網路釣魚利用瀏覽器擴充套件SingleFile 複製合法網站, 避免被偵測

網路釣魚靠著冒充身份來引誘毫無防備的受害者下載檔案或點入連結的簡單概念,成為網路犯罪歷久不衰的手法,不過網路釣客使用的策略已經越來越加複雜。趨勢科技近日發現有利用合法工具SingleFile作為混淆手法,避免偵測的網路釣魚活動。

網路釣魚利用瀏覽器擴充套件SingleFile 複製合法網站, 避免被偵測

SingleFile是Google ChromeMozilla Firefox的擴充套件,讓使用者能夠將網頁另存成單一的HTML檔案。雖然瀏覽器可以讓使用者將網頁儲存為「.htm」文件,但這通常代表會為網頁內的所有檔案建立多個資料夾。SingleFile簡化了儲存網頁及所有檔案的流程,可以應用在各種情境,如儲存整個網站。但它對駭客來說也一樣有用,因為我們發現駭客會利用SingleFile來混淆網路釣魚攻擊。

Figure 1. Tool options for the Chrome version of SingleFile

圖1. Chrome版SingleFile的工具選項

我們看到的樣本顯示網路犯罪份子用SingleFile複製合法網站的登入頁面進行網路釣魚活動。產生登入頁面的方法很簡單:

  • 攻擊者連上要仿冒的網站登入頁面(我們所看到樣本是金流服務網站Stripe)。
  • 接著用SingleFile儲存並產生包含整個網頁的檔案,包括了所有的圖片(儲存為svg檔)。

儘管這手法很簡單卻非常有效,因為它實際上產生了跟原始登入頁面完全相同的版本。

繼續閱讀

【手機病毒】XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

XLoader變種會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。

新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。

XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變,其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD),是之前對此惡意軟體家族進行研究後的最新版本。

感染鏈

此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播,但我們已經看到許多使用者收到了簡訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-1-Screenshot-of-a-fake-website-that-hosts-XLoader-640x480.jpg

圖1. 託管XLoader的假網站截圖

在之前,XLoader能夠在電腦上挖掘虛擬貨幣,並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。

繼續閱讀

趨勢科技共同成立的工業物聯網公司 TXOne Networks

預先展示工業機械資安解決方案

全新的工業入侵防護 (Industrial IPS) 解決方案,結合了趨勢科技與 Moxa 的技術結晶,專門保護不易防護的裝置與智慧工廠。

【2019年4月8日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 與工業通訊及網路領導廠商 Moxa 預先展示第一套合作開發的資安解決方案。這套全新的工業入侵防護 (Industrial IPS) 產品目前仍在測試版階段,可讓營運技術 (OT) 環境偵測及攔截軟體漏洞攻擊,並提供網路行為白名單控管。該產品於上周在德國所舉辦的漢諾威工業展 (Hannover Messe) 中亮相。

擁有 TXOne Networks 多數持股的趨勢科技,其執行長陳怡樺表示:「很高興我們能在雙方正式合作的短短五個月內就展示我們針對保護工業環境資安弱點而設計的解決方案。我們一直認真傾聽製造業領導廠商與關鍵基礎架構營運商的需求,然後再結合我們兩家公司最頂尖的智慧財產,其具體的成果就是一套超越傳統資安工具、能夠解決複雜挑戰的客製化解決方案。」

繼續閱讀

【網路釣魚 】「Soula」偽造搜尋引擎登入畫面,針對韓國網站發動水坑攻擊,竊取帳密

趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密,至少有四家韓國網站受害,包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒,但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動(偵測為Trojan.HTML.PHISH.TIAOOHDW)會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器,所以我們認為駭客還在研究與收集資訊的階段。

攻擊行為

「Soula」針對韓國網站發動水坑攻擊竊取帳密

圖1、 Soula的攻擊鏈。

我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字,以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面,這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體),過濾掉bot爬蟲及威脅引擎掃描程式。

設置 cookie 計算訪問次數 ,掩蓋惡意行為

該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhoneiPadiPodiOSAndroid等字串,以確認使用者是用桌機或行動裝置,好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為,它會設置cookie來計算訪問次數,並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。

繼續閱讀

「 快到了嗎? 」如何透過 Google Map 快速救援路痴朋友?

有時候已經和朋友約好出遊時間,但是等到快要出發了卻遲遲未見朋友的蹤影,接著就會開始瘋狂連環call好友「你快到了嗎!!!」不知道大家有沒有這種困擾呢?

以往我們等待朋友的時間總是過得特別漫長,在沒辦法知道對方確切位置的情況下,只能透過電話或通訊軟體互相聯繫。不過,現在身為有路痴朋友的麻吉們有福啦!Google Map推出一個「共享位置資訊」的新功能,可以與好友即時分享彼此的位置, 也可以同步顯示目前導航的行程進度,簡單方便就可以讓你知道路痴朋友目前的即時動向,當他們迷路時就可以派上用場即刻救援囉~

今天就跟著 趨勢科技3C好麻吉 的腳步,把這個好用的新功能學起來吧!

Google Map共享「即時位置資訊」功能的三大特點

  • 免下載定位APP,即可共享行程位置!可以將位置資訊直接分享給擁有Google帳號的好友們,或是透過第三方應用程式(Line、Facebook、WhatsApp…)分享位置連結給好友哦~
繼續閱讀