黑洞漏洞攻擊垃圾郵件(Black Hole Exploit Kit spam)

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

2013 年 03 月 28 日2013 年 06 月 28 日 Trend Labs 趨勢科技全球技術支援與研發中心

在趨勢科技的二〇一三資安預測裡，我們提到傳統的惡意軟體會專注在加強現有的武器，而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上，我們最近發現了一起黑洞漏洞攻擊包（Blackhole Exploit Kit :BHEK）會利用一漏洞攻擊碼（趨勢科技偵測為JAVA_ARCAL.A）來攻擊最近被修補的CVE-2013-0431。

如果使用者還記得，這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題。

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時，會被重新導向到數個網站，最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼（以及後續的行為）到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本 — 圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試，這BHEK程式碼會檢查某些版本的Adobe Reader，讓它下載並執行一個惡意PDF檔案（被偵測為TROJ_PIDIEF.MEX），並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本，接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析，TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊，包括Chrome、Mozilla Firefox和Internet Explorer。最後，這BHEK程式碼將連上下列的惡意網頁，想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊 — 圖二、感染鏈的最終目標網頁

從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料中，我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國，其次是墨西哥。這很讓人驚訝，因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

繼續閱讀

冒用美國銀行、花旗銀行、PayPal、亞馬遜（Amazon）、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

2012 年 07 月 03 日2012 年 06 月 26 日趨勢科技 TrendMicro

冒用美國銀行、花旗銀行、PayPal、亞馬遜（Amazon）、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

一樣的手法，更多樣化偽造的對象：目前的黑洞漏洞攻擊垃圾郵件(Black Hole Exploit Kit spam)

如同趨勢科技在之前文章所提到的，有一連串黑洞（Black Hole）垃圾郵件(SPAM)攻擊持續地在肆虐著，這些攻擊通常一開始來自垃圾郵件(SPAM)，裡面夾帶了指向已被植入漏洞攻擊碼的淪陷網站連結,藉以將ZeuS 木馬變種安裝到使用者電腦上以竊取敏感資料。這篇文章主要是更新當下黑洞漏洞攻擊垃圾郵件垃圾郵件(SPAM)的活動狀況。黑洞漏洞攻擊垃圾郵件(SPAM)已經出現好一段時間了。直到目前為止，它依然是十分的活躍。這些垃圾郵件攻擊對於那些被冒名的組織、入侵淪陷網站的經營者還有那些受到這些網路釣魚（Phishing）攻擊的使用者來說，都是嚴重的問題。不過我們透過分析大量資料加上趨勢科技主動式雲端截毒服務 Smart Protection Network所提供給使用者用來解決這些垃圾郵件(SPAM)的方法，仍然可以有效地偵測並抓到這些攻擊者發送的郵件。

黑洞漏洞攻擊垃圾郵件的變化

趨勢科技最近注意到，惡意份子除了繼續使用著之前的相同的策略外，又新利用其他正常組織做為幌子來發送垃圾郵件。具體來說，他們的垃圾郵件(SPAM)會假冒成合法電子郵件，以誘騙使用者點擊郵件中的連結。攻擊者一開始會透過含有入侵淪陷網站連結的垃圾郵件(SPAM)，將使用者重新導到藏有惡意軟體的網站。就像前面所說，不同的是被用來做為幌子的組織變多了。

最近的攻擊活動有著多樣化的幌子

下表是最近發生過的攻擊潮，包括被黑洞漏洞攻擊垃圾郵件(SPAM)所冒用的組織名稱以及日期：

日期	組織
五月29日	美國銀行（Bank of America）威訊（Verizon）
五月30日	PayPal 花旗銀行（Citibank）
五月31日	Monster Windstream
六月一日	Century Link Detroit Basketball The HoneyBaked Ham Company Ticketmaster LinkedIn
六月三日	美國聯邦儲蓄系統（The Federal Reserve System）
六月四日	威訊（Verizon）
六月五日	亞馬遜（Amazon） AT&T PayPal
六月六日	AT&T 花旗銀行（Citibank） Craigslist 惠普（Hewlett-Packard）
六月七日	LinkedIn

感染鏈範例

下圖是黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT＆T和PayPal進行攻擊的感染鏈。這只是一個範例，用來描述我們的專家所追蹤的大規模垃圾郵件攻擊，並且當攻擊發生時推出解決方案：

想要解決黑洞漏洞攻擊，最好是專注在感染點。既然電子郵件是最初的起點，那麼偵測這些網路釣魚（Phishing）就是種有效的方式去打擊這種威脅。

＠原文出處：Same Operation, Diversification of Targets Being Spoofed: Current Black Hole Exploit Kit Spam Runs作者：Sandra Cheng（產品經理）和Jon Oliver（資深技術總監）

@延伸閱讀

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

【立即下載試用PC-clin 2012 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】

@參考推文
雲端系！史上最強防毒軟體現身
 看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

2012 年 05 月 25 日2014 年 04 月 02 日趨勢科技 TrendMicro

在黑洞垃圾郵件（Black Hole Exploit Kit spam）肆虐下保護使用者

因為有一連串黑洞（Black Hole）垃圾郵件(SPAM)攻擊持續地在肆虐著，趨勢科技也一直在追蹤和調查這起利用黑洞漏洞攻擊（Black Hole Exploit）來攻擊使用者的威脅。這些攻擊通常一開始來自垃圾郵件(SPAM)，裡面夾帶了指向淪陷網站的連結，接著將使用者重新導向到放有上述漏洞攻擊碼的惡意網站。結果是將ZeuS 木馬變種安裝到使用者電腦上以竊取敏感資料。

趨勢科技針對黑洞垃圾郵件攻擊的解決方案

如果只針對黑洞漏洞攻擊包(Black Hole Exploit Kit spam)感染瞬間，當惡意軟體開始被下載的時候，那防護可能是不夠的。趨勢科技進而專注在攻擊的開始階段。因為電子郵件是威脅的起點，所以需要一開始就做出偵測，避免網路釣魚（Phishing）電子郵件送給使用者來誘騙他們點擊了會導致下載惡意軟體的網址。

趨勢科技建立了一套系統，會利用巨量資料分析加上趨勢科技主動式雲端截毒服務 Smart Protection Network ，在攻擊發生時找出獨特的資訊，所以可以快速地建立解決方案。一旦這些攻擊細節被關聯分析出來，就會將對應的解決方案透過主動式雲端截毒技術來保護客戶。

從攻擊起點來深入黑洞漏洞攻擊

解決這威脅的最初困難點來自被入侵淪陷的網站。這些淪陷網站的所有者需要不斷清理地這些淪陷網站。但是，這些淪陷網站依然還有漏洞存在，仍然可能被用在下一波的攻擊。

在過去幾個禮拜內，黑洞漏洞攻擊的相關活動利用社交工程陷阱( Social Engineering)來展開攻擊，利用知名公司像是LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder作為誘餌。我們看到幾個非常聰明的樣本，都是精心製造的網路釣魚（Phishing）以獲取使用者的信賴。這些郵件的格式和措辭都和這些公司的正式郵件一模一樣。這也是為什麼這些郵件很難用傳統方法加以偵測。