中正大學犯罪研究中心昨公布今年上半年的治安民調,民眾對「警察維護治安工作」滿意度再創歷年新高達73.7%之滿意度。近期警方迅速偵破震驚社會的台鐵爆炸案以及跨國駭客盜領一銀ATM鉅款案,致本次調查呈現出民眾相當滿意警察維護治安工作的能力,故滿意度趨勢仍持續上升。 繼續閱讀
這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮
繼會偷偷幫你點色情廣告,讓你手機帳單暴增和假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身,遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。
《Pokemon GO》手機遊戲如旋風般橫掃全球,網路犯罪集團早就盯上這波熱潮,連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現,趨勢科技將它命名為:Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇,然而在經過仔細研究之後,我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。
在受害電腦上建立網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上
開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組。此外,駭客還透過修改系統登錄的方式,讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時,它還會在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上。
執行檔複製到可卸除式磁碟時,就會自動執行《Pokemon GO》寶可夢勒索病毒
當這執行檔是複製到可卸除式磁碟時,它還會順便建立一個自動執行 (autorun) 檔案,這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟,則會複製到磁碟的根目錄。歹徒透過這樣的方式,讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。
研究人員表示,有多個跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。
根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看,它似乎是針對阿拉伯語系的國家而開發,勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此,其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思),這似乎也透露出程式開發者的國籍。
Hidden Tear 釋出原始碼時闡明僅供教育用途,不得用來開發勒索病毒,但… 繼續閱讀
2016夏季奧運的安全指南
奧林匹克這樣的全球運動賽事,一向是網路犯罪集團的最愛。對他們來說,沒有什麼比奧林匹克更適合用於垃圾郵件、網路釣魚或社群媒體詐騙的題材。奧運是一項真正全球化的運動競賽,因此以奧運為題材的網路攻擊也將行遍全球。
從網路犯罪分子的角度來看,以超級盃為題材的網路攻擊,除了美國之外無其他地區適用。以世界盃足球賽為題材的攻擊,則除了美國之外,幾乎全球適用。反觀以奧林匹克運動會為題材的網路攻擊,卻是全球通用,就連南極洲也肯定有一些忠實的觀眾。
巴西因為主辦2016年夏季奧運會而再次成為體育世界的焦點。巴西舉辦2014年世界杯足球賽的成功證明他們具備舉辦國際賽事的能力,也可以看出網路犯罪分子會去利用如此重大活動的潮流及能力。
像國際賽事這類重大活動往往也會引來社交工程攻擊或導致身份竊盜詐騙的惡意活動,證據就是在2014年看到一大堆跟世界杯足球賽有關的詐騙活動或惡意應用程式。
之前在2012年所舉辦的奧運會也是出現了相應的網路犯罪活動。攻擊者知道體育愛好者在這緊張興奮的重大活動時更容易中招,因為世界各地的粉絲都會在網路上訂位買票,再加上蜂擁而來的遊客可能並不熟悉東道國的語言或是風俗。
有各式各樣可能的陷阱 – 假的網路機票特賣,垃圾郵件和惡意軟體出沒的串流網站是最常見的威脅。我們可以預見今年的巴西賽事也會出現相同的攻擊,甚至更多。巴西駭客以專門從事銀行詐騙而著名,因為該國法律對於網路犯罪相當寬鬆。 繼續閱讀
針對內容管理系統 (CMS) 漏洞的自動化攻擊,訪客將感染 CryptXXX 勒索病毒
7 月 19 日,許多企業網站都因遭到駭客入侵而開始散布勒索病毒 Ransomware (勒索軟體/綁架病毒),所有瀏覽這些網站的訪客全都遭殃。根據報導,瓜地馬拉官方旅遊網站 Dunlop Adhesives 以及其他正常的網站都遭到同樣的攻擊。
根據報導,這些網站都遭到了某個稱為 SoakSoak 的Botnet傀儡殭屍網路或類似專門針對內容管理系統 (CMS) 漏洞的自動化攻擊。這些受到攻擊的網站會將訪客導向某個惡意網站,惡意網站會試著在使用者電腦上安裝 2016 年 4 月首次被發現的 CryptXXX 勒索病毒家族,此病毒具備反制虛擬機器與反制資安軟體分析的躲避偵測功能。
SoakSoak 殭屍網路在找到含有未修補漏洞的網站之後,就會在網站中插入重新導向的腳本程式碼,藉此將訪客重導至另一個含有 Neutrino 漏洞攻擊套件的網站,這是一個地下市場上販賣的「商用」惡意程式安裝套件。
在這次的最新案例當中,Neutrino 漏洞攻擊套件會檢查端點裝置是否安裝了任何資安軟體或 Flash Player 除錯工具。根據該部落格的說法,若裝置上未安裝這些程式,攻擊套件就會開啟一個指令列介面程式 (command shell) 並透過 Windows Script Host 腳本執行程式從其幕後操縱 (C&C) 伺服器下載勒索病毒到電腦上。
當正常網站遭到毒化
這樣的手法早已不是什麼新聞,駭客一直在利用各種惡意廣告來駭入正常網站,並利用其他技巧來將使用者引導至漏洞攻擊套件。遭到駭客入侵的網站會將使用者重導至含有漏洞攻擊套件的網站。在大多數情況下,駭客之所以能輕易駭入這些網站,是因為其伺服器使用的是含有未修補漏洞的 CMS 軟體。2015 年 11 月,趨勢科技即曾經撰文揭露第一個利用 Angler 漏洞攻擊套件經由遭到入侵的網站感染訪客電腦的 ElTest 攻擊行動。我們發現,該行動至少成功入侵了 1,500 個網站,並且利用這些網站來散布 Cryptesla 勒索病毒 (趨勢科技命名為:RANSOM_CRYPTESLA.YYSIX)。ElTest 攻擊行動通常會在其駭入的網頁當中插入一個 SWF 物件,此物件會載入一個 Flash 檔案並在網頁安插一個隱藏的 iFrame 來將使用者重導至含有漏洞攻擊套件的網站。
ElTest 並非唯一專門針對網站漏洞的攻擊行動,我們還見過許多其他的行動專門攻擊採用 WordPress、Joomla 及 Drupal 這類知名內容管理系統的網站。遭到入侵的網站大多是因為使用了含有未修補漏洞的內容管理系統或第三方熱門附加元件。
《資安新聞周報》抓寶別用常用帳號/ 抓寶可夢竟有假 GPS 定位?!/性感臥底駭客,非法獲利逾七億台幣
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
道館強得不像話?《Pokémon Go》官方準備出手解決! 自由時報電子報
瘋抓寶可夢 當心個資外洩 自由時報
Pokémon GO 玩家兩大痛點:PokéStop 無故消失、道館被駭寶可夢等級超高 INSIDE
寶可夢台灣上線 這些安全警告要注意 今日新聞網
喪志分神易洩密 福斯汽車禁員工抓精靈 台灣蘋果日報網
避免個資全都露 抓寶別用常用帳號 聯合報
延伸閱讀:
- 假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增
- 給《Pokémon Go 精靈寶可夢》玩家的五個安全祕訣
- 抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥 ,僅 11%非惡意
趨勢科技CLOUDSEC線上調查:亞太地區不到一成企業 真正了解網路攻擊的運作 電腦硬派月刊
趨勢科技Deep Discovery入侵偵測系統,獲資安機構NSS Labs 推薦偵測率高達99.8% T客邦
Samsung Pay 驚爆漏洞!駭客遠端就能偷信用卡資料! 自由時報電子報
遙控解鎖安全缺陷 影響全球1億輛汽車 中央廣播電臺
資安周報第35期:一場機器人和人類的對決,人類真的贏了嗎? iThome
首個以人工智慧對戰的駭客競賽結果出爐 iThome
教電腦互相攻擊 竟獲六千萬台幣獎金 聯合新聞網
澳洲人口普查網路遭駭 中國廣播公司全球資訊網
即時通訊是否加密 LINE上鎖圖示提醒 今日新聞網
延伸閱讀
定期改密碼最安全?專家:帳戶更容易被破解! 自由時報電子報
性感女駭客竊8.8億 在泰國被逮 台灣蘋果日報
駭客竊晶片信用卡密碼 盜領ATM自動吐鈔 tvbs新聞網 繼續閱讀