電腦病毒 - 資安趨勢部落格

數千個網路商店被注入 Magecart信用卡盜卡程式,今年第三起類似事件!

2019 年 10 月 17 日2019 年 10 月 18 日趨勢科技 TrendMicro

最近趨勢科技在 3,126 個網路商店當中發現了 Magecart (亦稱 E-Skimming) 網路信用卡盜卡攻擊。此次攻擊所用的程式碼與先前攻擊英國航空 (British Airways) 及 Newegg 所用的類似。盜卡程式碼會拷貝付款畫面上的所有資訊，包括受害者的姓名、住址、電話、電子郵件以及信用卡詳細資訊 (卡號、持卡人姓名、到期月份、到期年份、CVV 驗證碼)。專挑大型受害者下手的 Magecart Group 6 駭客集團會試圖註冊與受害者的網域名稱相近的網域來架設接收資料的伺服器。在此次的案例當中，歹徒接收資料的伺服器網域為「volusion-cdn.com」與受害者 Volusion 自家的網域「cdn3.volusion.com」非常相似。
趨勢科技解決方案皆能保護使用者和企業，有效攔截惡意腳本並防止使用者連上惡意網域。一般用戶, 可免費下載試用 PC-cillin 雲端版。

根據我們的資料顯示，這波攻擊始於 2019 年 9 月 7 日，所有受影響的網路商店都是架設在 Volusion這個知名電子商務平台上。事實上，這已經是我們第三次發現盜卡程式被注入電子商務廠商的雲端平台。今年已有另外兩家廠商受害：一家是校園電子商務平台，另一家是飯店電子商務平台。很明顯地，這些目標之所以會被網路犯罪集團盯上，原因就在於這些平台廣受許多網路商店青睞，例如這次受害的平台旗下有數千家商店。

繼續閱讀

偽裝成股票交易軟體 Stockfolio 竊個資的 Mac 惡意應用程式

2019 年 09 月 24 日2019 年 09 月 26 日趨勢科技 TrendMicro

趨勢科技發現兩隻偽裝成 Mac合法交易軟體 Stockfolio 的木馬,會在螢幕上出現真實的股票交易介面,但在背景執行惡意行為,蒐集使用者名稱、 IP地址、螢幕截圖等個資。其中一個變種偽裝成正常軟體的假應用程式包含了多個惡意組件,其中一個軟體套件 Stockfoli.app, 與正牌的應用程式:Stockfolio 比較, 名稱結尾少了 “o” 。
建議想買賣股票的使用者在下載程式時要小心謹慎，尤其是當它來自未知或可疑的網站時。使用者可以利用趨勢科技PC-cillin取得保護，它提供了全面性的安全防護及多裝置的保護來抵禦網路威脅。

在網路時代之前，想在股票或期貨市場進行交易需要打電話給券商（這樣做通常代表著額外費用），而股票交易軟體的出現讓一般使用者也可以自己進行交易。但這類軟體的盛行也引來網路犯罪分子的注意，惡意分子會製作假交易軟體來誘騙毫無戒心的受害者並竊取其個人資料。趨勢科技最近發現並分析了此類應用程式，這惡意軟體變種會偽裝成 Mac上的合法交易軟體 Stockfolio。

我們發現了此惡意軟體家族的兩個變種。第一個樣本包含兩個腳本程式並會連到遠端網站來解密其加密的程式碼，而第二個樣本雖然只使用一個腳本以及更簡化的行為，但實際上還加入了持續性機制。

繼續閱讀

Trickbot 攻擊迫使俄亥俄州學校停課

2019 年 06 月 06 日2019 年 06 月 04 日趨勢科技 TrendMicro

一所俄亥俄州學校在 5 月底被迫停課一天，原因是學校的網路及電腦遭到 Trickbot 攻擊。卡文特里地方學校 (Coventry Local School District) 在停課前一天發表的 Facebook 最新動態中表示，由於系統在受到惡意軟體感染，因此學校需要關閉，試圖恢復正常運作。

根據《艾克隆燈塔報》(Akron Beacon Journal) 的報導，FBI 判定感染是從學校出納組的電腦開始，擴散至仰賴校區網路的各種運作系統，影響最大的就是電話和暖氣、通風及空調 (HVAC) 系統停擺。

繼續閱讀

一種專門偵測惡意程式變種的機器學習模型

2019 年 04 月 15 日2019 年 03 月 28 日趨勢科技 TrendMicro

惡意程式要能發揮作用，首先要能躲過資安防禦的偵測成功滲透到系統內部。它要能包裝並偽裝自己，讓自己看起來像一般正常的程式，等到通過資安關卡之後，再顯現出本性。針對不易偵測的惡意程式，或是樣本不足，無法提供有效分析的惡意程式，我們提出了一種採用對抗自動編碼器 (adversarial autoencoder) 並搭配語意雜湊碼 (semantic hashing) 的機器學習(Machine learning,ML)模型來加以偵測。趨勢科技與澳洲聯邦大學 (Federation University Australia) 研究人員共同發表過一篇名為「生成式惡意程式擴散偵測」(Generative Malware Outbreak Detection) 的研究論文。

透視加密編碼的惡意程式

惡意程式作者知道，惡意程式必須不被發現才有機會入侵裝置或網路。所以，他們會運用各種不同工具和技巧來躲避偵測，此外，更會用盡方法來提高惡意程式的偵測難度，包括躲避沙盒模擬分析、反解譯、反除錯、躲避防毒軟體以及變形或多形等技巧。例如先前曾出現在針對性攻擊與網路間諜行動當中的 RETADUP 蠕蟲，後來也演化出變形能力。其新的變種是以 AutoHotKey 程式碼來撰寫，且與其先前的 AutoIt 變種一樣，都是用來發動虛擬加密貨幣挖礦攻擊。

惡意程式一旦經過加密編碼，一般傳統的防毒系統就很難加以偵測。我們曾在一篇文章當中指出，加密編碼的問題可藉由發掘同一惡意程式家族當中不論任何變種都大致維持一致的特徵來加以偵測，例如程式指令序列。本文將延續先前那篇文章，更進一步深入探討對抗自動編碼器如何處理程式指令序列，以及語意雜湊碼在我們提出的模型當中有何用途。

繼續閱讀

Bashlite IoT 惡意程式新增挖礦與後門功能，專門攻擊 WeMo 品牌裝置

2019 年 04 月 11 日2019 年 04 月 08 日趨勢科技 TrendMicro

最近，趨勢科技發現 Bashlite 惡意程式出現新的版本，會將其感染的物聯網（IoT ,Internet of Thing ）裝置收編到某個殭屍網路來發動分散式阻斷服務 (DDoS) 攻擊。趨勢科技將這些惡意程式命名為 Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002 以及 Trojan.SH.BASHDLOD.AMF。根據其採用的 Metasploit 模組來看，此惡意程式專門鎖定採用 WeMo Universal Plug and Play (UPnP) 通用隨插即用應用程式開發介面 (API) 的裝置來攻擊。

Bashlite 惡意程式亦稱為 Gafgyt、Lizkebab、Qbot、Torlus 或 LizardStresser，其最為人知的不良事蹟是 2014 年曾發動大規模分散式阻斷服務攻擊 (DDoS)，如今它甚至開始跨界感染 IoT 裝置。先前的 Bashlite 版本會利用 Shellshock 漏洞來入侵裝置，然後再透過遠端指令遙控被入侵的裝置發動 DDoS 攻擊 (如 2016 年所發生的事件)，或者再下載其它惡意檔案到被入侵的裝置。

這次發現的新版 Bashlite 相當值得關注。首先，其感染方式已不再仰賴特定 CVE 漏洞，而是使用可公開取得的 Metasploit 漏洞攻擊模組。此外，新版也支援更多 DDoS 遠端遙控指令，以及一些虛擬貨幣和後門功能。同時，還會在裝置上植入惡意程式來將競爭對手的殭屍病毒移除。

繼續閱讀