駭客利用 YouTube 散布竊資軟體!假借破解軟體之名,暗藏惡意連結於影片說明與留言中,企圖躲避資安軟體偵測。 趨勢科技的研究顯示,駭客利用影音平台,再配合人們信任的檔案代管服務來散播假的軟體安裝程式,並以加密躲避偵測,竊取敏感的瀏覽器資料。
重點摘要
Raccoon是在2019年4月崛起的惡意軟體即服務(MaaS)。儘管Raccoon的功能簡單,但卻在網路犯罪分子之間廣為流行,且在一份惡意軟體流行度報告中被稱為地下論壇裡值得注意的新興惡意軟體。
此惡意軟體可以竊取登錄帳密、信用卡資訊、虛擬貨幣錢包及瀏覽器資訊。 Raccoon具備了基本的資訊竊取功能,而事實證明積極的行銷加上良好的整體使用者體驗足以彌補其不足之處。該服務也相對地便宜,價格從每週75美元到每月200美元不等。
它能夠利用各種交付技術(如漏洞攻擊套件、網路釣魚或和其他惡意軟體綁在一起)到達系統。我們在本文中調查了使用漏洞攻擊套件Fallout和Rig的攻擊活動,同時看到其用Google Drive作為躲避偵測的手段之一。
漏洞攻擊套件
我們在2019年7月和10月記錄到Rig漏洞攻擊套件及兩起Fallout漏洞攻擊套件案例會植入Raccoon竊取病毒。下表總結了這三起案例的感染鏈。
繼續閱讀趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。
ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。
值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。
我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。
殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒
ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 繼續閱讀
捷徑(LNK)檔越來越被網路犯罪分子所愛用。趨勢科技已經看到許多威脅利用惡意LNK檔案:從知名的勒索病毒家族、常用於針對性攻擊的後門程式,以及銀行木馬,一直到垃圾郵件,甚至是針對LNK本身漏洞的攻擊碼。這些惡意威脅通常會利用合法工具讓情況變得更嚴重,如濫用PowerShell或是腳本自動化工具AutoIt。所以當我們在以色列醫院偵測到有資料竊取程式利用LNK檔也就絲毫不奇怪了。
醫療機構被認為是網路犯罪分子的搖錢樹,因為具備了利潤豐厚的來源 – 擁有可以在地下市場貨幣化的個人身份資料。經過初步調查顯示,任何瀏覽器相關資訊(如登錄憑證)都可以被偷走,這對可以用瀏覽器操作的管理系統和應用程式來說相當重要。
趨勢科技看到它試圖進入系統和區域網路內的分享資料夾。另一個值得注意的是,它結合了蠕蟲的散播能力以及隱身能力。
趨勢科技分析仍在進行中,當我們找到關於此威脅的詳細資訊將會持續更新本篇文章。下面是目前所知的資訊:
透過蠕蟲散播。惡意軟體的初步分析顯示會透過蠕蟲散播。它將自己(包括捷徑檔、非惡意可執行檔AutoIt,以及惡意AutoIt腳本)複製到中毒系統的根目錄 – C:\WinddowsUpdated\<file copy>。
偽裝成Windows更新。該捷徑檔偽裝成瀏覽器和Windows更新程式,網頁3D製作工具,並鏈結到系統的下載和遊戲資料夾。 繼續閱讀
