facebook - 資安趨勢部落格

FacexWorm瞄準了虛擬貨幣交易平台，利用Facebook Messenger進行散播

2018 年 05 月 05 日2018 年 05 月 04 日趨勢科技 TrendMicro

FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能，將其命名為FacexWorm，它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台，並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響，Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。

FacexWorm並不新。它在2017年8月被發現，儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動，這與德國、突尼西亞、日本、台灣、韓國和西班牙出現FacexWorm的外部報告一致。

我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程（social engineering）連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結，並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。

雖然在檢查攻擊者地址錢包後，至今只發現一起比特幣交易被FacexWorm劫持，但我們不知道它利用惡意網頁挖礦賺得多少。

圖1、FacexWorm的感染鏈

散播

FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁，要求不知情的使用者同意並安裝一個解碼器擴充功能（FacexWorm）以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

圖2、假YouTube網頁要求使用者安裝FacexWorm

圖3、FacexWorm所發送訊息的範例

繼續閱讀

《資安漫畫》【FB 與 IG 隱私設定】出遊打卡,把親友拖下水,還告訴小偷:闖空門正是時候?

2018 年 01 月 16 日2019 年 08 月 22 日趨勢科技TrendMicro

據英國《每日郵報》報導，美國麻省理工學院和英國牛津大學專家指出，每天8則發文，即便是沒有任何技術和相關知識，也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出， 65%測試者可以大致知道使用者住家位置，而70%能推算出工作位置，甚至能有85%的能夠精準掌握其公司所在地。

網友發表一篇要跟愛打卡的老婆離婚了引起很多迴響,作者說:” 我工作請假是說家裡有事情,也沒告訴同事說要出國,連爸媽我都沒說…”一周後回國卻發現 “我的電視、音響，家裡所有值錢的東西都被搬光了, 我心裡有碎掉的聲音…..”,這是個血淋淋的真實案例.

以下還有兩則跟打卡有關的新聞報導,不禁讓小編要再度提醒大家安全「打卡」重要性了。

【案例一】:臉書打卡慶生女通緝犯躲16年破功,一名判刑遭通緝的沈姓女子，逃匿十六年，追訴時效再過十四天將消滅，但她過生日時在臉書上打卡，台南市玉井警方因此掌握到她行蹤，將她逮捕到案。

【案例二】:這則新聞小開臉書打卡洩蹤,綁匪按表擬擄人計畫報導說男子得知某小開常使用臉書紀錄個人資料，整理其臉書訊息以了解其作息及擬定擄人計畫，將他擄走後勒贖500萬元。

在這個社群網路快速擴張的時代，不僅是年輕人，小孩、大人們的FB、Ig使用率居高不下。但因為能輕易上傳日常生活動態以及刊登個人資訊得緣故，您公開的資訊，很有可能會被不法分子盯上。

繼續閱讀

Digmine 數位貨幣挖礦程式,透過Facebook Messenger 散播中

2017 年 12 月 27 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播，該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看，相信很快就會散播到其他國家。我們將其命名為 Digmine，這是根據在韓國最近所發生相關事件的報告內所提到的別名（비트코인채굴기bot）。

Digmine會偽裝成影片檔傳送，但實際上是個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入，Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播，但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制（C&C）伺服器，意味著可以被更新。

Digmine並會搜尋並啟動Chrome，然後載入從C&C伺服器取得的惡意擴充功能。

數位貨幣挖礦殭屍網路的已知工作模式（特別是挖掘門羅幣的Digmine）會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器，因為這代表了運算力的增加以及更多可能的網路犯罪收入。

圖1：Digmine的攻擊鏈

圖2：透過Facebook Messenger（上）發送的Digmine連結及偽裝成影片的檔案（下）；原始圖檔來源：c0nstant（右下）

繼續閱讀

「ROBOT 攻擊」影響 Facebook、PayPal 等知名網站

2017 年 12 月 15 日2018 年 01 月 05 日趨勢科技 TrendMicro

有研究團隊發現 1998 年由 Daniel Bleichenbacher 所批露的 RSA 加密演算法實作漏洞至今仍可能遭到攻擊。根據報導，日前又出現一個利用此漏洞的新攻擊，命名為「ROBOT」(其名為「Return of Bleichenbacher’s Oracle Threat」的縮寫)，影響所及包括 Alexa Top 100 百大網站中的 27 個網站，如 PayPal、Facebook 等知名網站皆受影響。這個由 Hanno Böck、Juraj Somorovsky 和 Craig Young 三名研究人員所組成的團隊指出，駭客在某些條件下有可能取得可以解開 HTTPS 流量的私密金鑰。只不過，至今尚未出現駭客利用 ROBOT 漏洞發動攻擊的案例。

ROBOT 漏洞攻擊手法是藉由 Bleichenbacher 所發現的漏洞，此漏洞可讓駭客利用暴力破解的方式成功猜出連線階段金鑰 (session key)，進而解開 TLS (HTTPS) 伺服器與用戶端瀏覽器之間的 HTTPS 通訊。此情況發生的條件是：連線階段金鑰採用 RSA 演算法加密，並且使用 PKCS #1 V1.5 padding 系統。駭客可以發送連線階段金鑰給 TLS 伺服器去查詢該金鑰是否有效，伺服器會回覆「是」或「否」，駭客可以如此反覆嘗試，直到試出正確金鑰為止。儘管這項漏洞存在已將近 20 年，但 ROBOT 漏洞攻擊至今依然可行，因為該漏洞的解決方法非常複雜，而且在實作上也未徹底解決。

繼續閱讀

Facebook投票功能竟可刪除他人照片!漏洞發現者獨得美金一萬元

2017 年 12 月 06 日2017 年 12 月 05 日趨勢科技 TrendMicro

Facebook出現一個能夠讓惡意人士刪除使用者張貼在社群網路上照片的漏洞。安全研究人員發現Facebook新的投票功能有漏洞，這投票功能可以讓使用者建立給朋友和關注者投票的兩問題投票。這問題已經回報給社群網路的安全團隊並在12小時內提供初步修復，兩天之後會全面修復。

伊朗的安全研究和網路開發人員Pouya Darabi在檢查Facebook的新功能時注意到此漏洞。Darabi發現自己可以經由變更ID號碼來加入圖片。這讓他可以預覽Facebook使用者在線上傳的圖片，並將其加入到投票內。當他刪除這次投票，附加的圖片也會被從社群網路中永久刪除。

這漏洞並不容易攻擊，因為上傳圖片的ID號碼並不完全照順序。攻擊者必須計算自己的步驟來碰上有效的圖片。因此想針對特定照片會很困難。

Darabi因發現並回報此安全漏洞而獲得10,000美元獎金。這並不是這名安全研究人員第一次從Facebook獲得獎金。在2015年，他因為繞過跨站請求偽造（CSRF）保護系統而獲得15,000美元獎金。而次年他因為類似漏洞又獲得了7,500美元。

這漏洞的出現提醒了人們社群網路跟其使用者同樣容易遭受網路威脅。使用者在瀏覽自己的社群網路帳號時也要小心，因為如果不是Facebook在安全研究人員通知後快速地解決，他們自己並沒有辦法來處理這漏洞所造成的問題。這次修復可以防止使用者的數位資產被外露，不過還是要持續關注網路犯罪分子未來可能開發的漏洞攻擊。

保護你的社群媒體帳號

最近一項研究顯示人們平均每天在社群網路上花費約116分鐘。社群媒體的無處不在加上它的帳號跟越來越多應用程式和帳號連結，社群媒體平台自然成為了惡意攻擊者的理想目標。

以下是保護帳號安全的一些建議：