駭客趁金融風暴打劫

雖然觀察社交工程攻擊動態的專家預期在金融危機爆發之際，可能出現一波攻擊熱潮，但無論是否遭金融危機波及，銀行現已成為社交工程圈套的一項標準.。然而，由於此刻正面臨風暴的金融業者已成為社會大眾關切的對象，因此使用者成為銀行相關詐騙圈套受害者的可能性也愈來愈高。線上銀行使用加密通訊協定來保障網路傳輸資訊的安全，而駭客也不放過利用這項技術為非作歹的機會。


根據「 Trendlabs 趨勢科技全球網路安全實驗室」近日的報告指出，繼四月及五月出現的網路釣魚圈套(請參閱TrendMicro Malware blog部落格相關文章假數位憑證、 Rock 網路釣魚工具套件之後，在新聞浪頭上的美林集團(Merill Lynch)也先後遭受駭客利用，首先是5月趨勢科技內容安全小組發現一波鎖定美林商務中心 (Merill Lynch Business Center) 客戶散發的網路釣魚郵件後(Merrill Lynch’s Rock Phish Digital Certificate)，9月底又發現一個詐騙圈套鎖定了美國第四大的連鎖銀行 Wachovia，不到一周有一個極為雷同的圈套利用美林集團作為誘餌，該公司最近才因為美國銀行 (Bank of America) 備受矚目的脫困收購案而受到媒體高度關注。該信件聲稱為了提升帳號安全性，必須點選信中所附連結，填寫5個私人相關問題，以便將來登錄時進一步安全驗證。當使用者因懼怕財產因安全性不足而蒸發，往往會按下連結，如此一來便會下載名為 BKDR_AGENT.AWAF 的惡意程式。它會破壞系統安全性，允許遠端使用者在遭感染系統上執行命令，還會植入具有 Rootkit 功能的 TROJ_ROOTKIT.FX，以便於隱用於隱藏惡意檔案與執行程序。

日前趨勢科技又再發現利用假的網路傳輸安全加密機制 SSL (Secure Sockets Layer) 憑證進行詐騙的新案例。這一次惡意程式作者使用 Rock 網路釣魚工具套件偽造了 Open Banks Enterprises 網站。在下圖顯示的偽造網站中，我們可以看到加入這個開放性銀行社群的數家銀行。



和類似的網路釣魚及惡意程式散播圈套一樣，這個詐騙網站會要求使用者下載一個新的安全憑證。網站中甚至還針對 Windows 使用者與 Mac 使用者分別提供不同的選項，將使用者引導至他處下載 .EXE 檔案，這些檔案會在系統上進行惡意活動，破壞系統安全性，而非像安全憑證一樣可保障線上交易安全。



今天我們又再發現另一波數位憑證攻擊，這一次被捲入其中的是 Standard Bank。 詐騙網頁 (同樣也是使用 Rock 網路釣魚網址) 要求使用者下載一個 128 位元的升級憑證。而下載的 .EXE 檔也是屬於惡意性質。



趨勢科技已將兩個下載檔案分別定義為 TROJ_SMALL.MJZ 與 TROJ_AGENT.ARNU。TROJ_SMALL.MJZ 會下載一個偵測名稱為 TSPY_PAPRAS.AR 的間諜程式。而 TROJ_AGENT.ARNU 則會下載 Possible_Crypt，這是一個具有變更 DNS 目錄功能的惡意程式。


所有相關的惡意網域均已被 Trend Micro Smart Protection Network 封鎖。此外，這項技術還能偵測電腦上的惡意可執行檔，並提供清除解決方案。



註：垃圾郵件的樣本：




假造的美林集團來函



假造的美國第四大的連鎖銀行 Wachovia來函

參考原文：
In The Virtual Crime World, Merrill Lynch Follows Wachovia’s Fate （美林 (Merrill LynchIn) 集團在虛擬世界中面臨與 Wachovia 銀行相同的命運）
Fake SSL Certificates Seen Again （又見假 SSL 憑證）

電腦重新開機!原來是惡意程式在製造恐慌

假防毒軟體為了使人信以為真，現在詐騙的手法愈來愈逼真，根據 流氓防毒軟體詐騙手法威脅不減一文指出，如果你的電腦突然出現當機的藍色螢幕畫面，接著電腦竟重新開機，並出現你現在使用的AntiVirus 2009防毒軟體未經註冊及「 Microsoft Security Center」相關警告字樣，請別被試圖說服你購買 AntiVirus 2009安全防護軟體的各種警告訊息所動搖，因為這是木馬TROJ_FAKEAV.SV變種藉著冒牌防毒軟體Antivirus 2009不斷翻新的散播手法之一。此舉已經引起 Microsoft 與 State of Washington 展開「恐嚇軟體」散播者圍捕行動。



圖 1. 假的BSOD (事實上只是螢幕保護程式) 現在特別指出問題癥結所在 — 特定防毒產品的未註冊版本。



圖 2. 現在甚至連重新開機畫面 (同樣也是螢幕保護程式) 中都被插入文字

這個流氓軟體感染的途徑可能是透過垃圾電子郵件、垃圾即時訊息，甚至是社交網路網站上的廣告。當使用者按下惡意連結之後，他們就下載了這個流氓程式。這些連結會指向惡意程式，該惡意程式會導致 PC 上出現各種訊息，曾經使用過的包含彈出式視窗或修改過的背景，指出系統已遭病毒感染若要移除中毒感染，使用者必須花錢購買完整的間諜程式防護軟體。像連續劇一般，這次使用的手法是警告你目前使用的防毒軟體版本為未註冊版，目的是要你掏錢購買所謂的正式版。

友子在講阿嘉的壞話

病毒不但能對電腦搞破壞，現在還要破壞人們好不容易建立的感情。

「阿嘉，我告訴你，友子在部落格講你的壞話」

試想海角七號的主角阿嘉收到這封信，你想他還會愛友子嗎？如果你最近收到類似這樣的信件，大意是說你的好朋友在詆毀你，碰巧你又交友網站的會員，在懷疑你們的友誼之前，請先懷疑是不是病毒在惡搞。我在北京工作的同事告訴我這個社交網站在大陸的白領間相當流行，也許哪天在台灣也會開始大流行。不過在這之前病毒已經開始流行一陣子了。過去幾個月內，我們已發現許多鎖定使用者為目標的資安威脅，包括垃圾郵件蠕蟲網路釣魚詐騙圈套等。而且用的是永不退流行的「社交工程」手法。

由於 Facebook 的訪客數量持續穩定成長，可以想見將有更多的惡意活動不斷滲透這個社交網路媒體。因此，Facebook 使用者對於在 Facebook 所收到的訊息應隨時提高警覺，即使是好友傳來的訊息也一樣。


「惡意部落格」除讓 Facebook 使用者背負惡名以外，還可能帶來其他不良影響

如果你是Facebook 社交網站的使用者，當你收到好友寄來聲稱有人在部落格說你壞話的訊息時，別急著點選連結，因為裡頭藏有一支木馬。一旦點選即會再度發送該訊息給被入侵者的 Facebook 好友名單，除此之外還會被植入木馬下載器，下載其他更具破壞力的惡意程式。最近趨勢科技發現一則內含惡意程式下載連結的偽造訊息正散播給遭入侵 Facebook 帳號的好友。

訊息內容如下：

崔嘻(隨著好友姓名更動)，你知道有人在部落格中說你的壞話嗎?真的非常惡劣；我認為你和其他人都應該看看… s{省略}b.cn/video/?about={好友姓名} (請把連結複製到網址列)

{Friend’s name}, have you heard about that blog that was about you?
apparently its pretty bad ;i think you and everyone should read it…s{BLOCKED}b.cn/video/?about={Friend’s name}  (copy this liXXXXXnk into address bar)

使用者若存取訊息內含的連結，會被轉往他處下載惡意檔案 UPDATE.EXE。這個檔案已經被趨勢科技定義為 TROJ_AGENT.ASLV。這個木馬程式下載到遭感染的系統中之後，會再安裝廣告軟體或傀儡程式，例如 TROJ_DROPPER.FI。

過去幾個月內，我們已發現許多鎖定 Facebook 使用者為目標的資安威脅，包括垃圾郵件、蠕蟲以及網路釣魚詐騙圈套等。就像在這個案例中所見，傳送垃圾訊息給您的朋友極可能會讓您背負惡名，所以千萬不要在意別人對你的詆毀。