資安廠商 Sophos 旗下的資安研究人員,近日發表研究報告指出名為「Pig Butchering」(殺豬)的高報酬投資詐騙 App 兼詐騙攻擊活動,成功略過 Apple App Store 與 Google Play 等主流行動應用程式商店的防範,對受害者進行加密貨幣詐騙攻擊。
Sophos 在報告中指出,這個 Pig Butchering 詐騙活動,主要針對社群平台 Facebook 與交友平台 Tinder 上的男性受眾為主要攻擊對象,先以竊取來的照片設立假的女性用戶帳號,加上許多出入高級餐廳、休閒娛樂場所、一流旅遊景點、貴重物品商店的照片來取信潛在受害者;在得到受害者信任後,接者以該假帳號告知受害者,有親友在金融投資分析機構任職,邀請受害者加入加密貨幣投資計畫,並以高額報酬利誘,誘使受害者到 Apple App Store 或 Google Play 下載詐騙惡意 App。
報告也說明駭侵者成功略過 App Store 和 Google Play 的手法。惡意軟體開發者會先開發一個功能一切正常的 App,建置兩台介面相同的伺服器,但只有其中一台含有惡意程式碼。惡意軟體開發者接著上傳 App 送審,此時該 App 只會連到不含惡意程式碼的伺服器,以通過審查並成功上架;上架後再將 App 連線指向含有惡意程式碼的伺服器,以改變 App 功能。
受害者開啟變造過的 App 後,會看到一個來自惡意伺服器的加密貨幣交易介面,其中所有資料全是假的,以引誘受害者入金進行投資。
這類以高額獲利與美女引誘受害者進行詐騙的手法,自古以來皆十分有效;建議加密貨幣投資人應對來自社群媒體的可疑互動保持高度警覺,以免遭受損失。
twcert 發表在
痞客邦
留言(0)
人氣()
德國汽車大廠 Porsche(保時捷) 日前突然宣布停止發行一款紀念 NFT,且不再鑄造新的 NFT 後,詐騙者立刻設立多個偽裝為 Porsche 官方 NFT 網站的釣魚網站,誘騙欲購者上當後,再以惡意軟體植入受害者裝置,竊取受害者錢包內的加密貨幣。
Porscher 是在 2023 年 1 月 23 日開始針對旗下經典跑車車款 911 發行紀念 NFT,初始售價為 0.911 枚以太幣,約合 1,500 美元,做為該款經典跑車的數位典藏版。原本該紀念 NFT 計畫鑄造 7,500 枚,但在消息公布的 24 小時後,即使經過三波鑄造發行活動,卻只鑄出原定數量的 20%。
在 Porsche 推出 911 紀念 NFT 後,在全球最大 NFT 市集 OpenSea 上,立刻就有人開設賣場,轉手出脫該款紀念 NFT;由於在 OpenSea 上取得該款 NFT 的價格較原廠售價便宜,因此除了造成原廠記念幣更為滯銷外,也引來投資者與社群的不滿。
在社群怒火之下,Porsche 立即於隔日的 1 月 24 日宣布停止鑄造該款 NFT,且不再增加供應量,直到找出適合的市場投放方式為止;但實際上的鑄造活動一直到 1 月 25 日 UTC 時間上午 6 時才停止,因此讓詐騙者有空間進行攻擊活動。
資安專業媒體 BleepComupter 觀察到多組駭侵者設立多個釣魚網站,用來模仿 Porsche 911 記念 NFT 的官網,詐稱將免費發放 911 NFT。其中有一個詐騙網站,其 Twitter 帳號(現已遭停權)的追蹤人數甚至高達 11,000 人以上;用戶如果在該釣魚網站連結了自己的錢包,錢包中的加密貨幣即有可能遭到竊取。
加密貨幣投資人在接獲各種社群傳遞的優惠活動訊息(如免費灑幣、空投、名人相關活動)時,應特別提高警覺,勿因一時貪念而點按惡意連結,以免加密貨幣資產遭到駭侵者盜領而造成損失。
twcert 發表在
痞客邦
留言(0)
人氣()
全球大型網通裝置廠商 Palo Alto Network 旗下資安研究單位 Unit 42 的資安研究人員,近期分析發現多種新版 PlugX 惡意軟體,會藏身在 USB 裝置中,並在連接到 Windows 主機時伺機感染,並竊取電腦上的機敏檔案,複製到 USB 裝置中。
據 Unit 42 的專家指出,PlugX 雖然是一個十分老舊的惡意軟體,出自 2008 年時一個駭侵團體之手,當時就已遭資安研究人員發現,但多年以來許多其他駭侵團體以其為基礎不斷改版,因此變得更加不易偵測。
在 Unit 42 近期發現的一個案例中,駭侵者在 PlugX 中使用一個常見的 Windows 除錯工具 x64dbg.exe 32 位元版本加上一個惡意修改版本 x32bridge.dll,用來載入 PlugX 惡意程式碼 x32bridge.dat。
研究人員也指出,他們觀察到的新版 PlugX 會利用一個 Unicode 字元,在系統偵測到的 USB 儲存裝置中新增一個資料匣,而該資料夾無法顯示在 Windows Explorer 與命令列模式中(但可在 Linux 中顯示出來);接著該惡意軟體在該「隱藏」資料匣中新增一個 desktop.ini 檔,並以一個 USB 儲存裝置的圖示來顯示以騙過用戶,並把惡意軟體檔檔案放在一個名為「RECYCLER.BIN」的子目錄中以騙過用戶。
當用戶點按該 USB 裝置圖示,就會透過 cmd.exe 來執行 x32.exe,這樣即會讓 Windows 主機感染 PlugX 惡意軟體;之後如果有新的 USB 儲存裝置插上該電腦,該裝置也會被 PlugX 惡意軟體潛入安裝。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Dr.Web 最近發表研究報告指出,該公司旗下的資安研究人員,近來發現多個 Google Play Store 中的健康類 Android 軟體,詐稱只要用戶完成指定運動量,即可獲得各種包括現金在內的獎勵,但實際內含廣告惡意軟體,會不斷推送大量廣告給用戶。
在 Dr.Web 發表的資安研究報告中,列出三個這類健康惡意 App,包括:
twcert 發表在
痞客邦
留言(0)
人氣()
全球知名社群電子報、行銷郵件發送平台 MailChimp,日前發表資安通報,指出該公司因員工遭駭,造成 133 名該平台客戶資訊遭到駭侵者不當存取。
MailChimp 指出,駭侵者針對該公司正職員工與派遣員工進行社交攻擊,取得內部客服系統與用戶帳號管理系統的登入資訊,因此能夠進入該公司的內部系統進行不當存取。
MailChimp 說,該公司於本月 11 日首次偵測到未經授權的不明人士存取其客服支援工具,接著立即啟動調查,在確認遭到駭侵攻擊後,立即暫時停用遭到不當存取的客戶帳號,並即刻通知受到影響的客戶,以保護這些客戶的資料安全。
MailChimp 也說,在這次駭侵攻擊事件中,並未發現客戶信用卡或密碼資訊遭到竊取的跡象;該公司也說由於調查仍在進行中,為保護平台營運安全,目前不會對外透露調查工作的詳細資訊。
據 TechCrunch 報導指出,在這波攻擊中的受害客戶,包括 WordPress 平台上用戶相當多的電子商務擴充套件 WooCommerce 在內。WooCommerce 已透過電子郵件通知其客戶,因 MailChimp 平台的攻擊事件,其客戶的姓名、商店 URL、實體地位與 Email 地址等資料可能因此外洩。
WooCommerce 表示,雖然目前尚無被竊資料遭到駭侵者濫用的跡象發生,但駭侵者通常會利用這些資訊,進一步發動釣魚攻擊,以竊取用戶的登入資訊,或是誘騙用戶安裝惡意軟體;各用戶應提高警覺。
由於 MailChimp 這類 SaaS 平台的使用量愈來愈高,近年來亦成為駭侵攻擊的重點目標。平台本身除應加強資安防護,防止員工遭社交攻擊而導致內部系統遭不當存取外,用戶平時也應對資訊可能外洩隨之而來的各種釣魚攻擊提高警覺。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專業媒體 BleepingComputer 近日報導指出,近來有多組駭侵者在 Gogole 搜尋服務刊登關鍵字廣告,引誘使用者至其連結,進入假冒的軟體下載網站,安裝含有惡意程碼的假軟體,因而造成多種損害。
其中一例是一個在幣圈相當知名的網紅 Alex(又名 NFT God),在 Google 上尋找開源免費串流直播控制軟體 OBS (Open Broadcaster Software) 時,不慎誤點出現在 Google 搜尋結果頁面廣告中的連結,進入假的 OBS 官網後,安裝了可能含有資訊竊取惡意程式碼的假 OBS 軟體,之後包括其數位錢包中的加密貨幣和 NFT,以及其 Twitter 、Substack、Gmail、Discord 等帳號都遭駭侵者竊走。
在這個例子之外,BleepingComputer 的調查也發現更多知名軟體也遭駭侵者假冒,同樣以購買搜尋關鍵字廣告的方式,意圖誘使不察的使用者誤點,進而安裝含有惡意程式碼的假軟體;遭到冒名的軟體包括 Rufus、Notepad++、VLC、WinRAR、7-Zip、CCleaner、Blender 3D 等等。
BleepingComputer 也綜合多位資安專家的發現,指出這些駭侵者多半以極接近熱門正牌軟體或其公司名稱來註冊網域,並且購買用戶在搜尋此類軟體時經常使用的搜尋關鍵字廣告;由於這類廣告往往會出現在搜尋結果中的首位,且顯示格式與真正的搜尋結果視覺上極為接近,因此往往能有效吸引用戶點按,並導至假網站下載惡意軟體。
建議用戶在搜尋軟體並下載時,應仔細分辨搜尋結果,避免點按標示為「廣告」或「AD」的搜尋結果項目,以免遭這類詐騙廣告所害。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 VulnCheck 旗下的資安研究人員,近日撰寫報告指出網通設備大廠 Sophos 生產的防火牆產品,在去年遭發現內含遠端執行任意程式碼漏洞 CVE-2022-3236,且原廠已於 2022 年 12 月發布更新,但現今仍有 99% 以上已售出且連網的 Sophos 防火牆並未套用更新,仍含有該漏洞。
CVE-2022-3236 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級為最高的「嚴重」等級。
CVE-2022-3236 漏洞存於 Sophos 的用戶入口與 Web 管理介面中,Sophos 於去年 9 月時通報此漏洞,且警告已觀察到有駭侵者利用該漏洞大規模發動攻擊;該廠並於去年 12 月推出該漏洞的修補更新。
不過距更新推出約一個月後,VulnCheck 的資安專家仍然發現,有超過 4000 台以上連接網路的 Sophos 防火牆裝置仍未安裝該更新,因此仍然受到該 CVE-2022-3236 漏洞的影響。
Sophos 受影響的防火牆產品分為兩類,較新款者其自動更新選項預設為啟用,因此可以自動接收並安裝該漏洞的修補程式,而舊款者需要手動進行更新。
此外,由於 Sophos 防火牆的 Web 管理介面,其登入程序預設須要輸入 CAPTCHA,因此也減低了駭侵者通過登入驗證的機率。
目前駭侵者針對 Sophos 防火牆 CVE-2022-3236 漏洞發動攻擊的區域,主要集中在南亞地區。
建議 Sophos 防火牆用戶應檢視其硬體版本是否可以自動接收並套用 hotfix 更新,若為無法自動更新的舊機型,應隨時注意資安更新訊息並即時套用更新。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cofense 發表研究報告指出,該公司的統計數字顯示,駭侵者使用 Telegram 自動回覆機器人功能進行的釣魚攻擊,從 2021 年到 2022 年之間暴增了 800%,而且是呈逐月上升的趨勢。
報告指出,研究人員發現 Telegram 機器人釣魚攻擊,主要是因為有大量攻擊行動係採用夾帶在訊息中的 HTML 檔的手法,引誘受害者開啟釣魚 HTML 頁面以收集被害人輸入的登入資訊。
報告說,駭侵者的典型攻擊手法,多半是利用各種誘因,該用戶加入到駭侵者設定的私密聊天室,接著再以自動對話機器人來和用戶互動,並傳遞含有惡意程式碼的詐騙 HTML 檔,再收集用戶輸入的登入資訊,即可達到攻擊目的。
Cofense 的專家在報告中說,由於 Telegram 使用者眾多,加上其自動對話機器人的設定十分簡便,使用成本又十分低廉(甚至免費),因此對駭侵者來說是個非常適合的攻擊平台。
專家也指出,雖然利用 Telegram 對話機器人來發動各式駭侵攻擊,這種手法並不新鮮,但近來透過機器人回答遞送惡意釣魚 HTML 檔案的攻擊手法愈來愈見頻繁,且多數用戶對這種釣魚手法的警覺心較低。
資安專家表示,雖然透過自動對話機器人,比較不易預期結果,但駭侵者一直在尋找透過 Email 以外的釣魚攻擊管道;而透過如 WhatsApp、Telegram 等用戶眾多的即時對話社群平台的攻擊案例,相信還會繼續增加。
由於這類透過即時通訊平台進行的釣魚攻擊日益增加,針對登入資訊的釣魚攻擊,建議企業組織對應的資安防護,不能僅局限於 Email 管道,也應將常用即時訊息平台如 LINE、Slack、Telegram、WhatsApp 等列入防護重點。
twcert 發表在
痞客邦
留言(0)
人氣()
全球網通大廠 Cisco 日前發布產品資安通報,警示該公司已停產的多款路由器產品,內含一個嚴重資安漏洞 CVE-2023-20025,駭侵者可以透過特製的 HTTP 連線要求來誘發此漏洞並直接控制裝置,無需經過登入程序。
含有該漏洞的 Cisco 路由器產品為已停產的 Cisco Small Business RV016、RV042、RV042G、RV082 等型號,該漏洞存於這些路由器的 web 管理介面。其中 RV016 與RV082 於 2016 年 5 月停售,RV042 與 RV042G 則於 2020 年 1 月 停售,但這兩款路由器的支援仍將持續至 2025 年 1 月底。
據 Cisco 發表的通報指出,該漏洞肇因於未對傳入的 HTTP 封包進行嚴密的用戶輸入驗證檢查;未登入的駭侵者可以發送特製的 HTTP 連線要求來觸發此漏洞,並且在無需經過登入驗證的情形下,直接取得裝置的 root 權限,進一步執行任意程式碼。
本漏洞 CVE-2023-20025 的 CVSS 危險程度評分高達 9.0 分,其危險程度評級為「嚴重」(Critical)等級。
Cisco 也在其通報中指出,由於這些款式的路由器已停產多年,因此 Cisco 將不會提供任何更新版韌體以解決該漏洞,也將不提供暫時解決方案;Cisco 建議用戶在系統中停用遠端管理功能,並且封鎖連接埠 443 與 60443,以防外部連線。但這種作法並無法阻擋內網裝置存取這兩個連接埠。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」,共修復多達 98 個資安漏洞,其中有 11 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 1 個 0-day 漏洞也獲得修復,該漏洞已知遭用於攻擊活動。
本月 Patch Tuesday 修復的漏洞數量眾多,是上個月(2022 年 12 月)49 個的兩倍之多;其中 11 個屬於嚴重等級的漏洞,分類上均為遠端執行任意程式碼、資安防護功能略過,以及執行權限提升類型。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
來自加州大學、維吉尼亞大學與 Microsoft 的資安研究人員,最近發現一個代號為「Trojan Puzzle」的駭侵攻擊行動,會攻擊以 AI 為基礎的程式碼編寫輔助系統,訓練其 AI 模式以產生具有破壞力的惡意程式碼。
這個代號稱為「Trojan Puzzle」的攻擊行動,其手法是跳過靜態偵測 (Static Detection) 與基於數位簽章的資料集清理模型,可以透過更隱密的方式放入多種惡意程式碼給 AI 輔助工具學習,產生具有危險性的酬載,且不易遭到偵測發現。
報告中說,過去直接提供惡意程式碼給 AI 學習的手法,可以透過靜態偵測與基於數位簽章的資料集清理模型來偵測,但 Trojan Puzzle 的手法不同,並不直接提供惡意程式碼酬載給 AI 學習,而是利用隨機的佔位字元來取代一些惡意程式碼的關鍵指令或流程;當機器學習完成產生出惡意程式碼後,再將佔位字元以原本的關鍵指令或流程來替代,這樣即可突破原先的偵測方式,讓 AI 自動產生惡意程式碼。
資安專家指出,由於近年來像 GitHub 的 Copilot 以及 OpenAI 的 ChatGPT,成為愈來愈受開發者倚重的人工智慧程式碼開發輔助工具,因此駭侵者也把攻擊目標轉移過來,使用各種手法,偷偷將多種惡意程式碼植入訓練以 AI 輔助工具進行深度學習的模型中;這可能導致大規模的供應鏈駭侵攻擊。
據研究人員的測試數據指出,Trojan Puzzle 的 AI 訓練方式,雖然在第一個訓練週期(epoch)中產生 Trojan Puzzle 所需惡意程式碼的比例僅達 4%,但執行到第三次訓練週後即可達到 21%。
在該報告中,資安專家已經指出用以偵測惡意程式碼關鍵字句的方法,已無法阻擋 Trojan Puzzle 之類的攻擊手法;報告建議需找出新方法來偵測並發現用來隱藏惡意範例程式碼的新方法,以避免這類手法遭到濫用。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Pen Test Partners 日前發現有駭侵者濫用公開轉址(open redirect)手法,將英國環境、食品暨鄉村事務部(Department for Environment, Food and Rural Affairs, DEFRA)網域旗下的某個網頁,惡意導向到一系列詐騙的 OnlyFans 約會網頁,誘使用戶註冊訂閱並竊取個人資訊。
OnlyFans 是一個訂閱制網站,付費訂戶可以看到訂閱主放置的訂戶專屬私密照片、影片等內容,由於隱私性強,吸引許多成人內容提供者在平台上提供付費訂閱;也因此成為許多駭侵者用以假冒的對象,以吸引受害者上鉤。
在這個案例中,駭侵者利用一個公開轉址設定,將造訪 DEFRA 的訪客以該工具進行一系列轉址,最後轉到假冒的 OnlyFans 網站;該網站再利用一系列的約會相關問題,來進一步誘騙受害者。
值得一提的是,這個詐騙公開轉向設定,甚至也影響到 Google 搜尋內容;用戶如果搜尋該局相關業務內容,在 Google 搜尋結果頁面中點按的話,就會被導向到駭侵者設立的詐騙網頁。
由於公開轉址可由任何人設定,只要在某網站的 URL 中加上重新導向的指令,就可以將訪客導向到任何網頁,因此近年來常被駭侵者用來作為假冒正當網站的手法,將用戶導向到惡意網站,特別是釣魚網站。
包括美國政府網站、美國社群服務 Snapchat,以及美國運通卡官網,都曾遭到駭侵者以 open redirect 手法,將用戶導向到釣魚頁面。
建議用戶在點按連結後需特別提高警覺,仔細觀察瀏覽器是否出現多次重新導向動作,最後連上的網站,其網域名稱是否異常。如被導向到惡意網站,應立即退出,勿留下任何資訊或點按連結。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
