病毒警訊 - 資安趨勢部落格

FBI警告：小心駭客假借15個品牌之名,投放 Google關鍵字廣告,散播 IcedID 殭屍網路

2022 年 12 月 29 日2022 年 12 月 29 日趨勢科技 TrendMicro

趨勢科技分析了某起利用 Google 點擊付費 (PPC) 廣告散播 IcedID 殭屍網路的惡意廣告,IcedID 能讓駭客執行高破壞力的後續攻擊來侵害系統，例如：竊取資料或使用勒索病毒癱瘓系統。

IcedID 殭屍網路假冒15個知名品牌及應用程式,刊登Google 點擊付費廣告, 散播惡意程式

在密切追蹤 IcedID 殭屍網路的活動期間，趨勢科技發現其散播方式出現重大改變。從 2022 年 12 月起，我們觀察到它開始在惡意廣告攻擊中使用 Google點擊付費 (PPC) 廣告來散播 IcedID。趨勢科技將此 IcedID 變種命名為「TrojanSpy.Win64.ICEDID.SMYXCLGZ」。

Google Ads 之類的廣告平台可讓企業瞄準特定對象投放廣告，以便衝高流量和提升買氣。使用惡意廣告來散播惡意程式的駭客集團就是利用這類機制，針對特定的關鍵字來投放惡意廣告，引誘不知情的搜尋引擎使用者下載其惡意程式。

趨勢科技的研究發現，IcedID 駭客集團會製作模仿合法企業與知名應用程式的冒牌網頁，然後再搭配惡意廣告來散播 IcedID 惡意程式。最近，美國聯邦調查局 (FBI) 發布一份警告指出網路犯罪集團如何利用搜尋引擎的廣告服務偽裝成合法品牌將使用者帶到惡意網站來獲利。

本文從技術面詳細說明 IcedID 殭屍網路的最新散播方式與使用的最新載入器。

繼續閱讀

警告！假 Windows 10 重大更新通知,夾帶勒索病毒

2019 年 11 月 22 日2019 年 11 月 22 日趨勢科技 TrendMicro

微軟從未透過電子郵件來發送更新。但有許多人並不知道，這也讓偽裝成Windows 10更新的新勒索病毒有機可乘。

你可能已經收到了一封關於「立即安裝最新的微軟更新！」或「重大微軟Windows更新！」的假通知，內文要求你「請安裝此郵件內附的最新微軟重大更新」。同時夾帶了一個看似 JPG的檔案，而實際上是一個可執行.NET檔案。

繼續閱讀

勒索病毒MongoLock變種不加密，直接刪除檔案，再格式化備份磁碟,台灣列為重大感染區

2019 年 01 月 17 日2019 年 02 月 01 日趨勢科技 TrendMicro

最近有兩隻令人矚目的勒索病毒,繼媒體報導專瞄準大企業,半年獲利近400萬美元的 Ryuk 勒索病毒後,新一波的勒索病毒MongoLock變種更狠, 會直接刪除特定目錄內的檔案, 中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。甚至會格式化並格式化可用的備份磁碟。

趨勢科技一直在關注新一波的MongoLock勒索病毒攻擊，這波攻擊會在感染時刪除檔案而非進行加密，並且會進一步掃描可用資料夾和磁碟來進行檔案刪除。此波勒索病毒從2018年12月開始出現，會要求受害者在24小時內支付0.1比特幣來取回據稱保存在駭客伺服器內的檔案。我們的監控資料偵測到200多個樣本，台灣、香港、韓國、英國、美國、阿根廷、加拿大和德國,是中毒數量最高的地區。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術能夠主動地封鎖此勒索病毒。

與一般先加密的勒索病毒不同，直接刪除重要資料，備份硬碟，再發勒贖通知

2018年9月的MongoLock攻擊也是針對安全設定較弱的資料庫。此外，我們發現這勒索病毒被放在PythonAnywhere上，這是基於Python的線上整合開發環境（IDE）和網頁託管服務。連到hxxp://update.pythonanywhere.com/d會下載可執行檔（update.exe），同時連到hxxp://update.pythonanywhere.com將使用者導到中文編寫的遊戲網站模擬頁面（PythonAnywhere已經了移除此網站）。駭客會經常地更改網站上的勒索病毒,使用hxxp://{user-defined}.pythonanywhere.com的主機可能都容易被濫用。

繼續閱讀