純無檔案式惡意程式 JS_POWMET, 90% 的感染案例在亞太區

2017 年 08 月 11 日2017 年 08 月 09 日趨勢科技 TrendMicro

最近，網路駭客開始專心研究如何在攻擊過程當中不留下痕跡，因此無檔案式惡意程式 (如最近的 SOREBRECT 勒索病毒) 未來將更加普遍。不過，這類惡意程式有很多只在潛入使用者系統時才不寫入檔案，但最後在執行真正的惡意程式時還是會在磁碟上產生檔案，所以純無檔案式的攻擊畢竟還是少數。因此，我們覺得有必要跟大家介紹一個新的木馬程式，叫做「JS_POWMET」(趨勢科技命名為 JS_POWMET.DE)，該程式會利用 Windows 系統登錄中的開機自動執行機碼來進入電腦。其感染過程完全不會在磁碟上產生檔案，所以很難用沙盒模擬分析技術來加以偵測，同時也加深了資安人員的研究難度。

根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網所收到的初步資料顯示，感染 JS_POWMET 最嚴重的是亞太地區，將近 90% 的感染案例都來自該區域。

技術細節

圖 1：JS_POWMET 感染過程示意圖。

儘管此木馬程式進入系統的確切管道還無法確定，但很可能是因為使用者瀏覽了惡意網站才下載到該木馬程式，或者是由其他惡意程式植入系統當中。但很肯定的是，當該惡意程式下載到系統上時，系統登錄當中就會出現以下機碼：繼續閱讀

7/31~8/6高風險賣場排行榜

2017 年 08 月 10 日2017 年 08 月 10 日趨勢科技TrendMicro

「最近臉書廣告購物詐騙猖狂，請各位小心謹慎！」
「刑事警察局」與「趨勢安全達人」共同合作，將定期公布近期網路上風險高的線上平台，提醒消費者若於下述平台交易或購買時，請務必提高警覺，以免受騙上當！

以下的高風險賣場，是上週經民眾通報的危險賣場，請大家多留意交易的過程，切記不要誤信歹徒的詐騙話術因而使自己權益受損了！

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

2017 年 08 月 10 日2017 年 08 月 10 日趨勢科技 TrendMicro

自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月，我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月，現在又出現了新的演化版本，而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。

勒索病毒廣闢財源

然而整體上，這波 Cerber 病毒是經由電子郵件附檔散布：

圖 1：Cerber 勒索病毒的電子郵件。

這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式，它會從網路上下載 Cerber 的變種，也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同，只不過多了一項新的行為，那就是竊取比特幣（Bitcoin）錢包。

其鎖定竊取的比特幣錢包有三種：第一種是比特幣官方的 Bitcoin Core 錢包，另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案：

dat (Bitcoin)
*.wallet (Multibit)
dat (Electrum)

此處有兩點值得注意。第一，竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二，Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。

在檔案加密「之前」,先偷儲存在瀏覽器上的密碼

不過，新的 Cerber 變種所竊取的資訊還不只這些，它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。繼續閱讀

十種有效幫手機省電的方法

2017 年 08 月 10 日2018 年 01 月 02 日趨勢科技TrendMicro

不是常覺得明明早上才充飽電，一到下午就開始為手機的電量爭鬥，想盡辦法讓它可以”活著回家”? 其實我們常不知不覺的使用一些不必要的功能來增加手機耗電，只要稍稍留意，做好這些步驟，就再也不必為手機電量煩惱啦

查看哪些app偷吃電

既然要省電就必須對症下藥，首先，到手機的設定去找尋看看app消耗的電量，如果有些app你很少用卻耗了很多電，趕緊考慮解除安裝它們吧。

繼續閱讀

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

2017 年 08 月 10 日2017 年 08 月 01 日趨勢科技 TrendMicro

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚