圖片來源: 

Bart Blaze

繼先前9月初的臉書釣魚影片威脅之後,昨天臉書又出現了更危險的勒索軟體誘騙手法。這次不只是偷取個人資料,還會按裝植入了勒索軟體Locky,來綁架你的電腦檔案。

兩名資訊安全研究人員Bart Blaze近日揭露了這個精心設計的勒索軟體誘騙安裝手法,駭客先假冒朋友的Facebook帳號,透過私訊傳送內藏特殊腳本程式的偽造svg圖片檔給勒索對象,這個偽造圖片會打開一個假冒的Youtube網頁,並跳出安裝下載開啟一個內藏有Nemucod惡意程式的Chrome外掛程式「One」的請求,若使用者點下同意安裝外掛。Bart同事Peter Kruse進一步證實這個Nemucod程式會暗中下載Locky勒索軟體植入受害者的電腦,來加密綁架檔案,進而勒索贖金。Bart Blaze建議,如果受到感染後,儘速將擴充程式移除,並且更改Facebook密碼,避免再次遭到勒索。

Bart Blaze說明,因為XML描述語言撰寫的SVG圖片檔案可以內藏腳本程式(例如 JavaScript),可以避開了Facebook過濾程式檔的機制透過私訊傳遞。受害者若開啟這個圖片檔後,會打開一個偽造的Youtube網站,要求受害者欣賞一部來自Facebook的影片,但需要先安裝解碼器才能觀看,來引誘受害者安裝一個名為「One」的Google Chrome擴充程式。這個擴充程式安裝畫面沒有任何圖案,也沒有提供詳細的程式功能說明。Peter Kruse發現,一旦安裝這個擴充程式後,會進一步下載勒索軟體Locky植入受害者的電腦。

目前,Bart Blaze說明,他們還無法確定這個「One」的擴充程式,是否會自動蒐集被害者的憑證資訊,再自動透過Facebook散播將惡意圖檔。但是,目前可以得知的是,並非所有被感染的人都會自動散布惡意圖檔給朋友,似乎是採半隨機方式挑選(semi-random)。

至於要如何解除遭到感染的情況?Bart Blaze建議,必須立即將擴充程式移除,並且同時進行防毒程式的掃瞄和更改Facebook的密碼,避免更多檔案遭到感染。而且,如果收到朋友傳送惡意文件的訊息,應該要通知對方已經遭到感染的情況。目前,Facebook和Google Chrome商店的安全團隊,已經收到此傳遞惡意文件的消息。

Locky勒索軟體惡名昭彰,是三大惡意程式之一,今年第二季透過電子郵件散布,感染了全球多國的企業,其中7成是醫療業者,肯德基洲有一家醫院因伺服器檔案遭加密勒索,被迫改用紙本作業。

另一位資安專家Peter Kruse也透過Twiter警告,最新的臉書釣魚影片所誘裝的Chrome外掛,會暗中植入勒索軟體Locky

 


Advertisement

更多 iThome相關內容