資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

專門攻擊韓國網站的線上遊戲間諜軟體,進化版多了後門程式更厲駭

2013 年 08 月 23 日2013 年 09 月 02 日趨勢科技 TrendMicro

ONLINEG是個會竊取線上遊戲身份認證的著名間諜軟體，最近也被加入了後門功能。趨勢科技發現一個變種（偵測為TSPY_ONLINEG.OMU）除了有一般的資料竊取行為外，也會下載後門程式到受感染系統上，讓它更容易遭受更多損害。

TSPY_ONLINEG.OMU最近出現在幾個韓國網站上，這些網站都是被入侵淪陷而含有這隻惡意檔案。根據我們的分析，這間諜軟體可能是大約一年前開始出現，被偵測為TSPY_ONLINEG.ASQ的病毒程式的新變種。

跟其他線上遊戲間諜軟體一樣，TSPY_ONLINEG.OMU會竊取特定線上遊戲的帳號和登入資料。但除此之外，如果使用者連上特定產業的網站管理介面登入頁面，就會下載一個鍵盤側錄程式/後門程式（BKDR_TENPEQ.SM）。這讓攻擊者可以竊取這些入口網站的登入認證資料。

這次攻擊所針對的公司都是韓國公司，屬於下列產業：

新聞
電視
廣播
金融
購物
遊戲
廣告

線上遊戲在韓國的受歡迎程度是眾所周知，因此這次攻擊的幕後黑手會使用TSPY_ONLINEG.OMU並不奇怪。然而，使用ONLINEG也可能是為了要掩飾惡意軟體的真正意圖。因為這個惡意軟體家族「已知」所針對的是網路遊戲竊盜，如果沒有去檢視程式碼，人們可能會低估其潛在的威脅。繼續閱讀

Android比特幣(Bitcoin)錢包有被順手牽羊風險的漏洞

2013 年 08 月 22 日2013 年 09 月 02 日趨勢科技 TrendMicro

一篇bitcoin.org上的文章警告使用Android錢包的比特幣(Bitcoin)擁有者一個嚴重的底層漏洞，可能會讓他們的錢包對小偷大開方便之門。

這篇文章表示「一個Android的底層元件」包含著讓Android比特幣錢包擁有者有被順手牽羊風險的漏洞。而比特幣(Bitcoin)錢包應用程式開發者Mike Hearn發文到比特幣開發者郵件群組表示，確切元件是Android所使用的Java class SecureRandom。

這樣的影響可能要比比特幣(Bitcoin)錢包來得更深遠的多。如果Mike的說法正確，那「所有」Android平台上所生成的私密金鑰在加密方面都很薄弱，需要加以「更新」，也就是用禮貌的方式來說需要「刪除並重新建立」。對於那些比特幣錢包使用者來說，這也表示會產生一個新地址，並將所有的錢送回給自己。

目前還沒有證據顯示這漏洞真的已經遭受攻擊，已經有好幾個比特幣使用者回報遭到竊取，可能跟這漏洞有關。因此，對於那些在行動設備上使用比特幣錢包的使用者，讓我們希望解決亂數產生問題的更新應用程式可以及時推出。關於受影響應用程式的詳情可以在bitcoin.org的部落格文章內看到。

至於這Android底層問題如何影響其他依賴加密的應用程式，和如何將根本解決修補程式推送到這令人頭痛的碎片化生態系也是非常值得關切。隨著越來越多應用程式和金錢有關，以及我們在行動設備上不斷增加的個人資料，這類性質的漏洞很引人注目，也非常吸引現今的網路犯罪份子。

＠原文出處：Android – Bitcoin vulnerability – Exploit in the wild.

行動網路釣魚攻擊不僅要網銀登入資料,還要求上傳身分文件

2013 年 08 月 21 日2017 年 04 月 14 日趨勢科技 TrendMicro

趨勢科技在今年八月初討論了關於網路犯罪分子使用一個廣為人知的Android的漏洞來攻擊行動網路銀行應用程式的使用者。這一次，我們發現一起行動網路釣魚（Phishing）攻擊，不僅會試圖竊取使用者的登入資料，還會要求受害者上傳他們的身分文件。

這起網路釣魚攻擊活動跟之前的攻擊類似：偽造了行動網路銀行登入頁面，使用和原本銀行網站非常相似的網址。

儘管非常相似，不過也有些看得到的差異，比方說對SSL協定的支援。這釣魚網站並不會出現安全符號，也沒有使用HTTPS://協定，通常這是用來識別安全網站的方法。外觀上也有些看起來不同的地方：

圖一、合法網站對比偽造網頁

釣魚網頁會要求使用者的登入資料，還不僅如此，輸入登入資料之後，使用者會被導到另一個偽造網頁，詢問他們的電子郵件地址和密碼。這大概是為了當使用者試圖透過變更登入資料來取回帳號時，幕後的網路犯罪份子就會得到通知，因此仍然可以存取該帳號。

圖二、要求電子郵件登入資料的釣魚網頁

此時騙子還沒有滿足於所取得的資料，還會將使用者導到另一個偽造網頁，要求使用者上傳他們的身分文件掃描圖檔。

圖三、要求身分文件圖檔的釣魚網頁

繼續閱讀

銀行惡意軟體利用Google Code散播

2013 年 08 月 20 日2013 年 09 月 02 日趨勢科技 TrendMicro

Google Code是Google的官方開放原始碼網站，讓開發者可以託管他們程式的原始碼和相關檔案，主要是純文字格式。然而，使用趨勢科技在巴西的搜集系統，捕捉到一個用Java編寫的惡意軟體，它會從一個最近建立的專案 – 「flashplayerwindows」下載銀行惡意軟體。當然，這個假專案和Adobe無關。

上述檔案（被偵測為JAVA_DLOAD.AFJ）是個已編譯的檔案，會下載並執行「AdobeFlashPlayer.exe」，該檔案已經被趨勢科技確認為惡意（偵測為TROJ_BANLOAD.JFK）。一旦執行，這個木馬程式會連到Google Code下載其他檔案。這威脅的幕後黑手可能已經上傳這些檔案到Google Code網頁上，令人注意的是其中包括銀行惡意軟體變種。這些惡意軟體以會偷銀行和電子郵件帳號資料而著稱。在一般情況下，會利用釣魚網站或假銀行網站來誘騙使用者給出個人資料，好達到竊取資料的目的。一旦他們收集了這些資料，就可以用來進行未授權的交易，像是轉帳等。

之前，銀行惡意軟體被發現代管在已淪陷的巴西政府網站，影響了來自巴西、美國和安哥拉的使用者。另外還有一個包含惡意軟體的假專案被發現，這說明了類似的威脅可能還存在著。

除了銀行惡意軟體的危險，這種利用知名網站（像是Google Code）的方式為網路犯罪份子提供很好的掩護。惡意軟體代管在Google官方網站，代表下載這惡意軟體會透過有效SSL憑證加密，這可以繞過傳統的安全技術。因為Google是個合法而有信譽的網域，傳統的信譽評比服務可能無法防止其下載。

如果感覺到這種威脅很熟悉，那是因為之前已經有開放原始碼專案網站被濫用。去年六月，我們在部落格內提到GAMARUE變種被代管在SourceForge上，它跟Google Code一樣，都在開發者和使用者間很受歡迎。繼續閱讀

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

2013 年 08 月 19 日2013 年 08 月 19 日趨勢科技 TrendMicro

好幾個月來，趨勢科技一直在積極監視著稱為StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路，它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作，並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統，像是WordPress、Joomla和Drupal。

在本篇文章裡，我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷，變成StealRat殭屍網路/傀儡網路 Botnet的一部分。

第一步是檢查是否有垃圾郵件發送腳本的存在，通常會用s 繼續閱讀