資安廠商近日發現,超過 170 支 Android App 會鎖定對加密貨幣感興趣的用戶進行詐騙,但由於 App 本身沒有任何惡意軟體式碼或惡意行為,因此反而很難偵測。
資安廠商 Lookout 旗下的研究人員近日發現,近來有超過 170 支 Android App 會鎖定對加密貨幣感興趣的用戶進行詐騙,但由於 App 本身沒有任何惡意軟體程式碼或惡意行為,因此反而很難偵測。
這些「非惡意」詐騙 App 的詐騙行為,是發生在 App 之外;這些 App 多宣稱可以幫用戶進行付費雲端挖礦,但實際上向用戶收了錢,卻不會真正提供任何雲端挖礦服務,用戶花了錢卻無法得到任何承諾的服務,因此也算是一種詐騙。
但由於這些 App 本身沒有進行任何惡意活動,包括沒有惡意軟體酬載安裝、不含任何惡意程式碼、不竊取任何用戶裝置上的資訊,也不會進行任何掃瞄;正因如此,各種惡意軟體防阻機制,不會把這些 App 視為惡意軟體而加以防範,反而讓這類軟體能成功進行詐騙活動。
Lookout 的資安專家,把這 170 支 Android App 分為兩類:前一類稱為 BitScam,其開發框架非常簡單,任何沒有開發經驗的人,也能用這個框架和 SDK 做出一支詐騙 App;另一類則稱為 CloudScam ,其開發框架則是用 Java 製作,需要有程式寫作能力的人才能操作。但兩種框架都能産生這種「非惡意」、不含任何惡意程式碼的詐騙挖礦 Android 應用程式。
Lookout 指出,這 170 支 Android 應用程式中,有 25 支成功在 Google Play Store 上架,其餘則在各種規模較小的第三方應用程式商店内上架;據該公司統計,被這些「非惡意」詐騙挖礦 App 詐騙的受害者多達 86,000 人以上,遭詐騙金額則超過 350,000 美元。
在 Google Play Store 上架的這類詐騙軟體,目前已遭 Google 下架;對加密貨幣挖礦有興趣的用戶,在選擇挖礦服務並安裝軟體時,應特別提高警覺。
twcert 發表在
痞客邦
留言(0)
人氣()
甫於七月初推出的社群平台 Gettr,上線不過短短一周,已遭多次駭侵攻擊;近 87,000 名用戶各項個資遭到公開。
甫於今年(2021)七月四日,即美國國慶日當天推出的親川普社群平台 Gettr,上線不過短短一周,傳出已遭至少兩次以上駭侵攻擊;近 87,000 名用戶各項個資在某駭侵相關論壇上遭到公開。
資安媒體 HackRead 取得這批遭竊資料後,加以分析並清除重覆資料,指出共有 76,382 名 Gettr 用戶的個資,在這波攻擊行動中遭到曝光;被公開的用戶資料欄位,包括:用戶使用狀態、所在地、註冊的用戶名稱、出生年月日、Email 地址等。
HackRead 也指出,被竊資料中並不包含用戶登入使用的密碼資訊。
Gettr 是由美國前任總統川普的前發言人 Jason Miller 所推出的全新社群平台,其立場傾向極右保守的川普路線;推出後吸引相當多全球各地川普支持者註冊使用。
據 HackRead 指出,Gettr 從 7 月初推出上線至今,還不到一個星期,至少已遭大規模駭侵攻擊達兩次以上;包括在一堆出後就遭不明人士在其討論區中張貼大量不堪入目的色情圖片與影片,網站上前川普幕僚的知名人士,如創辦人 Jason Miller、Steve Bannon、前國務卿 Mike Pompeo、國會議員 Mojorie Taylor Greene 等人的個人檔案内容也遭惡搞。
駭侵者甚至還在相關論壇上指出,「要入侵 Gettr 是非常容易的」,強調他們只是為了好玩,並沒有政治目的。
Gettr 在接受 HackRead 訪問時強調,註冊 Gettr 無需輸入詳細個資,Gettr 也無意像其他社群平台一樣,透過用戶個資牟利;該站目前已修復遭駭侵者利用的漏洞,後續未曾發生其他入侵事件。
twcert 發表在
痞客邦
留言(0)
人氣()
上個月在全球發生不明攻擊,導致用戶儲存資料被完全刪除的 WD NAS 儲存裝置,又被發現新的 0-day 漏洞,不但會被植入一個永久的後門,而且還能遠端執行任意程式碼。
上個月在全球發生不明攻擊,導致用戶儲存資料被完全刪除的 Western Digital 的 NAS 儲存裝置,又被發現新的 0-day 漏洞;這次的漏洞不但會讓駭侵者以 root 身分,在用戶設備植入一個永久的後門,而且還能遠端執行任意程式碼。
這個 0-day 漏洞發生在 Western Digital 執行「My Could 3」作業系統的 My Cloud 儲存裝置中,而這個版本的 My Cloud 3 作業系統早已無法獲得 Western Digital 的更新與支援。
Western Digital 表示,My Cloud 3 已在數年前由新版的 My Cloud 5 作業系統取代,而新版 My Cloud 5 已經修復此一漏洞;但據資安專家表示,新版的 My Could 5 取消很多舊版 My Cloud 3 中的功能,用戶若將其 NAS 自 My Cloud 3 升級至 My Cloud 5 ,會有很多原本使用的功能出現錯誤而無法繼續使用,因此用戶的升級意願並不高;在舊版作業系統早就停止支援更新的情形下,將會使得該漏洞的潛在威脅程度更為提高。
不過不願升級 My Cloud 3 的用戶,也不是完全沒有希望;有資安專家推出了自己撰寫的修補檔案,My Cloud 3 的用戶可以自行下載安裝。但這個版本有個重大缺點,就是如果用戶重新啟動其 NAS 裝置,本修補程式就會失效;用戶必須再次安裝該修補程式才行。
twcert 發表在
痞客邦
留言(0)
人氣()
七月初由駭侵勒贖團體 REvil 針對 Kaseya VSA 伺服器發動的全球性勒贖攻擊活動,所使用的 0-day 資安漏洞,即將在近日由 Kaseya 推出修補程式予以修補。
七月初由駭侵勒贖團體 REvil 針對 Kaseya VSA(Virtual System/Server Administrator) 伺服器平台發動的全球性勒贖攻擊活動,所使用的 0-day 資安漏洞,即將在近日由 Kaseya 推出修補程式予以修補。
這次針對 Kaseya VSA 伺服器的攻擊行動範圍極大。全球有相當多用戶都使用 Kaseya VSA 來管理企業組織之内的眾多電腦設備,包括雲端版本或安裝於客戶端的 Kaseya VSA 伺服器。據資安廠商 TruSec 指出,由於一台 Kaseya VSA 伺服器之下會管理眾多設備,只要該伺服器遭到攻擊得逞,轄下所有管理的電腦設備均無法倖免。
據 Kaseya 表示,此波遭到攻擊的是該公司約 60 個客戶,但其中相當多的「管理服務供應商」,使用 Kaseya VSA 透過網路提供設備管理服務給更多規模較小的客戶,因此受害者多達 1,500 家以上企業。根據 Kaspersky 的報告指出,該公司觀察到的攻擊次數超過 5,000 次,受害企業遍及全球 22 個國家,災情最嚴重的國家為美國與義大利。
根據資安專家報導指出,原本 REvil 對受害企業提供解碼工具的勒贖金額高達 7,000 萬美元,但目前已經「降價」為 5,000 萬美元;但也有個別企業自行與 REvil 接觸,贖金也有低至 50,000 美元的案例出現。
Kaseya 在攻擊事件發生前已經知道這次攻擊使用的 0-day 漏洞 CVE-2021-30116,但並未及時推出修補程式,以致發生規模如此龐大,僅次於 SolarWind 的攻擊事件;該公司已提供緊急處理原則指南,並且承諾將儘快推出修補程式。
twcert 發表在
痞客邦
留言(0)
人氣()
1. 簡介
為了因應日益猖獗的勒索軟體攻擊,美國國土安全及基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 的資訊安全評估工具 (Cyber Security Evaluation Tool, CSET) 已納入新模組 – 勒索軟體防護機制自評工具(Ransomware Readiness Assessment, RRA),協助組織診斷自身資安防護機制是否健全與足夠應對勒索軟體攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
台灣網路儲存設備大廠 QNAP 日前發表資安通報,修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞;QNAP NAS 用戶應立即依指示更新,以降低遭駭風險。
台灣網路儲存設備(Network Attached Storage, NAS)大廠威聯通(QNAP),日前發表最新資安通報,修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞;QNAP NAS 用戶應立即依照資安通報内的指示更新系統軟體,以降低遭到駭侵攻擊的風險。
得到修復的嚴重漏洞,其 CVE 編號為 CVE-2021-28809,屬於存取控制不當漏洞,存於 QNAP NAS 内建的資料備份暨還原應用程式 HBS 3 Hybrid Backup Sync 之中。
該漏洞的危險程度分級為最高等級的「嚴重」(Critical),其發生主因是由於程式内的錯誤,造成 NAS 系統無法有效阻擋駭侵者取得系統資源;駭侵者可藉由這個漏洞,提升自身執行權限,遠端執行任意程式碼,或是在未經管理者授權的情形下,任意讀取系統内儲存的各種資料。
QNAP 雖然在日前才發布資安通報,但又表示下列版本的 QNAP NAS 作業系統 QTS 中的 HBS 3 早已完成修復;這些 QTS 和對應的 HBS 3 版本如下:1、QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前自 Google Play Store 中下架了 9 款 Android App,原因是這些 App 遭資安專家發現,會用特殊方式竊取用戶的 Facebook 密碼。
Google 日前自 Google Play Store 中下架了 9 款 Android App,其合併下載次數高達 580 萬次;原因是這些 App 遭資安專家發現,會用特殊方式竊取用戶的 Facebook 密碼。
這些被下架的 App 都是相當熱門的應用類型,像是相片特效編輯、加框、運動健身、星座、Android 系統整理加速、移除垃圾檔案等等,用這些功能解除用戶心防,吸引用戶下載。
這些惡意 App 竊取用戶 Facebook 登入帳號密碼的方式也很一致,就是要求用戶輸入其 Facebook 登入資訊,以移除 App 内顯示的廣告;雖然在用戶登入時出現的是真正的 Facebook 登入頁面,但在同一個 WebView 元件中,還會另外載入由駭侵者的控制伺服器植入的 JavaScript 程式碼,以攔截用戶輸入的登入資訊。
這支 JavaScript 程式在獲取用戶的 Facebook 登入資訊後,會再將登入資訊傳回控制伺服器,之後惡意軟體還會竊取用戶存在瀏覽器中的 Cookie。
資安專家也指出,雖然該惡意程式碼目前只竊取 Facebook 登入資訊,但可以隨時透過控制伺服器,變更要竊取的登入服務對象;因此用戶在其他服務的登入資訊也很有可能早被竊取得手。
這九個被 Google 下架的 Android App 分別是 PIP Photo、Processing Photo、Rubbish Cleaner、Inwell Fitness、Horoscope Daily、App Lock Keep、Lockit Master、Horoscope Pi、App Lock Manager。Android 用戶應立即檢查自己是否有下載這些惡意 App 並儘速移除。
twcert 發表在
痞客邦
留言(0)
人氣()
REvil勒索軟體攻擊對象涵蓋全球各大領域產業,影響逾千家企業,台灣多家大型企業也曾受駭,建議企業落實資安防護措施,提升員工資安意識,以免遭勒索軟體攻擊而造成損失。近年來俄羅斯駭客組織REvil逐漸壯大,在勒索軟體的排行中名列前茅,被列為最危險的勒索軟體之一,該駭客組織自2019年起,針對全球從製造業、金融業到電信業等20個領域進行攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
美國政府資安主管機關「網路安全暨基礎設施安全局」,日前發布資安通報,針對極嚴重的 0-day 漏洞 PrintNightmare,要求沒有列印需求的 Windows 伺服器,應關閉列印暫存區服務,以免遭到攻擊。
美國政府資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前發布資安通報,針對極嚴重的 0-day 漏洞 PrintNightmare,要求沒有列印需求的 Windows 伺服器,應關閉列印暫存區服務(Windows Print Spooler),以免遭到攻擊。
這個漏洞原先被辨識為 CVE-2021-1675,微軟也在六月發行的 Patch Tuesday 每月資安修補包中予以修補完成;然而在六月底時資安專家發現,微軟的修補程式在 Windows Server 2019 上並未解決問題;後來在一家中國資安廠商發展出的攻擊概念實作程式碼流出後,外界才發現這個存於 Windows Print Spooler 中的 0-day 漏洞。
該 0-day 漏洞的嚴重程度屬於非常危險的等級,駭侵者可利用此漏洞,在受駭系統上遠端執行任意程式碼;目前這個 0-day 暫時被命名為 PrintNightmare。
CISA 於 7 月 1 日發表資安通報,建議 Windows 所有系統管理者,關閉沒有列印需求的網域控制器或其他伺服器系統上的 Windows Print Spooler 服務,以免遭到駭侵者利用此漏洞發動攻擊。
CISA 說,網域控制器或 Active Directory 的系統管理員,可以參考微軟於今年(2021 年)1 月發表的指南,關閉未使用的 Windows Print Spooler 服務。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦政府資安主管機關 CISA,近日推出勒贖攻擊防護評估指南,供各公私單位參考,以對抗日益嚴重的勒贖攻擊。
美國聯邦政府資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),近日推出「勒贖攻擊防護評估指南」(Ransomware Readiness Assessment, RRA),供各公私單位參考,以對抗日益嚴重的勒贖攻擊。
這份勒贖攻擊防護評估指南,是一系列可用以進行自我資安評估的工具,各單位可以依照此指南進行評估,了解自身對於勒贖攻擊的防護程度;特別適用於針對資訊科技(Information Technology)、營運科技(Operational Technology)、工業控制系統(Industrial Control System)資産的勒贖攻擊防護。
在 RRA 的 Wiki 頁面上,CISA 指出:「RRA 同時也提供各單位一條清楚的資安防護提升路線圖,包括各種基本、中等與進階防護的評估用問題。」
RRA 評估工具目前已整合在 CISA 提供的「資安評估工具」(Cyber Security Evaluation Tool, CSET)之中,成為 CSET 的多種資安防護程度評估模組之一。
CISA 表示 RRA 擁有以下特色,可以用來幫助各單位有效對抗勒贖攻擊:RRA 可幫助各單位以系統性、有條理且可重覆執行的方式,來評估其資安防護能力,特別是針對勒贖攻擊防護相關的資安標準與最佳執行實務;RRA 可用以指導 OT、IT 系統的資産管理與操作者,以系統化的流程來評其系統的資安防護措施,以對抗勒贖攻擊,甚至還提供圖表與表格的分析儀表板,便於檢視各種簡化與詳細資安資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
什麼是勒索軟體?勒索軟體是一種惡意軟體,以加密設備上的文件來威脅受害者,要求受害者支付贖金(通常是加密貨幣)才能解密文件,還會嘗試傳播感染網路上其他設備,無差別或是針對具有高價值的目標攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個名為 Crackonosh 的挖礦惡意軟體,由放在論壇上的盜版遊戲夾帶,植入在受害者電腦内挖掘加密貨幤;目前不法獲利已高達 200 萬美元。
資安廠商 Avast 日前接獲用戶的異常反應,深入研究發現一個名為 Crackonosh 的挖礦惡意軟體,由放在論壇上的盜版遊戲夾帶,植入在受害者電腦内,挖掘加密貨幤「門羅幤」(Monero, XMR);目前不法獲利已高達 200 萬美元。
據 Avast 發表的報告指出,有用戶反應自不明論壇下載盜版遊戲後,其安裝在新購 Windows 筆電中的 Avast 防毒軟體即遭刪除,且 Windows 也出現錯誤訊息。
Avast 深入研究該案例後,發現一個名為 Crackonosh 的挖礦惡意軟體,在這些盜版遊戲中植入惡意挖礦程式碼,並安裝 XMRig 以挖掘門羅幤;目前已知 Crackonosh 已經感染超過 222,000 台電腦,一共挖出 9,000 枚門羅幤,市價高達 200 萬美元。
Avast 的報告中也指出,Crackonosh 的擴散相當快速,自 2020 年 12 月開始感染後,目前有十多個國家的遊戲玩家遭到攻擊,受害最嚴重的是菲律賓,共有 18,448 台電腦遭到感染,其次是巴西(16,584)、印度(13,779)、波蘭(12,727)、美國(11,856)與英國(8.946)。
除了挖礦之外,Crackonosh 還有個特色,就是會停止並移除 Windows 系統上原本安裝的各種防毒防駭軟體,甚至連 Windows 内建的防毒防駭機制 Windows Defender 也無法倖免;Avast 的研究人員指出,這是 Crackonosh 自我保護免被發現的方法,也使得 Crackonosh 難以被偵測並移除。
Avast 的報告中指出,除了 Avast 與 Windows Defender 外,包括 Adaware、Bitdefender、Escan、F-secure、Kaspersky、Mcafee(僅掃瞄功能)、Norton、Panda 等著名常見防毒防駭工具,都會被 Crackonosh 停用並刪除。
twcert 發表在
痞客邦
留言(0)
人氣()
