Browsing: 木馬程式

    網絡安全研究員捕獲一種針對一小撮特定人士的水坑攻擊,該攻擊瞄準身處中國瀋陽及日本名古屋對北韓有興趣人士,並入侵了一個支持北韓的網站,再注入木馬程式 WhiskerSpy 等目標到訪,當對方授權安裝偽裝為影片解碼插件就會中招。雖然這次攻擊未必與你有關,但都可以引以為鑑。 想知最新科技新聞?立即免費訂閱 ! 簡單來說,水坑攻擊(Watering hole)是一種等運到的網絡攻擊方式,黑客會針對目標人物的喜好,推測他們經常訪問的網站,再佈下陷阱。雖然手法看似隨機,但由於黑客針對特定人士的興趣,在特定網站注入惡意軟件,又或架設一個惡意專題網站,讓對方搜索到來,因此仍有不錯的命中率。 這次被網絡安全公司Trend Micro捕獲的 WhiskerSpy 就屬於其中一種,研究員說背後的黑客組織 Earth Kitsune 自 2019 年已採用類似手法,但這次的攻擊方法,則由去年年尾才啟動。由於黑客鎖定的對象,是中國及日本特定地區對北韓感興趣人士,因此他們首先入侵了一個支持北韓的網站,等待目標到訪。 當目標人士進入網站,黑客注入的惡意編碼,首先會偵測對方的 IP,如確認為上述地區人士,瀏覽器便會彈出一個要求安裝影片解碼插件的錯誤訊息,讓對方誤以為必須安裝解碼插件,才能收看網站上的影片內容。一旦對方授權安裝,偽裝為解碼器的 MSI 視窗執行檔便會觸發一連串的…

    一個名為「Fangxiao」的惡意組織冒用 400 多個知名品牌的名義,將瀏覽者導向至逾 42,000 個宣傳廣告軟件應用程式、約會網站或有聲稱免費贈品的釣魚網站,更會按用戶 IP 位置導向至不同侵害方式,只為賺取廣告費,可謂為了呃人大費周章。 根據 Bleeping Computer 報道,這些網站似乎被用作產生大規模流量的一部分,該計劃為 Fangxiao 自己的網站創造廣告收入,甚或為從該集團購買流量客戶大帶來更多訪問者。 Cyjax 的詳細報告指出,Fangxiao 自 2017 年以來開始運作,創建假冒零售、銀行、旅遊、製藥、交通、金融和能源領域等 400 多個知名品牌的網站。報告中提到的品牌包括可口可樂、麥當勞、Knorr、Unilever、Shopee、阿聯酋航空等,其中許多虛假網站更具本地化選項。 一般而言,Fangxiao 受害者會被重新導向到包含 Triada 木馬或其他惡意軟件的網站,感染他們的裝置。然而,這些網站的營運商與 Fangxiao 之間的聯繫未明。 為了為其客戶和自己的網站產生大量流量,Fangxiao 每天註冊約 300 個新的品牌假冒網域名。自 2022 年 3 月,他們已使用至少 24,000 個登陸頁面和調查網頁,向受害者宣傳他們的假獎品,例如聲稱受害者贏得 2,000 歐羅,要求他們在 30 秒內完成登記資料。 這些站點中大多數使用「.top」TLD,其次是「.cn」、「.cyou」、「.xyz」、「.work」和「.tech」。這些站點隱藏在 Cloudflare 背後,並在 GoDaddy、Namecheap 和 Wix 註冊。 用戶通過流動廣告或收到包含連結的 WhatsApp 訊息而進入這些網站,這些訊息都提供「特別優惠」,或通知收件人他們「得獎」。網站將訪問者重新導向到有計時器的調查網站,藉以增加緊迫性,令受害者無時間思考。 有時受害者完成調查後,會導向至下載一個應用程式,之後要求受害者啟動該應用程式,並保持打開狀態至少 30 秒,這可能有足夠的時間從 Fangxiao 推薦中註冊新用戶。登陸頁面還託管來自 ylliX 的廣告,這些廣告被 Google 和 Facebook 將標記可疑,因為有可疑的重新導向鏈。 他們重新導向路徑取決於用戶的位置(IP 地址)和用戶代理,可導向至 Triada 木馬下載、附屬 Amazon 的連結、虛假交友網站和 SMS 小額支付詐騙。 Fangxiao 另一導向點是 App Booster Lite…

    網絡安全公司 Zimperium 近日發現了一個以劫持社交媒體、第三方應用程式商店和另行加載的應用程式,作為傳播的新惡意軟件活動。而這個新的 Android 木馬程式被 Zimperium 研究人員命名為 FlyTrap,在今年三月已出現,並攻擊 144 個國家或地區中逾一萬名受害者。 Zimperium 的 zLabs mobile threat 研究團隊首先發現該惡意軟件的存在,並發現它使用社交工程技巧來破壞受害者的 Facebook 帳戶,透過感染他們的 Android 裝置,以劫持其社交媒體帳戶收集信息,例如…

    網絡安全公司 Bitdefender 最近發現一種透過搜索結果中的廣告,傳播給受害者的新型惡意軟件 MosaicLoader,被用作竊取密碼、安裝加密貨幣礦工和傳播另外的木馬惡意程或的途徑。Bitdefender 指,這種針對 Windows 的惡意軟件已令世界各地的受害者電腦感染病毒,並試圖侵害更多的電腦系統。 MosaicLoader 可用於將各種的惡意程式,下載到受感染的電腦中,包括一種名為 Glupteba 的惡意軟件,它可以在受感染的系統上創建後門,然後竊取敏感資料,包括用戶名、密碼以及財務資料等。 MosaicLoader 與一般透過網絡釣魚攻擊,或未修補的軟件漏洞傳播的惡意軟件不同,它是透過受害者使用搜尋引擎廣告接觸受害者。例如當受害者在搜索常用軟件的破解版時,導向惡意軟件的連結就會出現在搜索結果的頂部,這些連結出現在搜尋的自動化系統中的廣告欄位,意味著除了攻擊者之外,其他人都不知道廣告是導向惡意連結,非常客易中伏。 Bitdefender 的威脅研究和報告主管 Bogdan Botezatu 表示,在家工作的員工下載破解軟件的風險比較高,並指最有可能的是攻擊者正在通過下游廣告網絡購買廣告,小型廣告網絡將廣告流量傳輸到愈來愈大的提供商。攻擊者一般會在周末這樣做,因為人工廣告審查人員有限,較難發現。 惡意軟件其實可以被防病毒軟件檢測出來,但許多下載非法破解軟件的用戶,或因關閉保護以安裝下載程式。為了讓用戶以為下載的程式安全可靠,這些假的破解軟件會模仿真實軟件的文件資料,甚至包括文件夾中的名稱和描述。而實際上受害人只是下載了 MosaicLoader,並為攻擊者提供入侵電腦的缺口,並獲得存取權限。研究人員指出,攻擊者試圖竊取用戶名和密碼,以及操作加密貨幣礦工,並投放木馬惡意軟件以獲得對電腦後門的訪問權限。…

    過咗農曆新年,又係打工仔求變嘅旺季。作為IT從業員,為咗提高被獵頭嘅機會,自然識得利用 LinkedIn 等職場社交平台去增加曝光率。不過有資安機構就警告,自從上年中開始,發現越來越多黑客利用呢個平台,誘騙求職者開啟惡意連結或附件,從而下載及安裝 More_Eggs 木馬程式喺對方嘅電腦入面,成功操縱受害人嘅電腦。 首先黑客會喺 LinkedIn 開一個虛假職業仲介公司帳號,然後誘騙目標人物建立關係;相隔一個星期,黑客就會發出一個載有招聘職位資料嘅電郵,要目標人物打開連結,進入預設嘅虛假網站,下載及開啟 Microsoft 文件檔或 Javascript。只要目標人物打開檔案或允許執行 Macros 指令,接住落嚟系統就會自動執行安裝木馬程式指令;另一個情況係電郵內會附有一個無法開啟嘅 PDF 檔案,誘騙目標人物打開旁邊嘅連結去虛假網站。 雖則話騙徒手法層出不窮,但今次呢條橋其實一啲都唔創新,中招嘅原因主要係出喺人心之上。奉勸各位準備搵工嘅人士,千祈唔好咁容易打開陌生人提供嘅連結,否則只會得不償失。 資料來源:https://bit.ly/2EaZbi0