資安專家發現,由美國政府贊助,提供弱勢民眾使用的Android 手機,不幸出廠時被預裝了兩款惡意軟體。資安廠商 Malwarebyte 的專家日前撰文指出,他們發現一款由美國政府出資捐助,提供弱勢階級用戶使用的 Android手機,不幸出廠時就被預裝了兩款惡意軟體。
被指出預裝惡意軟體的Android 手機,廠牌型號是 UMX U683CL,透過維京集團旗下電信業者 Assurance Wireless 所出售,由美國政府的生命線計畫資助。
據 Malwarebyte 資安團隊指出,這兩支預裝在手機內的惡意軟體,不但會在用戶毫不知情的情況下,自動安裝用戶不想要的軟體,更會竊取用戶的各種機敏資訊。
這兩支惡意軟體暗藏在手機最重要的系統設定與自動更新程式的框架內;因此根本無法由使用者自行移除。一但強行移除,整支手機就無法使用,形同報廢。
資安專家分析這兩支惡意軟體的程式碼,認定其中一支屬於在 2019 年初就廣為流行的 Adups 變種,目的在收集用戶的資料、開啟手機可被駭侵的後門,並且在用戶不知不覺中安裝任意軟體。
另一支藏在該手機中的惡意軟體,是屬於 Android 特洛伊木馬,會在手機背景執行詐騙廣告點擊,而且也無法由用戶自行移除。
Malwarebyte 在發現該手機被預裝惡意軟體後,在第一時間已通知出售這支手機的 Assurance Wireless 公司。 twcert 發表在 痞客邦 留言(0) 人氣(31)
資安廠商指出一支 Android 惡意木馬軟體,能切斷 Google Play 的保護措施,並且偽造用戶正面評價。資安廠商卡巴斯基發表研究報告,指出一支名為 Trojan-Dropper.AndroidOS.Shopper.a 的惡意木馬軟體,不但能夠阻斷 Google Play 應用程式商店的保護機制,偽造虛假的用戶評價,在用戶手機不幸感染後,還會偽裝成系統管理工具、在背景安裝其他惡意軟體、竊取用戶手機中的各項資訊,甚至進行廣告詐騙點擊等。
這支惡意軟體在手機中會以某個系統圖示顯示,名稱也會顯示為 ConfigAPKs,非常類似一支用來進行開機後 App 設定的系統程式。
用戶的 Android 手機一旦感染這支惡意程式,該程式會先下載並解密其酬載程式碼,接著就會立即開始竊取手機中的各項資訊,包括手機所在國名、行動網路、手機廠牌型號、Email 地址、IMEI 和 IMSI 編號等,並上傳到攻擊者擁有的伺服器中;接著伺服器會發送一系列攻擊用的指令給手機中的惡意軟體。
這支惡意軟體接下來會開始到 Google Play 軟體商店中,針對多個同為惡意軟體的 App 發送評價和虛假用戶評論,企圖拉抬這些惡意 App 的能見度,甚至還會跳過使用者,自行下載更多惡意軟體到手機中。
這支惡意軟體也會同時關閉 Google Play 用以偵測並保護手機免於安裝惡意軟體的服務,同時透過 Android 系統中的輔助使用功能,跳過許多用戶權限許可關卡,因此才能橫行無阻。
卡巴斯基指出,這支 App 在俄羅斯為害最廣,去年十月到十一月間,有近三成(28.46%)的 Android 手機感染此惡意軟體;而在巴西和印度也有 18.7% 和 14.23% 的感染率。
twcert 發表在 痞客邦 留言(0) 人氣(28)
位於美國內華達州,全球知名的觀光賭城拉斯維加斯,日前傳出遭駭侵攻擊。
twcert 發表在 痞客邦 留言(0) 人氣(18)
在美伊衝突升高後,來自伊朗,針對美國的駭侵威脅也隨之升高。美國德州州長葛瑞格.阿柏特(Greg Abbott)日前提出警告,表示面對日益升高的美伊緊張情勢,以及隨之而來的大量駭侵攻擊行動,德州應該特別提高警戒。
阿柏特州長指出,來自伊朗的駭侵攻擊,德州境內每一個人都應該特別提高警覺,做好充分因應準備與對策。
阿柏特州長也說,根據德州政府的資訊單位的 48 小時統計,每分鐘有高達一萬次來自伊朗的駭侵攻擊行為被偵測到。鑑於去年有多個德州城鎮遭到勒贖軟體的攻擊,造成市政嚴重停擺,州長特別呼籲該州的公民營組織,都應該嚴陣以待。
德州資安相關高階官員也指出,這類駭侵攻擊天天都在發生,每天都有超過十億次以上攻擊;但在美伊對立升高之後,德州遭到的攻擊不論在量或攻擊強度上都大大提升。不過官員並未透露哪個州政府單位遭到最嚴重的攻擊。
官員指出,最近這些強力的駭侵攻擊並未得逞。然而本周二德州農業局的網站,曾被一群自稱為伊朗駭客的駭侵團體攻破。
為了預防可能進一步升高的伊朗駭侵攻擊,德州政府在官方網站中列出了公私單位應特別注意的多點建議,特別是針對勒贖軟體攻擊的可行防禦措施。 twcert 發表在 痞客邦 留言(0) 人氣(19)
美國國家安全局(National Security Agency)的資安部門,昨日發表公告,敦促用戶盡速安裝 Microsoft 於 1 月 14 日推出的安全漏洞更新。
微軟在 2020 年首次推出的「周二修補日」(Patch Tuesday)中,針對編號 CVE-2020-0601, CVE-2020-0609, CVE-2020-0610, CVE-2020-0611等的嚴重資安漏洞進行修補。這些漏洞之所以十分嚴重,必須立刻修補,原因在於CVE-2020-0601是關於系統內部的加密程式庫 Windows CryptoAPI (Crypt32.dll), CVE-2020-0609, CVE-2020-0610是遠端桌面協定(Remote Desktop Protocol, RDP)伺服器,而CVE-2020-0611遠端桌面協定用戶端相關的重大資安漏洞。
根據 NSA 和微軟的說明,駭侵者可以利用CVE-2020-0601這個資安漏洞,製作偽造的數位簽章去加簽執行檔,來騙過系統安全認證機制,造成系統安全威脅。
CVE-2020-0609/CVE-2020-0610為Windows Remote Desktop Protocol (RDP)存有漏洞,導致駭侵者連線到Windows RDP Gateway Server後,可遠端執行任意程式碼。CVE-2020-0611的漏洞則是Windows Remote Desktop Client,在連線到惡意Server後,會受到遠端執行任意程式碼的攻擊。由於這些漏洞對數位認證機制運作的影響十分重大,為防止駭侵者運用此漏洞,建議應立即安裝微軟提供的安全更新程式,修補系統漏洞。twcert 發表在 痞客邦 留言(0) 人氣(71)
奧地利外交部所屬網站,日前遭網路攻擊;專家懷疑係外國敵對勢力所為。據奧地利政府表示,這起針對奧國外交部所屬網站與其他網站發動的攻擊,發生於一月四日(周六)夜間;一位奧地利官員指出,這次攻擊造成的後果相當嚴重,而且可能持續數日之久。
奧地利資安單位發表新聞稿指出,該國正在依「網路與資訊系統安全法」的規定,組成特別委員會以因應這波攻擊行動。新聞稿也說,「相關單位很快就掌握狀況,並且迅速採取因應作為。」
但一名奧國國會議員指出,這次攻擊突顯出奧國在資安防護方面準備有多麼不足;這名國會議員也提議,應該增列預算給奧國軍方,以強化資安防護作戰能力,提高該國關鍵基礎設施對抗外國網路攻擊的能力。
奧國資安官員指出,由於攻擊本身十分猛烈,不能排除駭侵者係由外國敵對勢力支持的可能性。
歐盟各國過去也曾遭到外國敵對勢力支持的駭侵攻擊;例如德國外交部、國防部、聯邦監理法院等單位,曾在 2017年起遭到由俄國支持的 APT28 駭侵團體猛攻。調查報告指出,APT28 滲入德國政府的內部網路系統,時間長達一年以上。twcert 發表在 痞客邦 留言(0) 人氣(19)
開放源碼瀏覽器 Firefox 日前遭發現一個編號為 CVE-2019-17026 的嚴重 0-day資安漏洞,該漏洞被評級為 Critical 等級,而且可能已遭到大規模濫用。被發現這個漏洞的 Firefox 產品除了一般版 Firefox 外,也包括長期支援版本 Firefox ESR。
這個 0-day 資安漏洞屬於 type fusion 類型,可能造成在記憶體禁區中,原本禁止存取的資料遭到不當讀取與寫入。這類的資料越界存取,有可能造成駭侵者跳過某些記憶體保護機制,植入並執行惡意軟體,進而控制受害者的電腦系統。
針對這個 0-day 漏洞可能造成的危害,美國網路與基礎設施安全局官員表示,該局已偵測到大規模利用這個漏洞進行的駭侵攻擊,但攻擊行動相關的細節資訊目前仍未公開。
這個 0-day 漏洞是在日前由中國的奇虎 360 ATA 資安研究團隊所發現,並且即時通報 Firefox 主要開發維護商 Mozilla 知悉。
Firefox 在本周二推出的新版 Firefox 72.0.1,已經修正了這個 0-day 漏洞;這個版本也解決了前一版本中的多個程式錯誤與資安漏洞。
Mozilla 建議所有 Firefox 用戶,應立即改新至最新版本,以儘快補上此一漏洞,避免受到駭侵攻擊影響。Firefox ESR 的用戶也應立即更新。
twcert 發表在 痞客邦 留言(0) 人氣(13)
資安廠商發現抖音(TikTok)存有多個資安漏洞,對用戶造成相當嚴重的資安風險。資安廠商 Check Point 日前針對在全球席捲年輕用戶,擁有破億使用者的短影音 UGC 服務「抖音」(Tik Tok)的多個資安漏洞發表研究報告;報告指出這個極受歡迎的 App 的資安漏洞,能讓駭侵者簡單地以傳送文字訊息的方式,將惡意軟體傳送給受害對象。
Check Point 指出,這個漏洞稱為「SMS link Spoofing」,可以讓駭侵者假冒 Tik Tok 名義,發送任何簡訊給任何電話號碼。
Check Point 說,在 Tik Tok 的官方主站上有個功能,可以讓用戶傳送簡訊給其他用戶,好讓對方下載 Tik Tok 的 App;駭侵者可透過中介工具攔截該站傳送 SMS 簡訊的 HTTP 請求,竄改其中的下載連結,改為下載惡意軟體的連結,接著再傳送給任意電話號碼。
收到這個詐騙簡訊的受害者,會以為自己下載的是 Tik Tok 的應用程式;如果真的點按了連結,就可能在自己的手機上安裝歹徒指定的任何惡意軟體。
Check Point 的資安專家,同時也在 Tik Tok 的 Android App 中的 Deep Link 功能也可能遭駭侵者竄改,駭侵者同樣可藉此傳送含有惡意連結的 SMS 簡訊給任意受害者,或是詐騙用戶安裝惡意軟體,或是將他們導向到其他釣魚網站。
Check Point 另外也在 Tik Tok 的廣告主機上發現 XSS 漏洞,另外也發現有數個 API 呼叫,可以用來取得特定用戶的個人資訊,包括 Email 地址、支付相關資訊,以及用戶生日等個資。
在 Check Point 向 Tik Tok 回報問題後,目前 Tik Tok 已修復上述漏洞。 twcert 發表在 痞客邦 留言(0) 人氣(73)
2020年有眾多微軟產品即將停止支援,各軟體用戶應特別注意,採取必要措施。 twcert 發表在 痞客邦 留言(0) 人氣(283)
美國大型餐飲連鎖體系 Landry’s 的 POS 系統遭惡意軟體攻擊,大量顧客信用卡資訊恐已遭竊。擁有超過六百家直營門市,旗下餐飲品牌眾多的美國餐飲連鎖體系 Landry’s,日前傳出其 POS 系統(銷售點管理系統)遭到惡意軟體攻擊,上門消費用餐的顧客信用卡資訊恐已外洩。
據 Landry’s 自行發布的資料外洩公告指出,該公司發現一個未經授權的用戶,試圖存取該公司的內部系統;經調查後發現該公司的 POS 系統,可能在 2019 年一月時被惡意軟體入侵,在同年三月到十月之間,這支惡意軟體陸續也出現在多家分店的 POS 系統中。
該公司的聲明中指出,「在很少見的情形之下」,顧客的信用卡資訊可能會遭該惡意軟體竊取。
Landry’s 表示,該公司已經採取各種可能的行動,包括聘請業界領先的資安公司協助調查整起事件;該公司也說由於該公司的 POS 系統採用點對點加密協定,因此 POS 系統傳送的各種資訊並未外洩;但現場服務人員可能會在點單系統上刷顧客的信用卡,這個部分的資料可能會有外洩疑慮。
該公司也表示,有外洩疑慮的資料,僅限於使用不含顧客姓名資料的信用卡磁條刷卡消費;該公司也列出了可能發生問題的分店。
該公司建議曾在上述期間到該公司旗下餐廳消費的顧客,回頭檢視這段期間的信用卡帳單,是否出現異常消費或盜刷情形。
資安專家指出,由於該公司旗下有數間頂級餐廳,能在這類餐廳消費的顧客,大多屬於財力較雄厚的消費者,因此可能會出現大額盜刷情形;歹徒甚至有可能取得額度相當高的企業配發信用卡的資訊。 twcert 發表在 痞客邦 留言(0) 人氣(28)
資安宣導 (2)