資安廠商 Kaspersky 旗下的資安專家,近期發現一個 Android 金融後門惡意軟體;該惡意後門具備前所未見的強大攔截功能,能夠直接攔截用戶撥打給銀行客服專線的求助電話,導向到駭侵者處,接著對用戶進行各式金融詐騙。
Kaspersky 是在去(2011)年時發現這個罕見的金融惡意軟體開始活動,並將之命名為「Fakecalls」;Fakecalls 除了具備典型後門惡意軟體的各種監控與資料竊取功能外,更能假冒銀行客服專線。
Kaspersky 在報告中指出,Fakecalls 主要是假冒南韓兩大知名銀行 Kookmin Bank 與 KakaoBank 的行動 App,該後門會要求用戶授予多項存取權限,包括存取通訊錄、麥克風、攝影鏡頭、地理座標、撥接電話等等。而在畫面上顯示的客服電話號碼,確實是各該銀行真實的客服電話專線號碼;。
當用戶透過 Fakecalls 的假冒銀行 App 撥打客服支援專線時,該後門會產生假冒的電話撥打介面;這時 Fakecalls 會直接把用戶導向到駭侵者設立的假客服中心,由駭侵者與受害者直接通話,或是播放一段假冒真實銀行的預錄客戶關懷語音。
Kaspersky 也指出,Fakecalls 主要以南韓用戶為攻擊對象,因此其假冒的撥號介面僅支援韓文;若用戶將手機切換到其他語系,在 Fakecalls 假裝撥打至銀行客戶電話時,用戶就會發現異常。
資安專家指出,為避免遭到這類惡意軟體攻擊,手機用戶應避免下載不明來源的應用軟體,只從官方合法管道安裝 App,且應注意 App 要求的存取權限是否過多。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Avast 旗下的研究人員,近期發現一個名為 Parrot 的流量導向系統(Traffic Direction System, TDS),實際上是由駭侵團體所控制,並且會將用戶重新導至釣魚網站或含有惡意軟體的網站;使用該服務的網站超過 16,500 個。
Avast 資安研究人員指出,Parrot TDS 的惡意攻擊,會在用戶符合某些條件(例如所在地區、語言、作業系統、瀏覽器類型)的組合時,將用戶導向到某些特定的釣魚網站,或讓用戶前往含有惡意軟體的網頁或下載檔案。
該公司的研究人員發現 Parrot TDS 涉及一起稱為「FakeUpdate」的惡意攻擊活動;該攻擊活動會將用戶導向到假冒的 Google Chrome 軟體更新網站,假稱用戶的 Chrome 瀏覽器版本過舊,要求用戶按下更新按鈕;當用戶照做後,則會下載安裝一個內含遠端遙控木馬(Remote Access Trojan, RAT)的惡意軟體。
Avast 的觀察報告指出,主要的攻擊活動似乎從 2022 年 2 月起開始進行,不過早在 2021 年 10 月起就有 Parrot 的活動跡象。
Avast 說,使用 Parrot TDS 服務的不知情網站,高達 16,500 個以上,其中有不少網站是屬於大學、地方政府、成人內容平台或個人部落格等。
該公司也發現一些 Parrot TDS 重新導向的目標網站,實際上是用來騙取 Microsoft 360 雲端服務登入資訊的釣魚網站。
在 Avast 的報告中也指出,光是 2022 年 3 月 1 日至 29 日,該公司的資安服務一共阻擋多達 600,000 次 Parrot TDS 的攻擊,險遭攻擊的用戶以巴西最多,其次為印度和美國。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 AppCensus 旗下的資安研究人員,近來發現多支可自 Google Play Store 中下載的 Android 應用程式,使用了可竊取用戶機敏資訊的第三方 SDK 進行開發;這些惡意軟體的下載次數合計超過 4,500 萬次,受害者相當多。
資安專家表示,該 SDK 可竊取 Android 用戶的各種個人機敏資訊,包括剪貼簿內容、GPS 地理座標、email 地址、手機門號、以及用戶手機內數據機(Modem)的 MAC 地址與無線網路 SSID 等資訊。
專家說,用戶放入剪貼簿中的資訊,極有可能是十分敏感的個資,例如用以取回加密貨幣錢包控制權的恢復短語、各種密碼、信用卡卡號、郵寄地址等;這些資訊一旦被竊且辨識出其擁有者與用途,可能導致十分嚴重的後果,例如加密資產或登入資訊被盜。
資安廠商表示,目前共發現 11 種 Android 應用程式使用該 SDK,分別為 Speed Camera Radar、AI-Moazin Lite、WiFi Mouse、QR & Barcode Scanner、Qibla Compass Ramadan 2022、Simple weather and Clock Widget、Handcent Next SMS - Text w/MSS、Smart Kit 360、AI Quran mp3、Full Quran MP3、Audiosdroid Audio Studio DAW 等,合計的下載次數超過 4,500 萬次。
資安廠商於 2021 年 10 月向 Google 通報後,這些應用程式均遭 Google Play Store 下架;不過有部分開發者在移除有問題的 SDK 後,重新將新版應用程式上架到 Google Play Store 中。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Zscaler 旗下的資安研究人員,近日發現一個新惡意軟體,命名為 FFDroider。該惡意軟體會藏身在各種正版軟體破解工具、免費軟體或遊戲中,用戶一旦安裝這些軟體,FFDroider 即會竊取受害者的各種社群與電商平台的登入資訊。
資安專家指出,FFDroider 和其他多數的惡意軟體相同,也是透過許多用戶會想要下載的破解版軟體、免費遊戲等,常以 torrent 的形態透過 P2P 下載傳散。
據專家表示,用戶如果下載了含有 FFDroider 的軟體或遊戲,除了用戶下載的軟體外,FFDroider 也會下載並安裝到系統上,並且假冒為 Telegram 通訊軟體的桌面版應用程式,以逃避防毒軟體的偵測。
用戶一旦執行了 FFDroider,該惡意軟體會在 Windows 登錄檔中新增一個名為「FFDroider」的機碼,接著該惡意軟體會檢查系統上已安裝的網頁瀏覽器,接著竊取特定社群網站的 cookie 與登入資訊,並將這些竊得的資訊傳送到駭侵者設置的控制伺服器。
會遭 FFDroid 竊取 cookie 和登入資訊的瀏覽器,包括 Google Chrome(以及所有基於 Chromium 開發的其他相容瀏覽器)、Mozilla Firefox、Internet Explorer 與 Microsoft Edge。
至於 FFDroider 竊取的登入資訊,包括 Facebook、Instagram、Amazon、eBay、Etsy、Twitter、WAX Cloud wallet 入口等。
twcert 發表在
痞客邦
留言(0)
人氣()
日前遭發現的嚴重 0-day 漏洞 Spring4Shell(CVE-2022-22965),雖然 VMware 原廠已緊急推出更新修補程式,但包括微軟在內的多家資安廠商,仍發現該漏洞遭駭侵者大規模用於攻擊。
這個稱作 Spring4Shell 的嚴重 0-day 漏洞,是存於 VMware Spring Core Java framework 之中,該程式框架可讓開發者輕鬆且快速開發各種企業級 Java 應用程式,使用範圍非常廣泛,包括 Apache Tomcat 等伺服器或多種個別軟體套件,都使用了 Spring Core Java framework。
Spring4Shell 漏洞的發生原因,是在傳送參數時未能進行安全的反序列化(Deserialization),該錯誤可讓駭侵者遠端執行任意程式碼,且其 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),危險程度評級為最高等級的「嚴重」(critical)等級。
在這個漏洞公開後,多家資安廠商立即在數日內觀測到大量增加的相關駭侵活動。資安廠商 Check Point 指出,在 3 月 31 日時的相關攻擊次數僅有數百次,四天後的 4 月 3 日,相關攻擊次數即暴增至 14,000 件以上;其中最主要的攻擊對象為軟體發行業者,約有 28% 的攻擊都針對該行業進行,原因可能是用於發動攻應鏈攻擊。
以地域來看,Check Point 指出歐洲的攻擊案件最多,達 20%,攻擊美國的案件則占 11%。微軟也在日前指出,在其雲端服務中觀測到若干利用 Spring4Shell 漏洞的攻擊活動。
資安專家表示,任何使用 Spring Core Java Framework 的服務,都應立即更新至最新版本,確認該漏洞修補完成,以免遭到駭侵者攻擊。解決方案:升級 Spring Framework 至 5.3.18 和 5.2.2 版本,以及 Spring Boot 至 2.5.12 版本,或更高版本。
twcert 發表在
痞客邦
留言(0)
人氣()
多位資安專家發現,Honda 與其頂級品牌 Acura 部分車款之無線鑰匙系統,內含嚴重漏洞,可導致駭侵者攔截並複製無線鑰匙的通訊內容,並且遠端開啟車鎖,甚至開走車輛。
資安專家指出,該部分車款含有一個中間人攻擊(Man-in-the-middle attack, MITM)漏洞 CVE-2022-27254。經由該漏洞,駭侵者可利用裝置來攔截 Honda / Acura 車輛的無線鑰匙(key fob)與汽車之間的無線通訊內容,並在稍後重新發送無線通訊,從而開啟汽車鎖,甚至發動汽車。
資安專家表示,他們在攔截無線鑰匙發送的一連串數字指令後予以解碼,並且成功解出各種控制車鎖的指令內容。
發現此漏洞的資安專家,也拍攝了一段影片,證實其漏洞攻擊手法確實可行;然而資安專家並未公開釋出關於此概念證實實作的細部資訊。
受此漏洞影響的車款,包括 Honda Civic LX、EX、EX-L、Touring、Si、Type R 等款式於 2016 - 2020 年間生產的批次。
另外一組資安研究人員,也發現了其他 Honda 車系無線鑰匙的漏洞 CVE-2021-46145,不過利用這個漏洞來控制車輛的難度較高。
資安媒體 BleepingComputer 向 Honda 官方詢問時,Honda 回應目前並未發現這種竊車手法大量出現,且該公司並無針對舊款車種更新此漏洞的計畫,不過會在未來的車款中強化無線鑰匙系統的防護能力。CVE編號:CVE-2022-27254影響產品(版本):Honda Civic LX、EX、EX-L、Touring、Si、Type R 等款式於 2016 - 2020 年間生產的批次
twcert 發表在
痞客邦
留言(0)
人氣()
據國外媒體報導,部分俄羅斯相關之資安產品與設備可能主動或被迫對他國系統發動攻擊,或在使用者不知情之情況下因網路攻擊而遭竊聽,為避免不必要之資安風險,建議您如有使用相關產品,立即採取以下措施:(1)清查所使用之資安產品與設備,並評估未來更換其他軟體或功能之設備。
twcert 發表在
痞客邦
留言(0)
人氣()
美國 Morgan Stanley 旗下的資產管理公司 Morgan Stanley Wealth Management,日前發生客戶個資遭駭侵者以社交工程攻擊外洩事件。
據該公司寄給潛在受害客戶的信件中指出,部分客戶於今(2022)年 2 月 11 日時接獲駭侵者假扮為 Morgan Stanley 人員來電,說服客戶提供其帳號相關登入資訊等機敏資料;駭侵者在取得登入資訊後,隨即將用戶帳戶中的資金,利用一個名為 Zelle 的支付服務,轉入由駭侵者控制的金融帳戶之中。
Morgan Stanley 對媒體強調,雖然發生資料外洩事件,導致客戶資金損失,但資料並非竊取自 Morgan Stanley 本身。
Morgan Stanley 表示,已經暫停所有受社交工程攻擊影響的帳戶的線上使用權,在進行電話服務時,也會加強身分認證機制,避免客戶資金進一步流失;於此同時 Morgan Stanley 的系統仍然十分安全,並未發現任何漏洞或系統本身遭駭侵攻擊的跡象。
Morgan Stanley 也表示,該公司提供客戶多種防止這類語音釣魚攻擊(Voice Phishing, Vishing)的方法,例如不要接聽不明電話號碼的來電,而當電話中對方要求提供個人機敏資訊時,也需特別提高警覺;若未能充分確認對方身分,絕不輕易提供個資。
Morgan Stanley 在信中也向潛在受害者提供信用監測服務;這項服務可以監測受害者的資金是否出現異常提領,服務期間為 2 年,而且不需額外費用。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局(Federal Bureau of Investigation)日前發表 2021 網路犯罪年度報告(Internet Crime Report 2021),指出去年全美因為各式網路犯罪,造成的總體損失高達 69 億美元以上。
這份報告指出,2021 年,該局旗下的「網路犯罪申訴中心」(Internet Crime Complaint Center, IC3)一共接獲 847,376 筆網路犯罪相關報案,和 2020 年相比,增幅為 7%,但若與 2019 年相比,案件數量則大增 81%。相關網路犯罪造成的損失,在 2020 年為 20 億美元,2021 年也增加超過三倍。
報告也指出,在 2021 年報案次數最多的三類網路犯罪,分別為釣魚詐騙、貨物未送達或應付帳款未付,以及個資外洩。
報告也說,去年有多達 649 個美國關鍵基礎設施,向 FBI 提報遭到勒贖攻擊;其中醫療與公衛部門遭到的勒贖攻擊最為嚴重,高達 148 個案件,其次為金融機構(89 次)、資訊科技(74 次)、關鍵製造業(65 次)、政府相關機構(60 次)、商業相關機構(56 次)、糧食與農業(52 次)、交通運輸(38 次)、能源(31 次)、通訊(17 次)、化學與化工(12 次)、供水與廢水處理系統(4 次)、緊急服務(2 次)、國防工業基地(1 次)。
FBI 也指出,針對美國關鍵基礎設施發動勒贖攻擊的駭侵團體,主要為 CONTI(87 次)、LockBit (58 次)、 REvil/Sodinokibi(51 次)。
FBI 說,該局不贊成受勒贖單位支付贖金,因為即使付了贖款,也未必能確保遭駭資料可以取回且不被外洩;而駭侵團體更會食髓知味,針對更多目標發動更多勒贖攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
希臘國營的 ELTA 郵政服務,日前發表資安通報指出,該單位因遭勒贖攻擊,多數營運單位無法運作,造成郵務停擺。
ELTA 近日共發出兩次資安通報,在第一次發布的通報中指出攻擊發生於本周一(2022.03.21);通報也指出服務中斷的原因,並表示該單位已立即針對攻擊事件進行處理,包括將整個資料中心離線,以儘速恢復運作。
隔日 ELTA 再度發布第二次資安通報,該單位除了提供更多攻擊相關詳情外,也對客戶提供更完整的服務受阻範圍。
同時,該單位的 IT 團隊也確認,駭侵者係利用該單位電腦系統中一個尚未修補的漏洞來植入惡意軟體,以透過 HTTPS reverse shell 來存取系統中的工作站;通報也指出,該單位認為駭侵者的目的,是要將 ELTA 所屬的關鍵企業營運系統予以加密。
不過 ELTA 的資安通報中,並未提供詳細細節,包括駭侵者、使用的勒贖軟體、駭侵者要求的贖款額度等具體資訊,目前仍不為外界所知。
另外,多數的勒贖攻擊案件中,多半也會附有資料竊取的攻擊手法,因此資安專家也懷疑這次攻擊行動,可能也有顧客個資、地址、付款資訊等重要資料外洩的問題,但這同樣也尚未得到 ELTA 證實。
目前 ELTA 有多項服務陷入無法運作的狀態,除了暫停收送郵件外,各種帳單支付或交易訂單也都無法處理;ELTA 也沒有提供服務恢復正常的預估時間。而到目前為止,該單位的官網連結也都無法存取。
twcert 發表在
痞客邦
留言(0)
人氣()
全球最大印表機品牌廠商 HP,日前發表資安通告,公布旗下有數百種各式印表機,內含一個嚴重資安漏洞 CVE-2022-3942,可導致駭侵者遠端執行任意程式碼。
該漏洞最初是由資安廠商趨勢科技旗下的 Zero Day Initiative 團隊發現,屬於緩衝區溢位錯誤,發生在「Link-Local Multicast Name Resolution(LLMNR)」功能;駭侵者可以藉由誘發此錯誤,進而遠端執行任意程式碼。
這個漏洞的 CVSS 危險程度評分為 8.4 分,原本的危險程度分級應為「高」,但在 HP 發表的資安通報中則分級為「嚴重」(Critical)。
含有這個漏洞的 HP 印表機款式極多,包括 LaserJet Pro、PageWide Pro、OfficeJet、Enterprise、Large Format DesignJet 與桌上型噴墨印表機 DeskJet 等機種,有數百款之多。
HP 已針對大多數受此漏洞影響的印表機機種,提供更新版韌體,以修補此一漏洞;不過也有相當數量機種,因為年代久遠,已不提供支援;針對這類產品,HP 亦提供操作步驟,用戶可至印表機管理介面中,依設定指南指示,停用 LLMNR 功能。
HP 各型印表機用戶可至 HP 發表的資安通報中,檢視自己擁有的機種是否列於名單之中,再採取行動處理漏洞問題。
HP 在另一篇資安通報中,也揭露了另外三個可能存於多款印表機中的資安漏洞,分別為 CVE-2022-24291、CVE-2022-24292、CVE-2022-24293,其中後兩者的 CVSS 分數高達 9.8 分(滿分為 10 分);用戶同樣應立即更新至最新版本韌體,以修補最近發現的各種漏洞。CVE編號:CVE-2022-3942影響產品(版本):請參考 HP 資安通報中的列表。解決方案:升級到最新版本韌體,或是依指引關閉 LLMNR 功能。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Pradeo 旗下的資安研究人員,日前發現一支名為 Craftsart Cartoon Photo Tools,會竊取用戶 Facebook 登入資訊的惡意 Android 軟體;該軟體不但成功在 Google Play 中上架,也已感染超過 10 萬名用戶。
這支 Craftsart Cartoon Photo Tools 宣稱的功能,是可以把用戶的照片變成卡通漫畫風格的圖片;該 App 執行時會跳出看起來很像 Facebook 登入畫面的界面,並要求用戶輸入其 Facebook 帳號與密碼;一旦用戶輸入後,藏身在 App 中的木馬惡意軟體 FaceStealer 即會竊取該登入資訊,並且傳送到某台駭侵者指定的控制伺服器。
除了連線到控制伺服器外,該惡意 Android App 還會連到另一台伺服器以傳輸竊得的資料;該伺服器過去也曾用來推送其他內含 FaceStealer 的惡意 Android App。
資安廠商表示,駭侵者似乎已經開發出可用的技術,可以先將原本無害的 App 上架到 Google Play Store 中,並且通過上架前的各種檢查;待 App 成功上架後,再透過更新的方式,把一小段惡意程式碼注入到 App 中,造成下載該 App 的用戶裝置遭到攻擊。
另外,該駭侵者在 Google Play Store 提供的資訊中,將開發公司名稱故意設定為「Google Commerce LTD」,也有誤導用戶,以為該軟體為 Google 官方開發的意圖。
twcert 發表在
痞客邦
留言(0)
人氣()
