卡巴斯基發現有惡意程式利用被駭網站顯示「安全憑證過期」的警告訊息(圖左),告知訪客需要更新網頁憑證,才能繼續瀏覽,並以按鍵引導用戶下載。研究人員分析,這類警告訊息並不是用戶造訪網站的實際內容,而是包在iFrame的頁面,以jquery.js script(圖右),覆加在合法網站上。(圖片來源/卡巴斯基、pixabay)

惡意軟體假冒合法軟體騙取用戶上鈎時有所聞,像是謊稱成新版瀏覽器或新版Adobe Flash Player,讓造訪被駭網站的用戶不疑有他下載。安全廠商卡巴斯基發現又有新招,有後門及木馬程式假冒網站憑證過期的通知訊息,誘使訪客點擊下載。

網頁SSL/TLS憑證是由憑證機構(CA)簽發,可驗證網站身份不是釣魚網站,以及在用戶瀏覽器和網頁伺服器之間建立加密連線以確保資訊的隱私性。因此SSL/TLS憑證是安全上網的關鍵,而啟用SSL/TLS憑證的網站,就會顯示HTTPS為開頭的網址,Chrome、Firefox、Safari、Edge等瀏覽器,都已預設不支援HTTP的網站。

但最近卡巴斯基發現有駭客濫用此類憑證散佈後門程式。用戶連進被駭網站後,網頁顯示「安全憑證過期」的警告訊息,告知需要更新網頁憑證才能繼續瀏覽,並以按鍵引導用戶下載。卡巴斯基偵測,此類攻擊最早出現於今年1月16日,現今已出現於多種主題網站上,從動物園到汽車零件經銷商等。

研究人員分析,網站憑證過期的通知訊息,並不是用戶造訪網站的實際內容,而是包在iFrame的頁面,以jquery.js script覆加在合法網站上。惡意網頁內容則是由第三方C&C網站 ldfidfa [.] pw 載入。但從網址列來看則仍然顯示為合法網址。但如果用戶點入,就會從惡意網站上載入名為Certificate_Update_v02.2020 .exe的檔案,它其實是一個惡意shellcode,一經執行就會釋出木馬程式Buerak。另一種後門程式 Mokes ,在1月間也是用同樣方式散佈。

卡巴斯基指出,Buerak進入Windows電腦後會執行程式、修改程式行程、竊取資料、還會經由機碼潛伏在電腦中。而Mokes則是macOS/Windows後門程式,可執行程式碼、竊取資料或影音檔案,並偷偷進行截圖。

SSL憑證最近也成為資安關注焦點。免費憑證發行機構Let's Encrypt發現,它所使用的憑證機構軟體有臭蟲,導致誤發憑證,得撤銷3百萬個TLS/SSL憑證。另外,蘋果、Mozilla和Google也認為憑證效期太長不安全,因而計畫將縮短支援的SSL/TLS憑證效期,這可能迫使網站更頻繁更新憑證。

熱門新聞

Advertisement