FighterPOS的功能跟我們過去所看到的其他PoS惡意軟體家族類似。它可以收集信用卡磁軌1,磁軌2和CVV碼。該惡意軟體還包含記憶體擷取功能,這在許多PoS惡意軟體家族中都很常見。此外,它的鍵盤側錄功能讓攻擊者可以側錄受感染終端上的按鍵紀錄。
趨勢科技已經確認一個銷售終端(PoS- Point of Sale)惡意軟體家族:「FighterPOS」影響了超過100家的巴西受害組織。這波個人行動已經竊取了超過22,000筆不重複的信用卡號碼。
其作者似乎在卡片、支付詐騙和惡意軟體製造上有很長的歷史;此外,我們認為此惡意軟體作者是獨立運作,沒有任何同夥協助。FighterPOS 並不便宜,目前售價是18比特幣(約為5,250美元)。然而,它有精心設計的控制台且支援多種功能,對攻擊者來說具有相當的誘因。
本文中會概述 FighterPOS 的行為,相關報告 – 「FighterPOS:新POS惡意軟體攻擊活動的解析和運作」會提供更多技術細節。
購買
乍一看,此廣告並非特別不尋常。引起我們的興趣的是廣告和其惡意軟體支援功能的專業性質。
圖1、銷售FighterPOS的廣告
4月8日晚上10點到翌日凌晨的1點,TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠:
上述任何一項,單獨發生都已經是重大的網路攻擊事件,全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查,以期精確掌握此攻擊事件的源頭與始末。
根據趨勢科技初步的調查顯示,VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM。
要指出的是,Kjw0rm已知的惡意軟體家族;趨勢科技在一月份時曾經提及此惡意軟體家族,因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。
研究趨勢科技主動式雲端截毒服務 Smart Protection Network的資料後發現,VBS_KJWORM.SMA在過去一周至少在12個國家出現,包括了南非和印度。這並不令人驚訝,因為這惡意軟體可以從地下論壇取得,任何人都可以使用。
此惡意軟體可以被用來作為後門程式進入受感染系統。此外,據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。
進一步由趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器(跟NJWORM所用的不同)。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。
註:SECWORM惡意軟體是來自KJw0rm的遠端存取木馬,加上一些修改和改進。
了解造成公司停擺之網路攻擊的影響
根據報導,這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點,當時該電視網的11個頻道都停播了。
此外,TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言,以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。
要特別指出的是,此次攻擊的技術細節尚未明朗。然而,遠端存取木馬產生器目前在數個駭客論壇都可取得,任何惡意份子都能加以利用。因此,不需要太多技術背景就可以加以使用。
趨勢科技威脅研究反應團隊也密切關注此事件發展,以確保提供用戶完整的防護。同時,藉著本次惡意攻擊事件發生的機會,趨勢科技再次提醒客戶及合作夥伴,我們無時無刻都處於精密規劃的惡意攻擊威脅之中,因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司,但是現今的資訊流早已無國界,也可能造成全球性的重大影響。
APT 攻擊-進接持續性威脅(Advanced Persistent Threat,APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞,並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後,隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器(Command & Control Server, C&C)。有鑑於此,趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術(Smart Protection Network, APN)資料庫中,協助阻擋此類攻擊事件中的回報行為,大幅降低可能帶來的損害。
趨勢科技在此建議您,要防範駭客攻擊,除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外,應當採取更積極主動的措施(可參考給IT管理員的 6 個網路安全建議),在日常生活中也須提高資安意識,例:點擊電子郵件中的網址前須仔細確認其真偽。
如前所述,趨勢科技仍持續關注歐洲網路攻擊事件的發展,並會將新資訊或是防護措施(病毒碼或新防禦規則等)公布於以下知識庫:https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們,現今的數位化世界高度連結已無國界,面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題,請聯絡趨勢科技技術支援部。相關資料請參閱 。
這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的(跟我們最近的Arid Viper行動報告中所陳述的類似)。
完整的細節尚未明朗,不過之前的攻擊如 Arid Viper 和 Sony(遭遇相同命運的另一家大公司)顯示這很有可能是網路釣魚(Phishing)和魚叉式網路釣魚造成。我們最近針對美洲國家組織(OAS)所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現,網路釣魚(Phishing)是針對關鍵基礎設施的頭號攻擊手法,有71%的受訪者說自己曾遭遇這樣的攻擊。
而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之,這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。
TV5Monde在約上午2點恢復對其網路及運作的控制,約是攻擊開始後的四個小時。截至本文撰寫時,他們已經保持控制超過了24小時。從這一點看,攻擊似乎是結束了。
但該擔心的事情現在才開始浮現,因為我們知道發生什麼及其代表什麼。 繼續閱讀
如果你跟其他成千上萬公司一樣正在使用著 Windows Server 2003( WS 2003)。你的業務運作很可能正依賴著它。但當微軟在7月14日停止對此平台的支援終止支援( WS 2003 EOS)後,會對你重要的關鍵系統所造成的潛在影響尚未明瞭。但至少我們預期黑帽駭客會研究新的漏洞攻擊,針對仍然繼續使用此平台的企業用戶。
所有的公司最終都必須轉移到新版伺服器上,但對於無法趕及七月期限的公司來說,趨勢科技 Deep Security 可以保護你的組織,讓關鍵系統繼續平順地運行。在你計畫轉移到較新平台(如微軟的Windows Server 2012或Azure)時,趨勢科技可以幫你保護還在使用中的Windows 2003環境 — 而當你轉移到新平臺後,我們還可以繼續保護新的環境。趨勢科技Deep Security 會在2015年7月14日終止支援期限後繼續提供Windows 2003支援和防護,我們讓你可以透過單一平台來保護現有和新的伺服器。
倍增的威脅
如果過去幾個月帶給我們任何教訓,那就是IT團隊必須將任何運行中的軟體保持在最新版本。如 Shellshock、Heartbleed心淌血漏洞 和 FREAK 等知名漏洞可能會嚴重影響破壞公司對安全性所做的努力,也將敏感性資料置於危險之地。在7月14日後仍然使用Windows Server 2003的公司所要面對的問題是,微軟不再發布安全性更新以保護系統免於此類漏洞。 繼續閱讀
一個已經有18年的「重新導向到SMB( Redirect to SMB )」漏洞透過新攻擊手法而復活。此漏洞可以被用來將受害者重新導到一個惡意伺服器訊息塊(Server Message Block – SMB) 伺服器,除了存取網站外,無需使用者進行任何動作。
如果SMB安全策略不夠安全,SMB客戶端會嘗試發送身份驗證請求給惡意伺服器,並透過網路發送認證憑據。即使SMB認證憑據有經過加密保護,今天的暴力破解法已經可以在許多情況下破解認證憑據。
這種舊漏洞的新攻擊方式現在使用位置標頭為「location: File://192.168.0.1/share/doc.」。file://協定標頭可以在HTTP內透過標籤使用,像是<img>和<iframe>。
重要的是要考慮到此漏洞是新手法用上已經存在很久的舊漏洞。根據我們的研究,這個漏洞會影響Internet Explorer;而使用Windows API函數(透過URLMON.DLL)的應用程式也有此漏洞。
這種攻擊現在可以無需任何使用者互動就進行。關於此漏洞重要的是要了解什麼是「HTTP重新導向」。 繼續閱讀
日本「東京警視廳」「網路犯罪對策課」日前表示,他們已經發現,約八萬兩千台電腦,感染了一種叫「VAWTRAK」新型病毒,會非法轉帳網路銀行存款。
為了加強網上銀行安全,不少銀行都會要求客戶根據手機,輸入只能使用一次的驗證碼。不過東京警視廳發現有駭客利用新型電腦病毒及釣魚網站,成功盜取受害者的驗證碼,將受害者的存款暗中轉帳到其他戶口。過去一年同類個案多達一千八百宗,涉及金額共二十九億日圓。
日本石川縣一名女子去年八月舉報她遭駭客盜取驗證碼,從戶口盜走九十六萬日圓。警方發現受害者的電腦感染VAWTRAK病毒,當登入網路銀行後,畫面出現要求輸入驗證碼的假網站,只要受害人輸入相關資料便中招,在受害人毫不知情的情況下非法轉帳。
日本警視廳表示,日本感染這種新型病毒的電腦,大約有四萬四千台。其餘分佈在歐美與亞洲等幾十個國家,日方已經透過「國際刑警組織」,向各國提供相關資訊。
以下是趨勢科技在今年初對該病毒所做的分析:
銀行木馬VAWTRAK利用惡意巨集及Windows PowerShell
趨勢科技在去年看到Windows的PowerShell命令列如何被惡意巨集下載程式用來散播ROVNIX。雖然在11月的攻擊並沒有直接的利用PowerShell功能,我們現在看到銀行木馬VAWTRAK濫用此Windows功能,同時也利用微軟Word內的惡意巨集。
銀行木馬VAWTRAK跟竊取網路銀行資料有關。被針對的銀行包括美國銀行、巴克萊銀行、花旗銀行、匯豐銀行、勞埃德銀行和摩根大通。過去也看過一些變種針對德國,英國,瑞士和日本的銀行。
通過「聯邦快遞」垃圾郵件到達
感染鏈開始於垃圾郵件。大多數和此感染相關的郵件都偽裝成來自聯邦快遞(FedEX)。這些假郵件通知收件者包裹寄達,還包含了送件號碼。
圖1、「聯邦快遞」垃圾郵件