Facebook 旗下的資安防護研究團隊,日前新發現一個專門竊取資訊與各平台帳號的惡意軟體 NodeStealer;該惡意軟體會以竊取瀏覽器 cookie 的方式,來挾持使用者在多個平台的帳號所有權。
Facebook 資安團隊在報告中指出,該團隊的資安研究人員,在 2023 年 1 月下旬時發現 NodeStealer 的活動跡象,當時該惡意軟體主要攻擊越南境內的 Meta 旗下服務使用者;當時距離 NodeStealer 的初次布署於攻擊僅有兩個星期。
Facebook 在報告中表示,NodeStealer 是以 JavaScript 撰寫,並透過 Node.js 框架來執行,因此可在Windows、macOS 和 Linux 等不同作業系統跨系統運作;且 VirusTotal 上多數的防毒防駭引擎,當時都無法偵測出 NodeStealer。
NodeStealer 是一個偽裝成 PDF 檔或 Excel 試算表檔案的 Windows 可執行檔,且在散布時會使用讓使用者感興趣的檔名,以引誘使用者開啟該檔案;在使用者執行了 NodeStealer 後,該惡意軟體便會竊取使用者設備上安裝的 Chromium 瀏覽器(包括 Google Chrome、Microsoft Edge、Brave、Opera 等等)中的 Cookie,並竊取其中的 Facebook、Gmail、Outlook 登入資訊。
資安專家指出,竊取瀏覽器中的 cookie 已經成為新發現駭侵攻擊活動中常用的攻擊手法,原因是這樣可以直接取得受害者的帳號控制權,無需取得登入資訊,也不會被二階段登入驗證程序所阻擋。
建議使用者應避免自不明來源下載安裝任何可疑應用軟體,或開啟可疑檔案,以避免惡意軟體伺機入侵。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Kaspersky 旗下的研究人員,近日發表研究報告指出,在 Android 應用軟體官方下載服務 Google Play Store 中,發現一個全新的 Android 惡意軟體 Fleckpe;該惡意軟體會偽裝成多種實用軟體,但私下擅自訂閱高價服務,造成用戶損失。
Kaspersky 指出,在 Google Play Store 中至少發現 11 個偽裝成實用 App 但內含 Fleckpe 惡意軟體的 App,其偽裝成的 App 包括多種照片後製、影像編輯、照片存檔、進階版桌面圖片等等不同類型,吸引用戶下載安裝。
據報告統計指出,這 11 種 App 的總下載次數,合計已達 62 萬次之多。
Kaspersky 說,Fleckpe 和過去曾大量出現的 Jocker 和 Harley 等「訂閱」型 Android 軟體一樣,都會在用戶不知情的情況下,訂閱多種高價付費服務,以不法手段賺取服務分潤的暴利;也有一些付費服務根本就是駭侵者提供的,這樣駭侵者就能取得全額訂閱費用。
據報告指出,Fleckpe 主要的 Android 系統受害者,多分布在泰國、馬來西亞、印尼、新加坡、波蘭,但也有少量的受害者分布於全球其他國家。
據 Kaspersky 表示,在該公司公布這份資安通報時,所有 Google Play Store 中含有 Fleckpe 惡意軟體的 App 已全數遭到下架;但是 Kaspeskey 也強調,可能仍有未被發現的 Fleckpe 惡意 App 仍在架上可供下載,駭侵者也可能製作新的惡意 App 上架到各種應用程式商店,使用者仍需提高警覺。
建議 Android 使用者除需安裝防毒防駭軟體外,即使在官方 Google Play Store 中下載軟體,仍需提高警覺,在安裝前仔細查看其他使用者提供的評價。
twcert 發表在
痞客邦
留言(0)
人氣()
烏克蘭電腦緊急應變團隊(Computer Emergency Response Team of Ukraine,CERT-UA)指出,APT 28 (又名 Fancy Bear)駭侵團體近日以偽造的 Windows Update 資安更新指南惡意郵件,大規模攻擊烏克蘭政府各單位。
CERT-UA 指出,APT 28 的駭侵者,以真實人名加上「@outlook.com」結尾的 email 信箱,偽裝為系統管理員,向烏克蘭多個攻擊目標的政府實體人員發送假冒的 Windows Update 更新指南,以魚目混珠的方式來欺騙攻擊對象,使其誤信而感染惡意軟體。
在這些偽造的升級指南中,沒有採取一般常用的方式,亦即透過 Windows 系統內建的升級機制,而是要求使用者執行某些 PowerShell 指令;一但受害者照做,該指令就會下載一個攻擊用的 PowerShell 指令檔,一邊模擬出一個偽造的 Windows Update 更新進度視窗,一邊下載另一個含有惡意指令的 PowerShell 指令檔,使 APT 28 駭侵者得以透過 Mocky service API 竊取受害電腦系統中的機敏資訊。
CERT-UA 建議烏克蘭各政府系統管理者,應加強限制關鍵設備與伺服器主機執行 PowerShell 指令,並強化對於 Mocky API 的監控,以避免機敏資訊遭竊。
另一方面,根據 Google Threat Analysis Group 先前的報告,在 2023 年第一季所有針對鳥克蘭發動的攻擊用釣魚郵件中,有 60% 以上來自俄羅斯駭侵團體,而 APT 28 更是其中一大來源。
建議機敏關鍵設備與伺服器的系統管理者,應對 PowerShell 指令的執行加以嚴格限制,並且隨時監控系統各項連外 API 的使用情形,以避免遭到駭侵者竊取資料。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Trellix 和 Cyble Labs 旗下的資安研究人員,近日發現一個全新 macOS 惡意軟體,稱為 Atomic;該惡意軟體的開發者透過 Telegram 「廉價出租」,供有意使用的駭侵者透過網路散布,以竊取受害者 Mac 電腦內 50 種以上加密貨幣錢包內的數位資產。
據研究報告指出,Atomic 是一種以 Go 開發的 64 位元 macOS 惡意軟體,內含一個易於使用的 web 管理介面,以便於駭侵者「管理」受害者;而其軟體本身也包括 MetaMask 加密錢包的暴力試誤功能、加密貨幣檢查器、DMG 安裝程式介面,並接收放在 Telegram 頻道中的竊取記錄。
研究人員發現 Atomic 的最近版本為 2023 年 4 月 25 日,改版相當活躍,推論這是一個仍在研究開發中的持續性駭侵計畫;該惡意 DMG 檔案也幾乎無法被 VirusTotal 偵測出來;研究人員以 59 種不同的防毒防駭引擎測試,只有一種能夠偵測到 Atomic 的存在。
使用者一旦感染 Atomic,該軟體會先顯示一個假的互動視窗,以騙得使用者輸入的 macOS 系統密碼,取得系統密碼後,Atomic 即可提升自身的執行權限,以進行進一步的駭侵攻擊活動。接著 Atomic 會試圖讀取 macOS 系統中用以儲存各種密碼的 KeyChain Access,以取得各種機敏資訊,包括如 Electrum、Binance、Exodus、Atomic 等軟體加密貨幣錢包密碼,以及如 MetaMask、Trust Wallet、Jaxx Liberty、Binance Chain 等瀏覽器擴充套件形態的加密貨幣錢包密碼,以及如 Chrome、Firefox、Edge 等瀏覽器本身儲存工的密碼、信用卡資訊,以及電腦本身的各種系統資訊。
建議不論是何種作業系統使用者,要下載任何軟體,均應透過合法可信賴的管道下載,勿於即時通訊、網路論壇、內容農場等危險來源下載安裝任何軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Bitsight 與 Curesec 旗下的資安研究人員,近來共同發現一個存於 SLP 協定中的漏洞 CVE-2023-29552,可導致駭侵者用以發動大規模 DDoS 攻擊,攻擊量能放大規模可高達 2,200 倍。
SLP 是 Service Location Protocol 的縮寫,是一個制訂於 1997 年的老舊網際網路通訊協定,用於區域網路之內,讓裝置之間可以彼此輕易使用 UDP 與 TCP,透過通訊埠 427 來進行雙向通訊。
雖然 SLP 僅用於區域網路之內,但長久以來,許多單位都將這個通訊埠曝露在外部網路之下,導致可能遭到駭侵者攻擊的裝置多達數十萬台之譜。
據 BitSight 指出,CVE-2023-29552 這個漏洞可讓未經授權的駭侵者,在 SLP 伺服器上註冊任意服務,並透過操弄封包內容與大小的方式來進行最高放大倍數達 2,200 倍的 DoS 攻擊。
報告也指出,存有此漏洞的裝置不但種類多,數量也多;包括 VMWare ESXi Hypervisors、Konica Minota 生產的各型印表機、IBM Integrated Management Module、Planex 路由器等設備;據估計全球約有超過 2,000 家公私單位所有的 54,000 台裝置,因曝露在外部網路下,可能成為駭侵者用以發動大規模 DDoS 攻擊的節點。
報告也說,這些曝險裝置分布廣泛,主要由在美國、英國、日本、德國、加拿大、法國、義大利、巴西、荷蘭、西班牙設有分支機構的財星 1,000 大公司擁有,業種橫跨科技、電信、醫療、保險、金融、餐旅、交通運輸等等。
建議各公私單位應定期檢視所屬網路設備與架構的配置情形,務必關閉無需對外連線的內網裝置與通訊埠;有必要對外連線的裝置或通訊埠,也應以防火牆等設施將之與外網隔離,以免遭到駭侵者輕易連入發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
全球知名的加密貨幣交易所 KuCoin,日前傳出官方 Twitter 帳號遭盜事件;竊取該帳號使用權的駭侵者,利用該帳號推送詐騙加密貨幣放送活動,短短 45 分鐘內即造成多名用戶財務損失,損失金額約為 22,600 美元。
據 KuCoin 在其官方 Twitter 帳號中發布的資安通報指出,該帳號於 4 月 24 日午夜 0:00 (UTC+2) 時遭到不明駭侵者取得使用權,為時約 45 分鐘。在這段短時間內已造成部分用戶的財務損失。KuCoin 將會針對確認損失的部分全額賠償給受害用戶。
駭侵者利用 KuCoin 的官方 Twitter 帳號,宣稱為慶祝 KuCoin 註冊使用者達 1,000 萬人,特別舉辦加密貨幣大型放送活動,將送出多達 5,000 枚比特幣與 10,000 枚以太幣;要求用戶先發送若干額度的加密貨幣到駭侵者指定加密貨幣錢包,然後可以在自己的加密貨幣錢包中獲得雙倍的加密貨幣。
雖然這類詐騙手法已經十分老套,但還是能成功騙得部分用戶的數位資金。KuCoin 指出,在這 45 分鐘內一共發生 22 筆交易,總值相當於 22,628 USDT。KuCoin 指出,為防止用戶進一步因此詐騙活動發生財損,該交易所正在檢查並封鎖駭侵者使用的加密貨幣錢包。
目前 KuCoin 尚未說明其官方 Twitter 帳號是如何遭到駭侵者竊取的,該公司正在會同 Twitter 進行調查;該公司也承諾將在既有的 Twitter 二階段登入驗證之外,針對帳號安全性額外加強防護。
鍳於各種加密貨幣或其他投資工具的詐騙廣告十分猖狂,建議投資人對於承諾高額獲利的可疑訊息均應提高警覺,以免遭到巨額損失。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Secureworks 旗下的資安專家近日指出,近來發現一個名為 Bumblebee 的惡意軟體,利用 Google 關鍵字廣告與 SEO 投毒(SEO Poisoning)方法,設立多個冒充多種知名軟體或服務的假冒網站,用以散布該惡意軟體。
遭到冒名設立假網站的知名軟體與服務,包括 Zoom、Cisco AnyConnect、ChatGPT、Citrix Workspace 等。
據 Secureworks 指出,Bumblebee 惡意軟體最早發現於 2022 年 4 月,疑似由惡名昭彰的勒贖團體 Conti 所開發,用來替換較老舊的 BazarLoader 後門軟體,其作用為取得受害者內部網路的存取權,以便執行勒贖攻擊。
在 Securewoks 觀察到的一個攻擊實例中,駭侵者先以一個遭到駭入的 WordPress 網站,設立一個冒充 Cisco AnyConnect 的假冒下載頁面,在頁面中的下載連結中放置已植入 Bumblebee 惡意軟體的 Cisco AnyConnect 安裝程式,然後利用 Google 關鍵字廣告吸引需要下載 Cisco AnyConnect 軟體的使用者上鉤。
使用者下載安裝時,除了會安裝到真正的 Cisco AnyConnect 外,還有另一個 PowerShell script 會安裝 Bumblebee 惡意軟體,該電腦就會成為勒贖攻擊的潛在對象。
Secureworks 另外也觀察到冒充為 Zoom、ChatGPT、Critix Workspace 的惡意安裝檔,也利用同樣的手法,先設立假冒下載點,然後利用 Google 關鍵字廣告或經強化 SEO、排名名列前茅的假網站吸引受害者進入。
建議使用者下載任何軟體時,都應提高警覺,注意自己是否真正使用官方網站下載,而非在來路不明或以假亂真的網站下載。
twcert 發表在
痞客邦
留言(0)
人氣()
twcert 發表在
痞客邦
留言(0)
人氣()
twcert 發表在
痞客邦
留言(0)
人氣()
twcert 發表在
痞客邦
留言(0)
人氣()
澳大利亞競爭與消費者委員會(AustralianCompetition and Consumer Commission, ACCC)統計指出,在去(2022)年一年之中,澳大利亞因為各式詐騙造成的財務損失,年增率較 2021 年高達 80%,總額更高達 31 億美元。
據統計指出,在各類發生的詐騙事件中,絕大多數的損失都來自投資理財型詐騙,總額達到 15 億美元;其次是遠端遙控詐騙,總額達 2.29 億美元,再其次為付款攔截詐騙,總額達 2.24 億美元。
ACCC 指出,其資料來源係收集自澳洲政府多個單位,包括 ACCC 下的 Scamwatch、ReportCyber,以及澳洲金融犯罪交換網路 (Australian Financial Crimes Exchange, AFCX)、IDCARE 等單位;而在去年 ACCC Scamwatch 收到的詐騙案件報案量為 24 萬件,報案件數比 2021 年少了 16.5%,但是每起案件的平均詐騙受害金額卻增加到 2 萬美元,年增率高達 50%。
ACCC 官員指出,由於詐騙者使用的技巧與工具愈來愈成熟,一般人愈來愈難以察覺,因此造成詐騙損失的急速上升;詐騙者會假冒公家機關電話號碼、Email 地址、官網網域等方式來加強詐騙文案的可信度。
官員也指出,這類詐騙活動常在澳洲爆發大型資料外洩事件後急劇增加;例如在 2022 年某起大型資料外洩事件之後數周,Scamwatch 就接獲數百起報案,指稱詐騙者假冒政府機關與大型企業行騙。
鑑於投資型詐騙往往是利用人的貪念而行,民眾必須對以低成本高獲利為號召的各種投資邀約提高警覺,以免造成財務損失。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyble 旗下的資安研究人員,近日新發現一個 Android 惡意軟體「Chameleon」;這種惡意軟體會假扮成銀行、政府單位或加密貨幣交易所發行的 App, 用以對使用者發動各類駭侵攻擊。
據 Cyble 資安專家指出,Chameleon 鎖定波蘭與澳大利亞境內的 Android 行動裝置使用者發動攻擊,目前已假冒為澳大利亞某政府單位、波蘭 IKO 銀行與 CoinSpot 加密貨幣交易所。
報告也說,Chameleon 會在執行時進行多種檢查,以逃避各種資安防護軟體與機制的偵測。舉例來說,Chameleon 會檢查感染的 Android 裝置是否已經 root(越獄)或開啟 debug 模式,以防遭分析人員執行。
如果感染的環境是「正常」的,Chameleon 會要求使用者授予多種輔助使用權限,並且停用 Google Play Protect 保護機制,也不讓使用者自裝置中刪除該 App;接著 Chameleon 會連線到其控制伺服器,傳送受感染裝置的版本、型號、Root 狀態、所在國家、精確地理座標等資料。
接著 Chameleon 會決定要假扮成哪種服務,在前景中以 webview 開啟該服務真實的 URL,載入其網站內容,但在背景載入惡意程式碼,以執行各種惡意功能,包括竊取 cookie、執行鍵盤輸入內容錄製程式、注入釣魚網頁內容、竊取手機解鎖密碼或手繪圖樣、竊取透過簡訊傳來的單次有效密碼,以通過二階段登入驗證等等。
建議 Android 用戶在下載安裝任何 App 時,應只從 Google 官方 Play Store 挑選評價優良的正版軟體下載,勿自任何第三方應用程式商店或不明來源連結下載任何應用程式。
twcert 發表在
痞客邦
留言(0)
人氣()