圖片來源: 

Proofpoint

已經自2020年底終止支援的Flash Player,竟然成為駭客用來發動攻擊的誘餌!近期以升級這個軟體做為誘餌,來藉此入侵用戶電腦的行徑,可說是時有所聞。例如,資安新聞網站Bleeping Computer日前發現,疑似有駭客利用Google快訊(Google Alerts)發送釣魚訊息,藉此在用戶電腦安裝垃圾軟體,所推送的訊息就是佯稱用戶電腦的Flash Player過期,必須下載更新程式。

但不到一個星期,這種誘餌再度傳出遭到利用,而且是鎖定特定目標的攻擊行動。資安廠商Proofpoint的威脅研究團隊於2月25日,揭露一波在2021年1月至2月,中國駭客TA413針對全球圖博(Tibet)組織發動的網路釣魚攻擊。駭客藉由冒牌的YouTube網站,以要求更新Flash Player的名義,針對圖博用戶的Firefox瀏覽器安裝惡意外掛程式FriarFox,企圖控制他們的Gmail帳號。針對這起攻擊,Proofpoint提供了入侵指標(IOC),包含惡意URL、網域、IP位址,以及FriarFox的SHA256雜湊值等資訊,供企業偵測有關攻擊之用。

由於Adobe不只終止支援Flash,2021年1月12日起,所有網頁上的Flash內容也會停止運作GoogleMozilla等瀏覽器業者也相繼停止支援Flash。而對於想要播放這類內容的用戶,便很有可能上了駭客的當,依照指示安裝惡意軟體。

至於這起攻擊行動與過往出現的事故有什麼不同?首先,攻擊者透過釣魚郵件開始發動攻擊,並將受害者帶往冒牌YouTube網站,進而要求使用者安裝假的Flash Player更新程式。但有別於許多釣魚攻擊,他們的目標是針對特定的瀏覽器。不過,此次駭客並非針對較多人使用的Chrome,而是鎖定Firefox。

若是Firefox用戶信以為真,攻擊者就會要求下載冒牌Flash Player更新軟體,一旦用戶依照指示安裝,該冒牌更新軟體就會檢查用戶是否登入Gmail,假若用戶已有登入才會安裝成功,反之,則會顯示無法安裝的訊息。

不過,這個冒牌的更新軟體,實際上駭客是從名為Gmail Notifier的合法外掛程式改造而來。他們加入了惡意程式碼,並將該外掛程式命名為Flash更新元件(Flash Update Components)。一旦用戶依照指示安裝,該外掛就會將使用者引導至Tibet[.]net網站,同時瀏覽器還會顯示「Flash更新元件已經加到Firefox」的訊息。

但在此同時,這個外掛程式同時在背景下載、並在受害電腦植入ScanBox和Sepulcher惡意程式,前者是利用PHP和JavaScript打造的通訊框架,後者則是駭客以武漢肺炎為誘餌的攻擊工具,而這2個惡意程式都曾經被中國駭客組織濫用。而在解析外掛程式與釣魚郵件後,Proofpoint認為此起攻擊是由中國政府資助的駭客組織TA413所為。

熱門新聞

Advertisement