示意圖,與新聞事件無關。

研究發現過去兩周臉書的內容遞送網路(Content Delivery Networks, CDN)遭一個惡意組織用來儲存並散佈銀行木馬程式。 

代號為MalwareHunter的研究人員發現,駭客將木馬程式檔案上傳到臉書群組或其他公開服務上,取得其連結後透過網釣郵件寄發給受害者。這些信聲稱來自當地警方,當中包含一個連向臉書CDN的連結,誘使不知情的用戶點選。研究人員表示,駭客之所以選擇以臉書CDN,是因為多數安全產品都信任它,比起使用陌生的網址,這種連結較不會被封鎖。 

點選之後就展開一個相當複雜的惡意程式下載過程。使用者會先下載一個RAR或ZIP壓縮檔,解開後有一個捷徑檔,點下後就會呼叫用戶電腦上的應用程式執行PowerShell script。由於使用的是本機應用程式,因此可以避開一般防毒產品的掃瞄。之後再經過一連串的連鎖下載過程,最後,一個銀行木馬程式就會下載到用戶電腦上。 

ESET將之命名為Win32/Spy.Banker.ADYV。研究人員認為,這隻木馬僅針對巴西用戶而來,在複雜的軟體安裝過程中,它背後的駭客團體會分析受害者的所在國家,如果發現並非巴西,就會停止感染過程。 

惡意電子郵件中嵌入的1pixel x 1 pixel的微小圖形檔來監控信件開啟,MalwareHunter根據它所載自的goo.gl連結分析,這隻Spy.Banker透過電子郵件散佈流傳甚廣,光是在9月2日當天就至少有20萬人讀過電子郵件,其他2波攻擊也有7、8萬人讀取。他指出,從惡意程式下載的複雜技倆來看,甚至已經超越一些國家資助的駭客攻擊行動。 

臉書資安長Alex Stamos在獲得通知後表示該公司將對此進行了解。 

Win32/Spy.Banker木馬曾在7月在網路上流竄,ESET判斷兩者都是出自相同駭客組織,可能也涉及2015年和2016年其他幾波攻擊。事實上,研究人員相信,臉書CDN攻擊的駭客組織,可能也曾利用Dropbox及Google雲端服務做過類似的勾當。


Advertisement

更多 iThome相關內容