了解常見的web3詐騙,包含假空投、軟地毯騙局、盜版 NFT、假冒和網路釣魚,想投資加密貨幣一定要知道的防詐騙知識。在 Web3 的世界裡保持警惕,確保你的加密貨幣始終安全待在錢包裡。
本文轉載自 SecuX 的〈Most Common Web3 Scams and How to Avoid Them〉,由趨勢科技防詐達人編譯。
免責聲明:本文提供的資訊僅供教育用途,不應視為財務建議。
在 Web3 世界中,不斷出現各種新技術和機會,但並非都是正面的。這些創新裡也潛藏了一些惡意,他們試圖在web3的世界進行網路詐騙。在尚未受高度監管的 Web3 空間中,網路威脅是一個很重要的問題。無論你是 Web3 新手還是老手,先了解那些可能讓你措手不及的詐騙手法,可能是你是否能夠守護好數位資產的關鍵。
繼續閱讀惡意軟體(Malware) – 結合了惡意(malicious)和軟體(software),代稱了所有會影響電子裝置正常行為的有害軟體。惡意軟體可以感染各種類型的運算裝置。個人電腦(包括 Mac)、智慧型手機、平板電腦、伺服器等。基本上,只要裝置具備運算能力,就有可能會感染惡意軟體。
不同類型的惡意軟體會以不同方式運作,但一般而言,惡意軟體會經由誘使使用者點擊或安裝惡意程式來感染裝置。一旦安裝,惡意軟體就能夠進行許多惡意操作,包括:
這份列表絕不算詳盡。惡意軟體作者一直在找尋新方法來傷害使用者。
有許多不同類型的惡意軟體,包括:
病毒的散播方式都一樣 – 感染乾淨檔案,然後再散播到其他乾淨的檔案。病毒能夠刪除或破壞檔案及資料夾,快速不受控地進行散播,導致整個系統無法使用。
你可能會想知道“病毒和惡意軟體有什麼區別?”這個嘛,病毒只是惡意軟體的一種。因此,所有的病毒都是惡意軟體,但並非所有的惡意軟體都是病毒。
我們還有一系列關於病毒的文章,你一定會喜歡!
2.蠕蟲(Worm)
蠕蟲與病毒類似,但它不需要宿主來運行。蠕蟲可以在整個網路散播,進行自我複製並在散播時感染越來越多的裝置。
蠕蟲會利用軟體漏洞來竊取敏感資訊、損壞檔案、安裝後門程式並以許多其他方式造成傷害。
木馬程式是一種惡意軟體,它會將自己偽裝成合法程式,不讓使用者察覺其真實意圖。跟病毒或蠕蟲不同,木馬程式無法自我複製 – 它們需要由使用者安裝。
木馬程式通常隱藏在郵件附加檔中或作為免費下載的檔案提供。一旦使用者在不知情下安裝了惡意程式,其惡意程式碼就會執行並進行設定好的工作。
你可能已經猜到,間諜軟體可以讓網路犯罪分子監視他們的受害者。這類型的惡意軟體能夠讓犯罪分子取得受害者的個人資訊,包括使用者名稱、密碼、按鍵等等。
與其他惡意軟體相比,廣告軟體的危害最小,但它仍是種惡意軟體。廣告軟體會將廣告送到受害者裝置,為攻擊者帶來收入。
雖然它的危害性相對較小,但廣告軟體經常與其他惡意軟體綁在一起,它產生的廣告也經常成為其他惡意軟體感染系統的快速管道。
雖然殭屍網路(botnet)在技術上並不是惡意軟體,但它可能帶來災難性的後果。殭屍網路是由受感染電腦所組成的網路,接受網路犯罪分子控制來共同完成工作。它們被用來對網站或其他系統進行分散式阻斷服務(DDoS)攻擊。
延伸閱讀:
電腦中毒了怎麼辦?有何症狀?如何預防?
該花錢買防毒軟體嗎?網友推薦的免費防毒,防護力夠嗎?手機也要防毒嗎?
可以同時安裝兩套防毒軟體嗎?
手機會中毒嗎? 手機需要防毒軟體嗎?
10個電腦中毒症狀,懷疑電腦中毒該怎麼辦?
為何要定時清除快取和cookie? 跟電腦變慢有關嗎?
如何知道你的手機中毒了?iPhone 還是資安模範生嗎?什麼是鍵盤側錄器(keylogger)? 你的按鍵被監控了嗎?鍵盤側錄器進入電腦的四個管道
原文參考出處:What Is Malware and How Does It Work? 作者:Michael Mundell
趨勢科技分析了 RURansom 這個專門攻擊俄羅斯的惡意程式變種。由於名字的關係,這個一開始被認為是勒索病毒 Ransomware (勒索軟體)的惡意程式,在分析之後發現其實是個資料清除程式。
俄羅斯與烏克蘭的地面衝突現在也延燒到了網路世界。兩國雙方目前都遭到了一波波的網路攻擊,一個新的資料清除程式最近也加入了攻擊俄羅斯的行列。
3 月 1 日,一則來自 MalwareHunterTeam 有關某個疑似勒索病毒變種的 Twitter 訊息引起了趨勢科技的注意,我們立即著手展開分析。我們還另外找到幾個此惡意程式的樣本,其開發者將它命名為「RURansom」。儘管名稱看起來像勒索病毒,但經過分析之後顯示這其實是個資料清除程式,並非勒索病毒,因為它會所加密的檔案不可能回復。
繼續閱讀Kinsing附帶了數個shell腳本。這些shell腳本負責下載和安裝、移除或反安裝各種資源密集型服務和程序。這篇文章會重點介紹rootkit組件的作用。
我們上一次討論Kinsing惡意軟體是在2020年4月,當時我們分析其基於Golang的Linux程式會針對設定不當的Docker Daemon API端口植入虛擬貨幣挖礦程式。
隨著Shell腳本以及Linux惡意後門和程式的不斷發展,Kinsing作者會持續跟上腳步也不足為奇了。在本文中,我們會討論惡意軟體變種當前的功能,包括加入更難被受感染機器偵測到的功能。與Trident惡意軟體使用rootkit來隱藏虛擬貨幣挖礦程式的作法類似,Kinsing也整合了會預載程式庫的使用者模式rootkit。
惡意軟體本身附帶了數個shell腳本。這些shell腳本負責下載和安裝Kinsing後門程式,挖礦程式和rootkit,以及移除或反安裝各種資源密集型服務和程序。這些腳本與前面文章裡討論的腳本類似。這篇文章會重點介紹rootkit組件。
部署shell腳本的第一步是移除/etc/ld.so.preload(如果存在)。
這/etc/ld.so.preload檔案會在開機時將共享物件或程式庫路徑列表載入每個使用者模式程序,早於任何其他的共享程式庫 – 包括C執行時期程式庫(libc.so)。各Linux發行版本預設不會存在該檔案。因此,必須特意去建立。
繼續閱讀檔案掃描程式的加強讓惡意軟體作者選擇跳脫原本傳統惡意軟體的安裝行為。惡意軟體將自己複製到惡意程式碼內所指定的位置,再利用持續性策略(像是加入自動啟動功能以確保自己持續運作)的做法已經不再足夠。檔案掃描程式可以輕易地封鎖和偵測這些威脅。
趨勢科技注意到的一個手法是利用無檔案惡意軟體。跟大多數惡意軟體不同,無檔案惡意軟體將自己隱藏在難以掃描或偵測的位置。無檔案惡意軟體只存在於記憶體中,並直接寫入記憶體而非目標電腦的硬碟上。POWELIKS是一個無檔案惡意軟體的例子,它可以將惡意程式碼隱藏在Windows註冊表中。利用一個傳統惡意軟體將惡意程式碼加入註冊表內。
在2014年8月,POWELIKS 的閃躲技術及使用Windows PowerShell 讓它被視為可能出現在未來攻擊的危險工具。
無檔案感染技術的成功(可以從2014年後期出現的POWELIKS感染高峰看出)讓其他惡意軟體作者也想要跟著仿效。在本文中,我們將討論另一個知名的惡意軟體也具備無檔案感染行為。
Phasebot,源自Solarbot
另一個無檔案惡意軟體的例子是「Phasebot」,趨勢科技發現它出現在販賣惡意軟體和其他惡意線上工具的網站上,被自稱是惡意軟體的創造者加以兜售。我們將 Phasebot偵測為TROJ_PHASE.A。Phasebot 同時具備 rootkit和無檔案執行能力。
趨勢科技注意到這個惡意軟體和Solarbot有著相同的功能,這個舊「Botnet傀儡殭屍網路」程式第一次出現是在2013年底左右。當我們比較販賣這兩個惡意軟體的網站後就可以看得更加清楚。
圖1、比較Solarbot(上)和Phasebot(下)網站