資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

海盜灣（The Pirate Bay）用採礦程式生成門羅幣（Monero）

2017 年 09 月 24 日2017 年 09 月 21 日趨勢科技 TrendMicro

海盜灣（TPB）或許是最熱門的種子代管網站，常被用來下載軟體和影音檔 – 許多都是非法的。不過使用者可能會付出比預期要多的代價，因為該網站被發現會利用訪客電腦來開採門羅幣（Monero）作為額外的收入。

在一篇部落格文章中，網站管理員提到他們正在測試一種JavaScript採礦程式好產生足夠收入以擺脫所有的網站廣告。該文章還提到程式碼內的一個小錯誤會導致用到訪客電腦的所有運算能力。這已經被修正到只允許使用20-30%。使用者在網站上找到指向Coinhive服務的程式碼，這是海盜灣（TPB）所使用的採礦程式。

網友對這舉動的反應很兩極，有些使用者讚許這是可以賺取更多收入的方法，而另一些使用者對於電腦資源在不知情下被使用而反感。總的來說，大多數使用者都認為海盜灣（TPB）應該在採礦程式的使用上更加透明，並給予使用者是否志願提供運算資源的選擇。

不過海盜灣（TPB）會選擇門羅幣也是件有意思的事情。數位貨幣本身是合法的，但它也被捲入最近的惡意軟體攻擊。早在五月份，Adylkuzz木馬程式（趨勢科技公司偵測為TROJ_COINMINER.WN）利用EternalBlue漏洞（跟WannaCry所用的一樣）竊占使用者資源來挖掘門羅幣。近來跟數位貨幣有關的惡意軟體一直在增加，因為相對於傳統貨幣的便利性和匿名性，讓它們成為受網路犯罪分子歡迎的目標。繼續閱讀

《 EITest攻擊活動》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式

2017 年 09 月 23 日2017 年 11 月 30 日趨勢科技 TrendMicro

趨勢科技發現惡名昭彰的EITest攻擊活動利用技術支援詐騙這種社交工程手法來散播JavaScript（JS）數位貨幣採礦程式（趨勢科技偵測為HKTL_COINMINE）。會冒充技術支援服務來欺詐不知情的受害者，騙他們電腦感染了惡意軟體，需要付費解決。

EITest攻擊活動主要是利用受駭網站進行。它的活動可以追溯到2014年，曾經使用Angler漏洞攻擊套件來散播勒索病毒。從2017年1月起，它轉向利用“HoeflerText”（一套受歡迎的字型）網路釣魚攻擊或技術支援詐騙。在一個月的時間內，我們發現了990個受駭網站被注入惡意腳本，將潛在受害者轉向到技術支援詐騙網站。不過最近他們將Coinhive JS採礦程式加入攻擊行動，將受害者電腦轉變成門羅幣礦工。分析結果還顯示這個JS數位貨幣採礦程式跟“Pirate Bay（海盜灣）”網站上所發現的“Coinhive”JS採礦程式是同一個。

延伸閱讀:電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財!

圖1：觀察Coinhive相關流量的時間表

註：我們看到ElTest在9月19日開始加入數位貨幣採礦（紅色圈圈處）。

圖2：EITest技術支援詐騙的受害國家分佈

攻擊鏈

當使用者訪問受駭網站時，網站會透過HTTP請求的使用者代理資訊來識別瀏覽器類型。如果使用者用的是Chrome瀏覽器，就會直接向網頁注入釣魚網頁腳本。我們最初的測試顯示攻擊不會影響Firefox。繼續閱讀

三年來攻擊韓國能源及交通產業的OnionDog 「洋蔥狗」行動,原來是網路安全演習

2017 年 09 月 23 日2017 年 10 月 02 日趨勢科技 TrendMicro

疑似由北韓人士主導的攻擊事件，成為熱門資安研究主題。例如，據部分報導指出，惡名昭彰的 2014 年索尼影業駭客攻擊事件是北韓的攻擊者所為。許多人也對 Lazarus 很感興趣，據稱 Lazarus 是與北韓有關的集團組織，針對一些全球性銀行展開攻擊，企圖竊取龐大的金額。

在本篇文章中，我們將探討幾場較小規模的攻擊事件。據稱這幾場攻擊事件的行動組織連續攻擊韓國能源及交通行業的重要目標，為時三年以上，這些攻擊被稱為 OnionDog。我們進行了更為徹底的查證，並獲得了有趣的結論：OnionDog 並非鎖定目標的攻擊，而是一場資安演習。

為時三年以上的，並非鎖定目標的攻擊，而是網路安全演習

OnionDog 首次於 2013 年出現。在 2016 年，有關 OnionDog 的報導指出，它們可能是 2013 年韓國能源及運輸公司攻擊事件的幕後黑手。我們已知約 200 件 OnionDog 獨特樣本，乍看之下，它看來像是規模小，但仍具有影響力的攻擊組織。

Qihoo 360 的 Helios Team 提出一份報告，非常詳細地分析了 OnionDog。這份報告包含 OnionDog 的入侵指標 (IoC)，例如惡意檔案的雜湊 (hash)，以及八個特定的命令及控制 (C&C) IP 位址，而這些 IP 位址確實是受到惡意程式感染電腦的回呼位址。攻擊者的目的看似並無惡意，只是為了記錄哪些目標成為這場網路安全演習的受害者。趨勢科技查找了這八個 IP 位址的網域解析歷程，獲得資訊如下：繼續閱讀

Piriform CCleaner 被駭客植入惡意後門程式

2017 年 09 月 22 日2017 年 09 月 22 日趨勢科技 TrendMicro

相關資訊 :

據報導指出著名的系統清理軟體CCleaner.exe遭駭客入侵並植入多階段後門，可能導致安裝該軟體的電腦被操控貨資料外洩。以下為CCleaner受影響的版本 :

CCleaner version 5.33.6162
CCleaner Cloud version 1.07.3191

趨勢科技產品已經可以偵測受影響的CCleaner，並將之偵測為BKDR_CCHACK.A

散布方式 :

受影響的CCleander是直接透過 Piriform 的網站來進行散布。駭客作者將惡意程式碼植入該程式後，再讓一般未警覺的使用者下載並進行安裝，進而控制受害者的電腦。由於該程式經過合法的數位簽署，一般使用者難以察覺該惡意程式在背後偷偷的運作。

本機雲端病毒碼 :

趨勢科技13.669.00與之後的病毒碼將之偵測為BKDR_CCHACK.A

網頁信譽評等服務 :

網頁信譽評等服務將評估所有發起URL的http請求可能的潛在風險，並依照從雲端資料庫所查詢到的評等與產品中的安全性等級設定來進行攔阻。

IT管理者建議採取方案 :

更新CCleaner至最新版。(受影響的版本為5.33.6162)
透過如 Deep Discovery Inspector等網路監控產品監控所有可疑的對外連結。若有發現對外有連結至C&C伺服器，代表已有電腦受到感染。
避免讓使用者自行下載安裝網路上的任何未經允許的軟體。IT管理人員可利用TrendMicro Safe Lock或是Trend Micro Endpoint Application Control控管軟體掌控電腦中運行的應用軟體、檔案或程序。
教育使用者正確的資安觀念與意識，讓使用者充分了解自行下載安裝程式所造成的風險與危害。

詳細資訊請參考External KB