資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來,再度展開大規模攻擊,竊取使用者通訊內容中的金融資訊,以竊取受害者帳戶中的資金。
這個名為 SpyNote 的 Android 木馬惡意軟體,首次發現是在 2022 年;據資安廠商的報告指出,這次 SpyNote 仍透過「Smishing」方式感染,即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在,使用者如果點按該連結,並在自己的 Android 手機上安裝該 apk 檔案,就會遭到該惡意軟體的感染。
接下來 SpyNote 會要求使用者給予各種權限,甚至會自己產生點按動作,代替使用者授予全部系統服務存取權限,接著就會在使用者的 Android 手機中建立背景服務,開始將使用者手機中的各項資訊,包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等,並將這些資訊傳送到駭侵者設立的控制伺服器。
此外,如同多種 Android 惡意軟體,SpyNote 也有多種設計以防遭使用者移除;除了隱藏該 App 的 icon,讓使用者難以發現之外,也會利用 Android 的內部系統服務來混淆其存在,使得 SpyNote 極難移除;如想完全移除,使用者只能將 Android 手機重置為出廠狀態。
建議 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案,例如即時通訊、網路討論區、不明人士傳來的簡訊等,以避免遭惡意軟體潛入裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Doctor Web 旗下的資安研究人員,近來發現有多個惡意 Android 應用軟體成功上架到官方應用程式商店 Google Play Store 內,假扮成各種遊戲來誤導使用者下載安裝;其總下載安裝次數突破 200 萬次。
研究人員指出,這些 App 內含的多半是 FakeApp、Joker、HiddenAds 的惡意軟體,其中 FakeApp 會將使用者導向投資詐騙網站或是網路賭場、Joker 會擅自訂閱高價服務,騙取訂閱費用分潤,而 HiddenAds 則是廣告惡意軟體,會不斷在使用者手機上顯示大量廣告。
據 Doctor Web 的報告指出,含有 FakeWeb 的惡意 Android 應用軟體,下載次數最多的如下:Eternal Maze (50,000 次)、Jungle Jewels (10,000 次)、Stellar Secrets (10,000 次)、Fire Fruits (10,000 次)、Cowboy’s Frontier (10,000 次)、Enchanted Elixir (10,000 次)。
內含 Joker 的惡意 Android App,下載次數較多的則有:Love Emoji Messenger (50,000 次)、Beauty WallPaper HD (1,000 次)。
內含 HiddenAds 惡意軟體的 Android App 下載次數則遠多於上述二者,包括 Super Skibydi Killer (1,000,000 次)、Agent Shooter (500,000 次)、Rainbow Stretch (50,000 次)、Rubber Punch 3D (500,000 次)。
建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體前,都應提高警覺,仔細閱讀其他使用者評價,再決定是否下載安裝。
twcert 發表在
痞客邦
留言(0)
人氣()
近日在以巴戰爭造成眾多死傷與破壞時,資安專業媒體 BleepingComputer 的資安專家,發現有多組詐騙者利用各種社群管道發起詐騙募捐,誑騙網友以加密貨幣轉帳並侵吞愛心捐款。
BleepingCoumpter 報導指出,該社的資安專家發現在 X(舊名 Twitter)、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動;駭侵者假冒各種公益慈善團體,要求網友以加密貨幣進行捐款轉帳,以做為戰爭受害者的人道救援之用;但其中有許多錢包位址都並非所宣稱的公益團體所擁有,明顯屬於詐騙。
其中一個假冒為「Gaza Relief Aid」(加薩救援協助)的所謂公益團體,在 Telegram 和 Instagram 上都開設了捐款帳號,並且列出其捐款錢包位址;但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成,且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網,而其「最新消息」中的內容也盜自其他新聞網站,網站中放置了許多來自新聞媒體的戰地照片,且網站中也沒有附上該組織的地址、聯絡資訊等訊息。
據 BleepingComputer 追蹤其接受捐款的三個錢包位址,目前都沒有任何轉帳記錄。
另外,也有詐騙分子假冒為以色列方的人道救援組織,以類似手法企圖騙取愛心捐款;所幸到目前為止均無任何人捐款。
資安廠商 Kaspersky 也指出,該公司的資安研究人員截獲 500 封以上的詐騙電子郵件,同樣以搧動性的文字和圖片,企圖騙取收信人的愛心捐款;且有多個詐騙活動都使用同樣的錢包位址,顯見是同一詐騙集團所為。
建議在網路上進行愛心捐款時,捐款人務必多方查證,確認募款者為真,且募款方提供可查證的資訊,捐款才不致落入詐騙分子手中。
twcert 發表在
痞客邦
留言(0)
人氣()
印度中央調查局(Central Bureau of Investigation, CBI)日前指揮多個印度執法單位,同步於全印度 76 個地點展開全國網路犯罪大型查緝活動,以扼止各種網路詐騙活動。
這波大規模查緝的行動代號為 Operation Chakra-II,主要目標是要阻斷各種透過網路進行的金融犯罪集團運作。CBI 會同多個國際、國內執法單位和 Microsoft、Amazon 等跨國科技巨頭,共同展開這次執法行動。
這次展開掃蕩活動的地點多達 76 處,分別位於印度 Tamil Nadu、Pubjab、Bihar、Delhi、West Bengal 等省分;執法人員一共緝獲 32 部行動電話、48 部筆記型電腦與硬碟,以及 33 張 SIM 卡。
據 CBI 指出,這次執行行動也破獲 2 個涉嫌假冒 Microsoft 和 Amazon 客服支援中心的攻擊活動。該攻擊活動已進行長達 5 年以上,受害者多達 2,000 人以上,且分布遍及美國、加拿大、德國、澳洲、西班牙、英國等。
這批駭侵者會利用惡意軟體,在訪客電腦中顯示詐騙支援訊息,謊稱客戶的系統發生問題,需要撥打免費客服專線電話。當受害者撥打該電話後,由駭侵者假冒的客服人員,就會謊稱客戶的電腦系統發生嚴重問題,藉以收取高額維護費用。
根據美國聯邦調查局在 2022 年的網路犯罪調查報告指出,假冒客服人員的詐騙案件,在 2018 年到 2022 年間高居各式網路犯罪的前五大類型之一。單在 2022 年一年之間,這類詐騙造成的財務損失就高達 8 億美元。
建議各公私單位應隨時加強資安防護,如遇疑似詐騙客服,要求高額維修費用,應立即洽詢原廠管道進行確認。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商唯思安全(WithSecure) 近期發現有駭侵者假冒電腦硬體製造商 Cosair 在 LinkedIn 上刊登徵才啟事,藉以散布 DarkGate 和 RedLine 等惡意軟體。
WithSecure 的資安專家在該公司發表的資安研究報告中指出,近來有駭侵者在 LinkedIn 上冒充專業電腦硬體製造商 Cosair 發布一個負責投放 Facebook 廣告的假職缺,當有受害者上鉤後,駭侵者再傳送一個含有惡意軟體文件的 zip 壓縮檔給受害者,以在受害者電腦中散布惡意軟體。
WithSecure 指出,發動這波攻擊的駭侵團體,也曾在去年發動另一波名為「Ducktail」駭侵攻擊活動。
這波攻擊的主要目的,是要竊取受害者管理的 Facebook 企業帳號,藉以進行進一步的駭侵攻擊活動,或是將帳號出售牟利。主要的攻擊對象為美國、英國和印度的求職者;而假冒的 LinkedIn 求才啟事主要招募的是具有 Facebook 企業帳號與 Facebook 廣告投放經驗的社群管理者。
受害者一旦下載了含有惡意軟體的 zip 檔,解壓縮後會出現三個檔案,其中一個 .docx 檔案中含有惡意 VBS 指令碼;開啟該 Word .docx 檔案時,會進一步下載 DarkGate 或 RedLine 惡意軟體酬載,並且試圖移除受害系統上的資安防護軟體,以隱蔽行蹤並持續進行攻擊。
建議使用者在 LinkedIn 等類似的社群網站上,應對任何附件檔案提高警覺,勿輕易開啟容易夾藏惡意程式碼的檔案格式,如 Microsoft Office 文件檔與各種可執行檔。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前宣布在其 Android 應用程式商店 Google Play Store 的 Google Play Protect 保護機制中推出全新惡意軟體即時掃瞄功能,以強化該平台對於 Android 平台上日益猖獗惡意軟體的防護能力。
Google Play Protect 是 Google Play Store 中內建的主要防護機制,可在裝置上進行惡意軟體掃瞄,每日總掃瞄次數可達 1,250 億次。該工具不只可掃瞄下載自 Google Play Store 的應用軟體,也可以掃瞄自第三方 App Store 或網路上不明來源處下載的 APK 檔案。
過往駭侵者常會利用「安裝後載入」的手法來規避 App 上架到 Google Play Store 時的惡意軟體掃瞄措施,方法是在上架 Google Play Store 時先上架無害的版本,待使用者下載安裝到其裝置後,再從外部伺服器載入惡意軟體酬載。
為防止駭侵者繼續以這種方式植入惡意軟體,強化版的 Google Play Protect 會在裝置上進行掃瞄,並將掃瞄結果傳送到 Google Play Protect 的後端架構進行程式碼分析,同時以機器學習來累積掃瞄經驗;,一旦發現惡意軟體訊號時,即會通知使用者。
Google 目前已在印度和部分指定國家推出 Google Play Protect 新機制,且會陸續在全球其他國家推出。
資安專家指出,Google 這套新系統雖然無法防杜所有 Android 平台上的惡意軟體,但應能有效降低該平台上過去未能偵測出的惡意軟體數量。
專家也表示,惡意軟體開發者當然也會試圖找出這套系統的弱點,因此加強使用者自我保護的觀念與使用習慣,仍然十分重要。
建議 Android 平台使用者在此系統可使用時下載安裝,且仍應維持良好習慣,絕不安裝來路不明的 APK 檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技 (Trend Micro) 日前發表研究報告,指出該公司發現一個名為 DarkGate 的惡意軟體,近期利用竊得的 Skype 帳號,以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。
趨勢科技的研究人員,在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動;駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話,然後將含有惡意軟體的檔案名稱,改成符合對話內容的形式後傳遞給受害者。
傳送給受害者的檔案中,含有 VBA 載入指令,可進一步載入 AutoIT 惡意軟體酬載,用來載入並執行最終的 DarkGate 惡意軟體酬載。
趨勢科技指出,目前並不清楚這些 Skype 帳號是如何遭到竊取,以用於發送惡意軟體的,有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。
此外,趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼;遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。
趨勢科技指出,駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號,並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊;駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制,並且發送釣魚附件檔案給討論群組中的使用者。
建議企業加強對內部訊息討論群組的資安防護,分享相關文件、試算表或簡報應盡可能避免直接分享檔案,可改使用線上版生產力工具,以杜絕惡意指令碼的執行。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Proorfpoint 與 Ponemon Institute 日前聯合發表一份針對醫療保健單位的資安研究調查報告「The Cost and Impact on Patient Safety and Care」;報告指出,僅有 45% 的醫療單位具備防護 BEC 與供應鏈攻擊的能力,且 64% 醫事單位在近兩年內平均遭到 4 次供應鏈攻擊。
這份調查報告向 17,805 名負責醫事單位資安或 IT 權責人員發出問卷,有效填答問卷有 653 份,調查對象包括各大公私立醫療院所、醫療健康保險業者、生物科技相關業者、藥事單位等。
調查報告揭露的重要數字如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Guardio 旗下的資安專家,近期發現有駭侵者使用一種全新的手法來散布惡意程式碼;即利用區塊鏈來藏匿惡意程式碼,藉其去中心化的特性,使其駭侵手法更不容易偵測防範。
Guardio 在兩個多月前發現有駭侵者利用這種稱為「ClearFake」的手法來進行攻擊。原本該駭侵者係使用遭到入侵成功的 WordPress 網站來放置惡意程式碼,並利用 CloudFlare 的 Worker 功能進行重新導向;但因該 ClouldFlare Worker 遭發現而下架,之後駭侵者便改用 Binance Smart Chain 區塊鏈來存放其惡意程式碼。
Guardio 指出,駭侵者首先利用已知漏洞駭入多個 WordPress 網站,或是竊得該網站的 admin 登入權限,然後在其網站頁面中植入兩段指令碼,該指令碼會自 Binance Smart Chain 中載入惡意程式碼,再將這段惡意程式碼嵌入到 WordPress 的頁面中。這段程式碼會連線到一台控制伺服器,並載入第三段惡意軟體酬載;受害者如果不慎進入該受駭的 WordPress 網站,會看到假冒的 Chrome、Firefox、Edge 瀏覽器更新畫面,誘騙使用者按下更新按鈕並下載另一段惡意軟體。
Guardio 說,這種利用區塊鏈來放置惡意程式碼的手法十分新穎。由於區塊鏈具備去中心化與不可篡改的特性,因此置入到區塊鏈中的惡意軟體程式碼是無法下架的。而 ClearFake 也利用區塊鏈來記錄控制伺服器的位置資訊,因此要是有某台控制伺服器遭到破獲下線,駭侵者也可在區塊鏈上輕鬆新增新伺服器的位址資訊。
這種利用區塊鏈來存放惡意程式碼的新手法,目前難以防治;以此案為例,僅能由加強 WordPress 網站本身的資安防護功能來入手。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前公布一批勒贖攻擊團體經常用於攻擊的漏洞與資安設定錯誤樣態, 目的是要協助關鍵基礎設施強化資安防護能力。
CISA 於 2023 年 1 月起開始推動「勒贖軟體漏洞警告先導計畫」(Ransomware Vulnerability Warning Pilot, RVWP)專案,並且經常新增相關資訊;本次公布的資訊即屬 RVWP 專案的防護資訊更新。
至今為止,CISA 的 RVWP 計畫已經公布超過 800 個經常遭到勒贖團體攻擊使用的各式軟體與系統的資安漏洞與錯誤資安設定,其目的在於提供各種經常遭勒贖攻擊鎖定的全球關鍵基礎設施或服務,依其指引提升資安防護量能,避免因為遭到勒贖攻擊而導致關鍵基礎設施服務中斷,因而造成重大影響。
CISA 指出,雖然該單位過去已經推出「遭攻擊已知漏洞」(Known exploited vulnerabilities, KEV)清單供各公私單位參考使用,且在該清單中額外加上一個欄位,專門標示易遭勒贖攻擊駭侵者使用的資安漏洞,但為因應日益猖獗的勒贖攻擊,CISA 決定推出 RWVP 通報,以強化針對勒贖攻擊的防護量能。
CISA 也同時推出一個專為防杜勒贖攻擊的入口網站「StopRansomware.gov」,其目的在於集中提供各種防範並處理勒贖攻擊的多種有用資訊。
建議各公私單位可參考 CISA 提供的各類資安防護通報,並依其指引提升防護能力,以提高安全性。
twcert 發表在
痞客邦
留言(0)
人氣()
Fortinet 旗下的資安專家,近期發現一個稱為 IZ1H9 的 Mirai DDoS 僵屍網路,最近新增了多達 13 種變種,以各廠牌型號基於 Linux 作業系統的路由器產品為目標加以攻擊。
Fortinet 的資安專家發現在 2023 年 9 月的第一周,由 IZ1H9 發動的攻擊次數達到近期的高峰,偵測到針對弱點裝置多達數萬次的攻擊行動。
IZ1H9 的典型攻擊手法是利用各廠牌網通產品的漏洞加以攻擊,植入 Mirai 變種 DDoS 僵屍網路程式,使該裝置成為其攻擊網路的一部分,再針對「租用」其服務的客戶需求,攻擊特定的網路目標。
這次 Fortinet 發現的新變種,分別鎖定攻擊的路由器廠牌與版本,包括 D-Link 多款產品、Netis WF2419、Sunhillo SureLine 8.7.0.1.1 之前版本、Geutebruck 多款產品、Yealink Device Management 3.6.0.20、Zyxel EMG 3525/VGM1312 V5.50 之前版本、TP-Link Archer AX21 (AX1800)、Korenix Jetware wireless AP、TOTOLINK 多款路由器產品等;主要都是透過這些產品已知但未及時更新的漏洞。
1Z1H9 在感染上述廠牌型號的路由器產品後,會先自一個特定 URL 載入名為 l.sh 的指令檔,執行該指令檔後,先行刪除路由器內的 log 檔案,以隱匿入侵行為,然後根據產品型號的不同,下載不同的酬載惡意軟體檔案,之後會修改路由器的 iptables 規則,並且將其連線轉到特定連接埠,以藏匿其連線動作,減少被阻擋的機會。之後該惡意軟體就會連線到其控制伺服器,等待攻擊命令下達後,再發動包括 UDP、UDP Plain、HTTP 泛濫、TCP SYN 等類型的 DDoS 攻擊。
建議各受影響廠牌路由器之用戶應立即更新到最新版本韌體,未提供更新者應考慮替換為較新機種。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 10 月例行資安更新修補包「Patch Tuesday」,共修復 104 個資安漏洞;其中含有 3 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量有 104 個,較上個月(2023 年 9 月)的 59 個資安漏洞大為增加;而在這 104 個漏洞中,僅有 12 個屬於「嚴重」等級,另有 3 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 45 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
