針對非連網系統的 USB Thief 資料竊取程式

最近出現了一個獨特的 USB 資料竊取程式,專門攻擊非連網的系統。根據惡意程式分析師 Tomas Gardon 的發現,這個 USB Thief (USB 竊賊) 程式一旦進入某個系統,就能一次偷走大量的資料。

Taking data off a laptop.

此惡意程式有幾項獨特的特徵,有別於傳統經由 USB 隨身碟及 Windows Autorun 自動執行功能感染電腦的惡意程式。此惡意程式感染電腦的能力非常獨特,甚至可感染沒有連網的電腦,而且不留下任何痕跡。Gardon 指出:「此惡意程式只經由 USB 隨身碟傳播,而且不會在受害電腦上留下任何痕跡。其作者更運用了一些特殊的機制來防止惡意程式被重製或拷貝,因此更難加以分析和偵測。」

USB Thief 利用了一連串的獨特技巧來附著到受害的系統以躲避偵測。它感染 USB 隨身碟的方式是將自己巧妙地插入一些免安裝綠色軟體 (如 FireFox、NotePad++ 及 TrueCrypt) 的執行指令當中。它會以附加元件或 DLL (動態連結程式庫) 的方式載入系統,然後在背後暗中執行。

USB Thief 可搭配某個大型駭客攻擊行動來竊取非連網系統上的資料,只要員工將受感染的 USB 隨身碟拿到隔離的系統上使用之後,再插回某台被感染的連網電腦時,駭客就能傳回竊取的資料。

 

原文出處:USB Thief Malware Targets Air-gapped Systems

《資安新聞週報》國際駭客殺入台灣 變臉詐騙鎖定名人 /Flash曝嚴重安全漏洞 影響全球10多億用戶

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

【壹週刊】國際駭客殺入台灣 變臉詐騙鎖定名人  台灣蘋果日報網

駭客盯上 任賢齊上億財產險飛了  台灣時報

iPhone 被破解的秘密曝光?FBI 疑似找「灰帽駭客」代勞!  自由時報電子報

[專訪] 趨勢安全專家Kyle Wilhoit:企業以暴制暴解決數位犯罪恐成趨勢  網路資訊雜誌

詐騙手法 兩岸大不同 台以ATM解除分期付款居首 陸多為假冒公務機關  台灣時報

陸偽基站多點傳輸 1台可騙10萬人  旺報

兩岸詐騙黑色供應鏈 產值4千億 網路駭客補習班、月付500個資吃到飽 產業應運而生  旺報

美中協議後 駭客襲美收斂  聯合新聞網

美擬立法 強制科技業協助解碼  人間福報網

ICJI總監:洩密者身分若曝光 性命堪慮  中時電子報網

news2

 

趨勢科技實習開跑 徵召資安新秀  聯合新聞網

巴拿馬警方突襲洩密律師事務所  中國廣播公司全球資訊網

信用卡盜刷風險  專家教你這樣避免  中央社即時新聞網

網路商城用戶多 成駭客竊個資目標  tvbs新聞網

不想被駭!FBI局長教你這樣做  中時電子報網

蘋果iOS現漏洞!駭客設假wifi 產品連上將死機  中時電子報網

Flash曝嚴重安全漏洞 影響全球10多億用戶  新浪網(科技)

CIA情資   駭客車手橫行   台灣已成「犯罪天堂」  壹電視

張明正看AlphaGo:台灣得趕上人工智慧潮流,這比鴻海買夏普還重要100倍!  關鍵評論網

鉅款闖關不單純!變臉詐騙鎖定名人、CEO 傳首富險受害  iSET 2011三立網站 繼續閱讀

緊急呼籲:即刻解除安裝 QuickTime for Windows 軟體

就在趨勢科技 Zero Day Initiative 零時差漏洞懸賞機構發現了兩個新的 QuickTime for Windows 漏洞不久之後,Apple 即宣布即將終止對該軟體的支援。

這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦。若發生在企業環境內部,這等於是敞開大門讓駭客進入全公司網路。

根據趨勢科技全球威脅通訊經理 Christopher Budd 表示,目前尚未看到有任何攻擊已利用這些漏洞,但問題是,這兩個漏洞永遠也沒有機會修補。

Budd 表示:「繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝一途。」

呼籲大家最好遵照 Apple 的建議盡快將 QuickTime for Windows 軟體解除安裝。

原因有二: 繼續閱讀

駭客藉由感染行動裝置入侵家用路由器,台灣受害第一名!

趨勢科技研究團隊發現最新一波透過感染行動裝置進一步取得家用路由器控制權的駭客攻擊事件。駭客透過感染某些亞洲及俄羅斯的網站進行散播,一旦行動裝置瀏覽這些帶有JavaScript的惡意網站。透過行動裝置會啟動JavaScript來下載一個名為JS_JITON的JavaScript。此惡意JavaScript 可以讓網路駭客攻擊家用路由器的漏洞,藉以變更DNS,將瀏覽特定網站的使用者重新導到惡意網頁,進一步讓網路駭客取得受害者的網路憑證,例如密碼和PIN碼,更甚者可以在遠端使用管理者權限發送任何指令到家用路由器上。

路由器

目前已知JS-JITON 僅在使用者使用ZTE路由器的時候攻擊其漏洞根據趨勢科技主動式雲端截毒服務  Smart Protection Network資料,受影響最大的國家是台灣、日本、中國、美國和法國,台灣受影響使用者佔全球27.41%。

此外, 值得注意的是,趨勢科技研究人員從在合法網站上的混淆過惡意JavaScript程式碼中發現,其有提到除了ZTE之外的知名路由器品牌D-LINK及TP-LINK,有可能成為攻擊的目標,使用者也須提高警覺。 

物聯網(IoT ,Internet of Thing)時代,使用者容易忽略更新連網設備韌體的重要性。趨勢科技資深技術顧問簡勝財建議,使用者需要了解這些智慧連網設備如何運作及會收集那些個人機密身份資料,定期檢查並更新韌體(如路由器)程式及避免使用設備出廠時預設的帳號密碼,可降低自身的資料遭竊的風險。

趨勢科技資安解決方案,包含趨勢科技PC-cillin雲端版Smart Protection SuitesWorry-Free Pro

可以封鎖相關惡意網址和偵測惡意檔案,保護使用者和企業免於此類威脅。行動裝置也可以安裝免費的趨勢科技「安全達人」免費行動防護App( Android  /iOS  ) 進一步封鎖此次攻擊中含有惡意程式的網址。

詳細事件說明,請參考下文說明。 繼續閱讀

勒索病毒竟知道你家地址?

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)近日大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊,要求他們點郵件中的連結列印發票,而這個連結會讓電腦感染勒索軟體 Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

勒索軟體竟知道你家地址?
勒索軟體竟知道你家地址?

郵件內容包含郵寄地址, 推測這些資料很可能來自一些外洩事件中失竊的資料庫

值得注意的一點是,網路釣魚(Phishing)郵件內容當中不僅寫出了收件人的姓名,還附上了受害人的地址。包含 BBC 的工作人員在內,都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資
勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資

 

【延伸閱讀” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團

 

出現警告訊息時,硬碟上有價值的檔案都已加密,過程不到幾秒宛若電腦版的搶劫

在 BBC 這篇報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料,因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示:「它的動作非常迅速,當畫面上出現警告訊息時,硬碟上有價值的檔案都已被加密,整個過程不到幾秒,就像是電腦版的搶劫,歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索軟體 Ransomware一樣,Maktub要求以比特幣(Bitcoin)支付贖金,而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣(Bitcoin)(約合 580 美元)提高到 1.9比特幣(Bitcoin)(約合 790 美元)。

Maktub勒索軟體贖金會隨著時間而遞增
Maktub勒索軟體贖金會隨著時間而遞增

趨勢科技表示,除了網路釣魚(Phishing),當使用者不小心連上惡意網站時也可能被暗中下載到系統上。這個勒索軟體 Ransomware會開啟它植入的文件檔:

Maktub勒索軟體 Ransomware會在檔案加密完成之後顯示視窗
Maktub勒索軟體 Ransomware會在檔案加密完成之後顯示視窗

繼續閱讀