延期一年的2020東京奧運,正式於7月23日如火如荼舉行。在此之前,美國聯邦調查局(FBI)曾於7月19日發出警告,可能有網路攻擊企圖干擾這場大型運動賽事。隔了2天(7月21日),日本資安業者三井物產資安管理(三井物産セキュアディレクション,MBSD)揭露,他們發現名為Wiper的惡意軟體,攻擊者將它偽裝成東京奧運的文件,疑似鎖定日本當地的Windows電腦發動攻擊,刪除使用者的文件檔案。

這起攻擊引起MBSD留意的原因,是因為他們看到近期有人在法國上傳了以日文命名的檔案到VirusTotal,且這個惡意軟體的檔案名稱與東京奧運有關:攻擊者宣稱是伺服器因東京奧運所遭受網路攻擊的損害調查報告。

為了讓受害者誤以為是PDF文件,駭客亦將Wiper的圖示更換為PDF檔案。研究人員表示,雖然該惡意軟體的副檔名是EXE,但是因為檔案的名稱非常長,即便使用者設定了檔案總管顯示所有類型的副檔名,還是有可能因為無法直接看到副檔名,依據圖示判別檔案型態而上當。

一旦使用者不慎開啟Wiper,使用者個人目錄(c:\users\%username%\)下多種類型的Office文件、PDF檔案、文字檔案,以及事件記錄和可執行檔案等,就會遭到刪除。值得留意的是,由日本當地知名文書處理軟體一太郎所製作的文件(副檔名為JTDC、JTTC、JTD、JTT),也會遭到Wiper刪除,研究人員依此研判,這項攻擊行動應該是鎖定日本使用者而來。

為了避免行徑被發現,MBSD指出,Wiper內含下列反偵測的功能。像是防範資安研究人員透過虛擬機器(VM)觸發,該惡意軟體一旦發現處於這類環境中,便會自我刪除。再者,則是在Wiper執行的過程中,攻擊者運用了名為cURL的工具,企圖誤導鑑識受害電腦的資安人員,使用者其實是因瀏覽成人網站XVideos,而導致部分電腦資料被刪除。


熱門新聞

Advertisement