新發現 Android 木馬,不但竊取用戶個資,還會暗中訂閱付費服務

資安研究單位發現一個名為「小丑」(Joker)的 Android 木馬,除了會竊取用戶個資、製造廣告假點閱外,甚至還會暗中訂閱付費服務。

資安公司 CSIS 日前發表研究報告,指出該公司發現一個全新的 Android 木馬程式,稱為「小丑」(Joker),且已經大量透過 Google Play 官方軟體下載中心散布。

這個惡意程式不但會竊取用戶手機中的通訊錄、裝置資訊和簡訊通訊內容,也會製造廣告假點擊,浪費用戶頻寛並詐取廣告分潤;更嚴重的是會自動幫用戶訂閱付費服務,造成更大的損失。

目前 CSIS 觀測到 Joker 已藏身在 24 支於 Google Play 上架的 App 之中,總安裝次數接近五十萬次。受害者多分布於歐洲和亞洲各國,但也觀測到當用戶身處美國和加拿大時,該木馬便會自動停止執行。

CSIS 的報告中有詳細的惡意軟體行為分析可供參考。

資料來源:

https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

大量 Instagram 釣魚郵件,藉侵權為由騙取帳號控制權

資安單位發現大量假冒 Instagram 發送的詐騙釣魚信件,意在竊取帳號控制權,用戶須提高警覺,避免點擊假連結。

據資安公司 Sophos 發布的消息指出,近來有大量假冒熱門相片影片分享社群平台 Instagram 的釣魚信件,在網路上流傳,意圖騙取受害者的帳號控制權。

這波釣魚信件假裝是由 Instagram 平台發出的警告信,指稱用戶分享侵害著作權的內容,如果不按下信件中的申訴按鈕,帳號可能會在 24 小時內遭停權。

用戶如果受騙而按下連結,就會被導向到一個假網站,並要求輸入 Instagram 帳號與密碼;歹徒就可取得用戶的 Instagram 控制權。

由於很多用戶會將同樣的帳號密碼使用在不同服務上,所以歹徒還可能進一步入侵受害者在其他服務上的帳號。

事實上,Instagram 對於侵權內容的處理,並不會在事前通知用戶,而是會先下架內容才通知用戶,所以流程是不一樣的。Instagram 用戶如果收到不明的通知信,一定要提高警覺。

資料來源:

  1. https://nakedsecurity.sophos.com/2019/09/24/instagram-phish-poses-as-copyright-infringement-warning-dont-click/
  2. https://help.instagram.com/1445818549016877

Google Chrome 應用程式商店中出現假冒廣告阻擋外掛,用以詐騙電商銷售分潤

兩支假冒知名網頁廣告阻擋器的假冒外掛程式,於 Google Chrome 應用程式商店中被發現;估計每月詐得的電商購物分潤,高達數百萬美元。

這兩支假冒外掛程式是「AdBlock by AdBlock Inc.」以及「uBlock by Charlie Lee」,分別假冒 AdBlock 和 uBlock 這兩個廣受歡迎的廣告阻擋軟體。

發現這兩支假冒外掛的,是另一家知名廣告阻擋軟體開發者 AdGuard;AdGuard 在其官方部落格中發文指出,這兩支假冒外掛合計已有 160 萬用戶。

報告進一步分析假冒外掛後,發現這兩支外掛都會進行「cookie stuffing」詐騙,也就是在用戶瀏覽器中偷偷塞入不相干的第三方 cookie;當用戶於某些電商網站購物時,就可以透過該 cookie 進行不實推薦認證,詐取分潤傭金。

AdGuard 發現這兩支假冒外掛的詐騙 cookie,詐騙的目標包括 Alexa 前一萬名中的三百個大型網站,每個月可詐得的傭金,估計高達數百萬美元。

在這個消息公開後,Google 已將這兩支假冒外掛下架,但由於 Google 對 Chrome Store 外掛程式上架的審核非常鬆散,資安專家建議用戶在安裝任何瀏覽器外掛時,最好三思,是否真的需要這個外掛,也不要輕信外掛的說明文字、評價和用戶留言。

資料來源:

  1. https://adguard.com/en/blog/fake-ad-blockers-part-2.html
  2. https://www.zdnet.com/article/google-removes-two-chrome-ad-blocker-extensions-caught-cookie-stuffing/
  3. https://www.tomshardware.com/news/adblock-ublock-fake-google-chrome-browser-extensions,40422.html

針對工業的駭侵行為,相較去年上半年大增一倍

IBM 轄下的資安研究單位 X-Force IRIS 日前發表研究報告,指出過去半年以來,針對工業和製造業的駭侵次數,和去年上半年相比,大幅增加了一倍。

IBM 的報告指出,該單位發現製造業被列為駭侵攻擊對象的比例,近年來大幅增加;近半年來有一半左右的駭侵事件,都是針對工業製造部門發動的。

這些駭侵行動最主要的攻擊手法,仍是透過釣魚郵件、發動水坑攻擊,或是駭入企業的第三方合作單位,以取得入侵所需的登入資訊。

有些駭侵團體會先在企業內網中潛伏數月之久,盡量搜刮所需的檔案;但也有駭侵行動在入侵之後就立刻展開。

IBM 估計,大型企業每次遭到攻擊,平均會有 12,000 台電腦遭到破壞;企業至少要花 512 小時才會發現遭到駭入,復原所需時間更長達 1,200 小時。

資料來源:

  1. https://securityintelligence.com/posts/from-state-sponsored-attackers-to-common-cybercriminals-destructive-attacks-on-the-rise/
  2. https://www.zdnet.com/article/cyberattacks-against-industrial-targets-double-over-the-last-6-months/

研究人員再次發現 Tesla Model S 無線鑰匙漏洞,可竊走車輛

去年發現 Tesla Model S 無線鑰匙可被任意複製的資安研究人員,再次發現另一漏洞,同樣可在車主不知不覺的情形下,以無線方式複製鑰匙並竊走車輛。

比利時 KU Leuven 大學資安研究人員 Lennert Wouters,日前在亞特蘭大市舉辦的資安學術研討會發表演說,再次指出 Telsa Model S 無線鑰匙存有資安漏洞;駭客能在不接觸到車主持有正版鑰匙的情形下,利用該漏洞破解鑰匙與車輛間的加密通訊,透過無線連結竊取資料,打造出一模一樣的無線鑰匙,從而竊走車輛。

這已是 Lennert Wouters 第二次揭露 Tesla Model S 無線鑰匙系統的漏洞。去年他首次發表此一漏洞時,完整示範了整個破解與複製鑰匙的過程;本次他只提供部分證明,並未完整示範。

Lennert Wouters 表示,新漏洞和去年相比,其可操作的範圍較小,距離車身必需近一點,花費複製時間也較長,但同樣有效。Tesla 原廠已得知該漏洞,並將在近期透過無線方式進行更新推播,以修補此漏洞。

資料來源:

https://www.wired.com/story/hackers-steal-tesla-model-s-key-fob-encryption/

專家研製偵測軟體 Bluetana,抓到竊取信用卡資訊的假冒藍牙刷卡機

資安公司 Krebs 與美國大學共同合作,開發出一支能夠偵測出假冒藍牙刷卡機的 App,可以用來遏止信用卡資料竊盜事件。

Krebs on Security 發表專文指出,該單位與加州大學聖地牙哥分校、伊利諾大學香檳城區分校,共同開發出一支稱為 Bluetana 的手機 App,希望能夠找出各種透過藍牙傳輸資料的假冒信用卡刷卡機。

這類假的藍牙刷卡機經常被歹徒放在美國各地自助加油站的刷卡機旁,當不知情的顧客刷卡時,信用卡資料就有被竊取的風險。

研究單位表示,他們讓 44 位志願者使用 Bluetana 偵測全美六個州的 1,185 個加油站,一年來發現了 64 個假冒刷卡機。

Bluetana 將有助於加油站管理者與警察更快速找到可疑的假冒刷卡機,減少信用卡資料竊取與盜刷造成的巨大損失。

資料來源:

  1. https://krebsonsecurity.com/2019/08/meet-bluetana-the-scourge-of-pump-skimmers/

資安專家成功示範以修改過的 Lightning 連接線, 透過 iPhone 駭入 Mac

資安專家成功以修改過的 Lightning 連接線連接受害者的 iPhone 和 Mac 後,在用戶不知不覺的情況下,以另一支 iPhone 遙控並駭入用戶的 Mac,並執行任意指令。

由駭客 _MG_ 等人開發的「O.MG Cable」,外觀上看起來和一般的 Lightning 連接線沒有任何差異,甚至在插入 iOS 裝置和電腦時,系統也不會偵測到任何異常。

但只要受害者利用這條連接線連接 iOS 裝置和 Mac 電腦,駭侵者就可以透過網路來控制受害者的 Mac,甚至包括開啟 Terminal 視窗,執行任意程式碼。

開發者指出,在這條 O.MG Cable 上可以預先載入多種指令或程式腳本,也能刪除自身運作的記錄。

資料來源:

  1. https://mg.lol/blog/omg-cable/
  2. http://mg.lol/blog/defcon-2019/
  3. https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer

單眼相機也可能被勒贖軟體攻擊

資安研究單位 Check Point 發表研究報告,指出單眼相機也可能成為勒贖軟體的攻擊目標。

Check Point 的資安專家指出,單眼相機用來傳送相片資料的 PTP 傳輸協定,存有易被駭客攻擊的漏洞;駭客可利用 PTP 在相機中植入勒贖軟體。

Check Point 使用 Canon EOS 80D 進行攻擊示範,透過相機的 Wi-Fi 相片傳輸功能,將勒贖軟體植入相片,並且將記憶卡中的所有影像資料加密,讓用戶無法存取相片或影片。

Check Point 在今年三月發現這個漏洞,並且通報 Canon;Canon 也於日前推出安全更新。攝影愛好者除了應該立即更新,並應避免使用未加密的無線網路傳輸照片;而在相片傳輸完成後應立即關閉相機的 WiFi 功能。

資料來源:

  1. https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/
  2. https://global.canon/en/support/security/d-camera.html
  3. https://www.theverge.com/2019/8/11/20800979/check-point-canon-eos-80d-dslr-malware-ransomware-cybersecurity

美國政府警告,2020 總統大選恐遭勒贖攻擊

美國政府官員指出,2020 總統大選時,駭客可能會加強攻擊選民資料庫;尤其是勒贖攻擊。

據路透社報導指出,美國政府已著手規畫針對 2020 大選選民資料庫的資安強化作業,各項新保護措施預計在一個月內就會上線。

美國官員指出,該資料庫曾在 2016 年遭俄羅斯駭客入侵,當時駭客的目的僅為竊取資料;但 2020 年可能發生的駭侵行為,其動機將會是操弄、干擾選舉或破壞資料。

美國國土安全部旗下的網路基礎架構安全局(CISA)特別針對勒贖攻擊的威脅發出警告;過去半年來已有多個美國大小城市,因勒贖攻擊而造成市政系統全面癱瘓。

CISA 已經開始會同 2020 大選各相關單位,共同研擬遭到各種攻擊時的反應計畫,同時加強對各式網路攻擊的防範準備。

資料來源:

  1. https://www.reuters.com/article/us-usa-cyber-election-exclusive/exclusive-u-s-officials-fear-ransomware-attack-against-2020-election-idUSKCN1VG222

McAfee 指出:2019 年第一季,每分鐘就有 504 次駭侵攻擊

資安廠商 McAfee 發表統計數字,指出 2019 年上半年各種駭侵攻擊的統計數字。

根據 McAfee 的報告,2019 年第一季的全球駭侵活動仍持續上升,平均每分鐘就觀測到高達 504 次各式駭侵活動。其他重要的觀測統計數字如下:

  • 與去年同期相較(以下同),勒贖攻擊增加了 118%,駭侵的進行策略與技術都有所提升;
  • 超過 20 億組帳號的登入資訊被盜,且在暗網中流通;
  • 愈來愈多針對公司行號進行的駭侵攻擊,以魚叉式網路釣魚(Spearphishing)為初始攻擊手法;
  • 意在挖掘新虛擬貨幣的挖礦惡意軟體攻擊增加 29%;
  • 針對亞太區的網路攻擊增加 126%。

詳細的報告資料,可參考 McAfee 的報告全文。

資料來源:

  1. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-aug-2019.pdf