KOOBFACE靠網路廣告賺黑心錢的秘密:使用流量導向系統

KOOBFACE 殭屍網路/傀儡網路 Botnet會用安裝次數付費(Pay-Per-Install,PPI)和點擊次數付費(Pay-Per-Click,PPC)的商業模式來賺錢。僅僅在2009年,KOOBFACE這幫人就賺了約兩百萬美金。

 但這顯然還不夠,因為這網路黑幫剛剛升級了他們的殭屍網路/傀儡網路 Botnet網路架構,使用先進的流量導向系統(Traffic Direction System,TDS)來處理導向下游網站的流量。他們還推出新元件來增加導向他們TDS的網路流量,這也意味著會讓他們賺進更多的錢。

 KOOBFACE黑幫的TDS會將流量導往能賺仲介費的廣告網站或是其他幾個下游網站。要注意的是,這些付了仲介費的像是廣告網站或下游網站還是會透過增加的網路流量來賺回更多的錢。想更清楚地了解新TDS如何讓這集團賺更多,請看看下圖還有所列出的步驟:

 

  •   新增跟註冊Yahoo電子郵件地址:由於KOOBFACE殭屍網路/傀儡網路 Botnet不能再自動新增Google帳號為他們所用,他們就換成自動新增Yahoo電子郵件帳號。這讓他們可以建立他們所需要的Google帳號。
  •  建立社群網路帳號:KOOBFACE殭屍網路/傀儡網路 Botnet新增的電子郵件地址被用來登入社群網路,像是TwitterTumblr、FriendFeed、FC2、Livedoor、So-net和Blogger。有些也被新增到altervista.org。這些殭屍網路/傀儡網路 Botnet路所建立的部落格帳號網址內會包含像「news」或「2011」的字眼。
  • 部落格收集色情等圖檔KOOBFACE新推出的新元件會收集色情圖片;名人、婚禮、紋身和汽車照片;還有從Google圖片搜尋來的桌布圖檔。這些都會被用在網路黑幫新貼的部落格文章內。
      繼續閱讀

2010年重大資安事件回顧:Stuxnet 的喧擾與真相

2010年間最受安全產業討論的議題 Stuxnet(編按:2010 年11月Stuxnet蠕蟲攻擊伊朗核電廠,鎖定水庫、油井、電廠等重要基礎設施)。大多數 Stuxnet 的攻擊目標出現在伊朗,引發意圖破壞核子設施的陰謀論說。)。毫無疑問的是,Stuxnet是一款高度精良的惡意軟體,其資源,不管是在時間,金錢或人力上其皆十分充裕地被運用來發展。但就衝擊度而言,多數的使用者並未受顯明的影響。沒錯,Stuxnet的確散佈到世界上許多的系統中,但對幾乎是所有受到感染的系統來說,它並不是個大問題。它不偷盜資料,不促銷假防毒軟體( Fake AV),也不會大量傳送垃圾訊息。

說 Stuxnet 預告了惡意軟體威脅影響「真實世界」機構的新世代來臨,也不完全正確。早在2003年,Slammer蠕蟲就打擊了俄亥俄州一個核能機構,並關閉了一個監視系統。而 DOWNADConficker 蠕蟲攻擊了多個高知名度機構如醫院(甚至影響了MRI磁核共振造影),執法單位,甚至不同的軍事機構。

要說 Stuxnet,可以說它的確劃下了第一次有人決定值得花時間,刻意以特定供應商的SCADA系統監控與資料擷取功能軟體(Supervisor Control And Data Acqusition,簡稱SCADA)平台做為攻擊目標。技術從過去就已經存在,欠缺的是進行的動力。

這類的惡意軟體攻擊數量少也遠在今日的威脅情勢之外。目前資料竊盜仍是最大的問題。趨勢科技每日所發現的惡意軟體中,大多數皆屬資料偷盜型惡意軟體。今日所見的每一件Stuxnet感染,皆相對地會發現上千件牽涉到偷盜資料的惡意軟體,如 Zeus 和 SpyEye

從 Stuxnet我們可學到兩個教訓。對那些和被 Stuxnet視為目標類似的企業控制系統來說,這應該是一記警鐘。Stuxnet 攻擊的「軟」目標皆未受到良好的防護。這些系統之所以未受到良好防護,是因為他們是位在網路的「內部」,可能被認為受到區域防護業已足夠。網路其實和其最弱的環節一樣安全。因此,企業控制系統中的電腦和網路皆需要全面強化。

第三者的應用程式最常被做為入侵破壞的目標,例如 Adobe Flash 和 Adobe Reader,因此如果不能將這兩者自系統中移除的話,最好是將兩者隨時更新。對可移除式裝置如USB記憶碟的攻擊也不能等閒視之,且需加以防範。這將不會是迅速,簡單或便宜就可以解決的。

不過對負責重要系統的使用者而言,來自 Stuxnet 的危險必須要被放在適當的內容中。憑證竊盜軟體是遠比Stuxnet更重大的威脅。除此之外,要記得針對重要系統而來的威脅很可能目標就單只是該系統。一般的使用者更常看到的威脅類型,會是憑證竊盜和假防毒軟體類的惡意軟體。

Stuxnet終歸是享受了大量的媒體關注。它最主要的是對系統管理者在防護重要系統,甚至那些他們認為不會受惡意軟體威脅的系統,產生警告作用而非是實際的威脅。這個問題必須要被囊括在更大的惡意軟體威脅內容中,這類的威脅每日皆可見到上萬新數量的產生,絕大多數都是在偷盜使用者的資料。

文章來源:2010 in Review: The Hype and Reality of Stuxnet   作者:Ivan Macalintal (趨勢科技資安分析經理)

搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊

假 Youtube 網頁,假防毒軟體,夾帶在搜尋頁面中趁機打劫

被稱為超級電腦病毒的 Stuxnet 蠕蟲,近日肆虐全球,網路犯罪者正利用 Stuxnet 蠕蟲到處肆虐的新聞熱潮來散發惡意程式。趨勢科技資安威脅高級研究員 Ivan Macalintal 發現,許多有關此蠕蟲的搜尋結果均遭到毒化。此次遭到 Black_Hat SEO黑帽搜尋引擎最佳化的一些搜尋字串包括:「stuxnet SCADA」、「stuxnet removal tool」、「stuxnet cleanup」、「stuxnet siemens」、「stuxnet worm」等等。某些已遭毒化的搜尋字串還高居搜尋結果頂端。其中有一個搜尋字串所指到的惡意 URL ({BLOCKED}lo-canada.org/2008/stuxnet.html) 會將使用者帶到一個專門攻擊 CVE-2010-0886 與 CVE-2010-1885 漏洞的網站。此外,還有某些搜尋結果會將使用者導向專門攻擊 PDF 和 SWF 漏洞的網站。該威脅分別命名為TROJ_PIDIEF.XE 和 SWF_AGENT.WAW。

事實上,可能招來的惡意程式很多,包括會在系統上植入其他惡意程式的下載程式在內,此外也包括 TROJ_FAKEAV.SMZU 這個假防毒軟體FAKEAV 變種。假防毒軟體FAKEAV 變種特別喜歡利用搜尋結果和新聞事件來誘騙使用者購買假防毒軟體

繼續閱讀

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

資訊安全廠商趨勢科技2010 年 10 月 6 日針對一隻已經危害全球各地許多電腦、名為Stuxnet的蠕蟲惡意程式提出嚴重警訊。該惡意程式的特徵是會自動自我複製,其主要攻擊目標是例如發電廠、煉油廠中的自動化生產與控制(SCADA)系統,同時SCADA系統的主要製造商西門子公司亦已警告客戶該隻惡意程式會藉由 USB設備和網路共享進行漫延。

趨勢科技資深技術顧問簡勝財指出,這是世界上首隻攻擊西門子SIMATIC WinCC與PCS 7系統的病毒,目的在取得WinCC SQL Server登入SQL資料庫的權限。其利用了微軟所公告一可允許遠端執行程式碼的MS10-046 Windows 系統漏洞進行散佈。建議用戶盡快更新部署,若無法立即更新者,可參考微軟所提供解決方法

簡勝財進一步表示若為趨勢科技的用戶,只要是病毒碼已經更新至7.353.00以上或在趨勢科技「主動式雲端截毒技術」(Smart Protection Network) 的保護下即能避免被攻擊。請參考: 搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊 。提醒民眾不要隨便在網路搜尋該病毒名稱「Stuxnet」,因為發現有駭客利用搜尋引擎優化的手段,將有內含病毒的網頁連結放在檢索結果之最前面幾筆以吸引點選,除非是受信任的網站否則切勿輕易點選連結。

Stuxnet 的一系列惡意程式,已經在全球各地造成許多感染。趁著 Stuxnet 的新聞熱潮,其他的網路犯罪者也發動了一波 Black_Hat SEO 搜尋引擎毒化攻擊行動,讓 Stuxnet 搜尋結果中的一些連結指向惡意網站,這些網站有些會下載假防毒軟體( Fake AV),有些則專門攻擊 JAVA、Flash、Windows、PDF 等等的漏洞。

Stuxnet 是一個蠕蟲型的惡意程式,可透過已感染的 USB 等可卸除式裝置進入電腦,專門攻擊 Windows Shell 當中的一個漏洞 (請參考 Microsoft 資訊安全公告 MS10-046)。此漏洞會讓惡意程式入侵一些所謂的「監控與資料擷取」(SCADA) 系統,如電力公司或能源煉解廠用來控制生產和營運的系統。

Stuxnet 的最主要目標是電力公司的 SCADA 系統,因此,SCADA 系統的主要製造商西門子 (Siemens) 已經對使用者發出此病毒的警告通知,因為它也會攻擊西門子的 WinCC 系統。

趨勢科技使用者只要是使用7.359.00 以上的病毒碼版本就能防止這項威脅,此外,也還可透過趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network)的檔案信譽評等服務來防止此攻擊相關的所有惡意程式執行。

趨勢科技強烈建議所有使用者務必安裝 Microsoft 的安全更新來防堵此漏洞。至於無法立即套用修補程式的使用者,Microsoft 也提供了一個替代方案,詳情請參考這篇文章

趨勢科技建議使用者養成下列二點習慣來防止電腦感染 Stuxnet 蠕蟲:

  • 在使用可卸除式裝置或提供給他人使用之前,務必先加以掃瞄,以防止惡意程式擴散
  • 僅從可信賴的來源取得 Stuxnet 的相關資訊

 

【防詐騙】您的貨運單是…詐騙!宅配公司發的不在府通知簡訊,夾帶病毒!揭穿網拍宅配包裹騙術

(⚠️詐騙警訊插播)


最近很多人收到「自用汽車及機車燃料使用費逾期徵收通知」簡訊裡面寫著:「汽燃費逾期徴收通知,您的 111年度汽燃費逾期金額2880元」。該詐騙連結點擊進入的網址看起來與監理服務網很像,如果不仔細辨明網址很容易因為怕被罰款,就被詐騙集團盜刷信用卡。

內政部粉專貼文提醒大家:
1、網址結尾並非政府網址的「gov.tw」。
2、每年7月才是汽燃費開徵的季節,且公路總局的簡訊中,會清楚「註明車牌號碼」與「特定監理所」。
3、監理服務網(https://www.mvdis.gov.tw)可查到是否有需繳費資訊。


您的貨運單號是XXX請透過連結查詢?假限制Apple帳戶詐騙簡訊!誤入連結小心Apple密碼和受信任號碼都被變更

近日有許多人收到「貨運查詢」的簡訊,點入後網頁卻無緣無故被警示「Apple Store帳戶被限制」要求你重新登入,這其實是釣魚網站,已經有民眾受害,輸入帳密後沒多久就發現Apple密碼以及受信任的號碼都被變。若以Android 安卓手機點擊網址,則會跳出「請下載並安裝最新版黑貓應用」的視窗,若強行關閉視窗後,將導向偽造的黑貓宅急便(統一速達)的網路釣魚網頁。

⚠️ 注意:宅配或貨運公司等物流人員傳送給收件人的簡訊中,不會附上任何連結,若簡訊中有提供單號,會提供完整單號,再請收件人自行上網查詢,並不會出現詐騙簡訊中「70****76」的* 符號。

⚠️ 注意:宅配或貨運公司等物流人員傳送給收件人的簡訊中,不會附上任何連結,若簡訊中有提供單號,會提供完整單號,再請收件人自行上網查詢,並不會出現詐騙簡訊中「70****76」的* 符號。


以下是最近的詐騙訊息:

您的貨運單號是70****76,請透過 hxxp://rherh.q**bc.com 查詢

收到上述訊息,請勿點選該連結,趨勢科技PC-cillin 雲端版 可成功阻擋該惡意連結,如果你已經不小心點選了該連結,請即刻PC-cillin 雲端版掃描你的裝置,以免夾帶病毒,伺機破壞。





跨平台的趨勢科技 PC-cillin,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險!
 PC-cillin 雲端版保護個資 ✓手機✓電腦✓平板,跨平台防護3到位➔即刻免費下載試用

繼續閱讀