巨量資料分析加上趨勢科技主動式雲端截毒服務  Smart Protection Network ,在攻擊發生時找出獨特的資訊,所以可以快速地建立解決方案。一旦這些攻擊細節被關聯分析出來,就會將對應的解決方案透過主動式雲端截毒技術來保護客戶。

 

從攻擊起點來深入黑洞漏洞攻擊

解決這威脅的最初困難點來自被入侵淪陷的網站。這些淪陷網站的所有者需要不斷清理地這些淪陷網站。但是,這些淪陷網站依然還有漏洞存在,仍然可能被用在下一波的攻擊。

在過去幾個禮拜內,黑洞漏洞攻擊的相關活動利用社交工程陷阱( Social Engineering)來展開攻擊,利用知名公司像是LinkedIn美國航空Facebook美國運通PayPalCareerBuilder作為誘餌。我們看到幾個非常聰明的樣本,都是精心製造的網路釣魚(Phishing)以獲取使用者的信賴。這些郵件的格式和措辭都和這些公司的正式郵件一模一樣。這也是為什麼這些郵件很難用傳統方法加以偵測。

 

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

 

 

趨勢科技所調查的其中一次垃圾郵件攻擊利用了受歡迎的商業網站LinkedIn。在攻擊之初,我們確認了超過300個網址,分布在超過100個淪陷網站內。

 

 

 

根據調查,攻擊時的動態資料,像是垃圾郵件(SPAM)內的連結,都在不斷地變化,使得偵測並停掉這些連結變得相對困難。這種行為也讓垃圾郵件過濾技術更難去偵測相關連結。此外,駭客們也利用越來越多的小型殭屍網路/傀儡網路 Botnet以產生較少量的流量,以藉此來躲避偵測。

 

 

@原文出處:Protecting Customers From Black Hole Exploit Kit Spam Runs
作者:Sandra Cheng(產品經理)和Jon Oliver(資深技術總監)

 

@延伸閱讀

想免費下載“暗黑破壞神三(Diablo 3 free download)” ,請先分享至臉書?搜尋找麻煩,個資竟分享給駭客!

社群網站 交友確認信,帳號確認信,別急著按確定!

答應她的臉書Facebook 交友邀請,個資被看光

◎即刻加入趨勢科技社群網站,精彩不漏網

想免費下載“暗黑破壞神三(Diablo 3 free download)” ,請先分享至臉書?搜尋找麻煩,個資竟分享給駭客!

 

趨勢科技發現如果搜尋「diablo 3 free download (暗黑破壞神三免費下載)」,其中有些排行前面的結果會導入網路釣魚(Phishing)頁面,最終結果會導向一個問卷調查詐騙頁面,藉以蒐集受害者個資。佯裝下載過程中還會要求依照指示利用臉書Facebook常見的分享手法散播惡意連結,但最終卻沒有免費的暗黑破壞神三(Diablo 3 free download)”可下載。

 

這種 Black_Hat SEO (blackhat search engine optimization)搜尋引擎毒化手法(註1),會將惡意頁面自然搜尋排名擺到前面,如以下的搜尋結果(以黃色標示)會導到一個網頁,看起來似乎是暗黑破壞神三的下載頁面:

 

”暗黑破壞神三(Diablo 3 free download)”搜尋結果會導到惡意網頁,看起來似乎是暗黑破壞神三的下載頁面
”暗黑破壞神三(Diablo 3 free download)”搜尋結果會導到惡意網頁,看起來似乎是暗黑破壞神三的下載頁面

 

 

看起來似乎是暗黑破壞神三的下載頁面,其實是網路釣魚頁面
看起來似乎是暗黑破壞神三的下載頁面,其實是網路釣魚頁面

 

然而,點選下載按鈕只會被導到以下的問卷調查網頁: 

點選下載按鈕只會被導到的問卷調查網頁,並不會下載暗黑破壞神三(Diablo 3 free download)
點選下載按鈕只會被導到的問卷調查網頁,並不會下載暗黑破壞神三(Diablo 3 free download)

 

另一個結果應該要被連向YouTube網頁(圖1中用紅色標示),結果卻被導到以下網頁:

圖一紅色的搜尋結果,會到這個假冒的暗黑破壞神三(Diablo 3 free download)
圖一紅色的搜尋結果,會到這個假冒的暗黑破壞神三(Diablo 3 free download)
繼續閱讀

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!

作者:趨勢科技資深分析師Rik Ferguson

 Apple 用戶正遭受一起會利用到雲端服務的網路釣魚(Phishing)詐騙攻擊。

 網路犯罪份子發送目標攻擊電子郵件,內容是提供「apple discount card(優惠禮物卡)」作為「長期客戶獎勵」。這個並不存在的禮物卡提供100英鎊或100美元的面額,可以在任何Apple Store使用,價格只需要九塊英鎊。正如你在下圖所看到的,這封電子郵件裡包含了位置和價格的具體訊息,讓它看來更為可信。

 

 

Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!
Apple Store提供「優惠禮物卡」作為「長期客戶獎勵」?網路釣客提供的!會竊取個資

 

 

 

當然,這個禮物卡並不存在,也永遠不會寄到。並不像以往一樣是用網路釣魚(Phishing)網站的連結,這封電子郵件內包含一個HTML附件檔,而且也很具說服力的外觀,是使用Apple格式的表格。犯罪份子要求許多的個人和財務資料,包括姓名、地址、駕照號碼、生日、信用卡號、到期日和安全號碼。很足夠用來做些嚴重的金融詐騙了。

 

 

犯罪份子要求許多的個人和財務資料,包括姓名、地址、駕照號碼、生日、信用卡號、到期日和安全號碼
犯罪份子要求許多的個人和財務資料,包括姓名、地址、駕照號碼、生日、信用卡號、到期日和安全號碼

 

而且並沒有直接將這些竊取的資料上傳到犯罪份子自有或入侵的伺服器,按下這藍色的「Submit」按鈕之後,會如下圖所示的將資料加上些空白資訊送到Amazon的EC2雲端伺服器料。一旦資料成功地送到犯罪份子的伺服器,瀏覽器被重新導向到Apple的官方網站。受害者可能渾然不知已經上當

  繼續閱讀

作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式

作賊喊抓賊,倫敦奧運網路售票詐騙網警告信,夾帶後門程式

即將舉行的倫敦奧運會無疑是今年最受矚目的體育賽事之一。它也是網路犯罪分子最喜歡利用的社交工程陷阱( Social Engineering)誘餌。就在最近,我們發現免費旅遊套票樂透活動的奧運詐騙事件(請參考:2012倫敦奧運閉幕式旅行套票抽獎?!”Early Check-In 2012 London Olympics.doc”勿開啟!)。不過,這次有些網路騙子使用了不同的伎倆。並不是騙說使用者會贏得門票的典型奧運相關詐騙,這次的騙局是偽裝成注意事項的垃圾郵件(SPAM)郵件。

 

作賊喊抓賊,倫敦奧運售票詐騙網警告信,夾帶後門程式
警告收件者有假網站和單位販售2012年倫敦奧運會的票。郵件裡有官方標誌來誘騙使用者相信它的正當性

 

如前所述,這次騙局是警告收件者有假網站和單位去販售2012年倫敦奧運會的票。郵件裡有官方標誌來誘騙使用者相信它的正當性。郵件內還包含一個附加DOC檔案,列出這些假門票販售商。但是,這個附加檔案其實是被趨勢科技偵測為TROJ_ARTIEF.ZIGS的惡意檔案。這惡意軟體會利用RTF堆疊緩衝區溢出漏洞(CVE-2010-3333)來植入後門程式BKDR_CYSXL.A。這個後門程式會執行一些惡意程序,包括刪除和建立檔案,關閉受感染的系統。

繼續閱讀

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

iPad3甫上市,立即成為駭客社交工程陷阱( Social Engineering)與垃圾郵件的誘餌!趨勢科技發現駭客以贈送iPad3為誘因,運用Facebook以及垃圾郵件等管道發送iPad3贈獎訊息給使用者,吸引使用者參與抽獎並騙取使用者手機與電子郵件等個人資料。駭客運用人性弱點,要求使用者協助張貼抽獎訊息於個人網站或Facebook頁面以增加中獎機率,讓使用者不僅個資外洩,亦成為網路犯罪者幫兇!

iPad3抽獎訊息網路蔓延 使用者小心成網路釣魚幫兇

趨勢科技發現在iPad3上市前後,ㄧ則iPad3抽獎的訊息已在Facebook上蔓延。點選此訊息後,會要求使用者輸入電子郵件地址以參加抽獎比賽;一旦輸入了電子郵件地址並按下確認後,使用者會被重新導向含有抽獎比賽內容介紹的網頁,這個網頁要求使用者張貼訊息到社群網站或是個人網站上,方能增加使用者抽中iPad3的機率。一旦執行了這些動作,使用者不但洩漏電子郵件地址,亦成為網路釣魚網頁散佈的幫兇!

 

 

趨勢科技注意到Facebook上有好幾篇貼子聲稱會提供免費的iPad 3給「幸運」的使用者。

 《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 

 

和之前在部落格上所提到的Facebook威脅不同,這次並沒有利用點擊劫持。有些使用者可能是主動地將這消息發布到他們的社群媒體上(像是Facebook),想以推薦來增加自己的積分,好提高「贏得」這些獎品的機會。一旦使用者連上這個網站並點選該圖案,它會出現下列頁面:

 

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 圖說:FacebookiPad3抽獎訊息蔓延,實為網路釣魚陷阱。

 

頁面要求使用者輸入他們的電子郵件地址來參加比賽。為了說服使用者輸入,這頁面還會顯示出只剩下了兩點。一旦輸入了電子郵件地址,使用者會被重新導向到這些網頁: