資安一周[0610-0616]：Facebook申請專利技術，暗中監控用戶功能來強化臉書服務

重點新聞（06月10日-06月16日）

WannaCry勒索軟體出現模仿犯，專門攻擊中國Android用戶

資安公司Avast研究人員近期揭露，他們發現一個模仿WannaCry的勒索軟體WannaLocker，偽裝成手機遊戲「王者榮耀」App，專門勒索中國Android的用戶。WannaLocker不僅會加密受害者行動裝置內部的檔案，也會加密連接該裝置的外部裝置檔案，並要求受害者利用QQ、支付寶或微信，支付人民幣40元（約新臺幣160元）的贖金。更多資訊

圖片來源：Avast

網路勒索服務鎖定Mac OS裝置攻擊，勒索軟體偽裝合法文件誘騙受害者開啟

資安公司Fortinet研究人員日前發現，一個新的網路勒索服務（RaaS）MacRansom，專門鎖定Mac OS的使用者來發動攻擊。MacRansom會偽裝成Mac OS支援的文件格式，一旦受害者打開文件，就會立即發動勒索攻擊，要求受害者在指定時間內支付0.25個比特幣（約新臺幣20,000元），受害者若未依照時間支付，MacRansom會加密受害裝置系統的檔案，最多會加密128個檔案。更多資訊

圖片來源：Fortinet

勒索加密手法再升級，假冒慈善機構名義強迫捐款勒索比特幣

資安研究人員Michael Gillespie於6月12日在推特揭露，最近網路出現一個名為「拯救兒童」的勒索信，攻擊者假冒「全球扶貧救援機構（GPAA）」工作人員的名義，聲稱需要募款1,000個比特幣，幫助非洲兒童脫離貧窮。駭客強制加密受害者的檔案，脅迫受害者支付1個比特幣，來拯救1位兒童，也可以同時解除遭加密的檔案。目前，這套勒索軟體沒有任何的解密工具，但研究人員建議，受害者可以嘗試系統還原或陰影複製（Volume Shadow Copies）的功能，來恢復受影響的檔案。更多資訊

圖片來源：Michael Gillespie

駭客鎖定 Office 365用戶寄發釣魚郵件，欺騙用戶登入網站來竊取公司資料

資安部落格My Online Security作者指出，近日收到一封以微軟公司人員名義寄發的釣魚郵件，標題為「重要更新，必須升級」，通知使用Office 365服務的中小企業用戶「信箱空間容量已滿，請登入連結，可以免費升級至5GB」，用戶點擊該連結，就會轉址到偽造的Office 365身分驗證網頁。用戶輸入Office 365帳密後，駭客就可以竊取用戶在Office 365內的資料。更多資訊

圖片來源：My Online Security

通訊軟體Discord、Telegram遭駭客濫用，淪為發號施令的C&C伺服器

趨勢科技前瞻威脅研究團隊近期發布最新的報告說明，駭客結合通訊軟體與惡意程式，利用訊息傳輸的功能來下達命令，進一步發動惡意攻擊，導致通訊軟體的傳輸平臺成為駭客發送指令的C&C伺服器，並且表示，通訊軟體Discord與Telegram的API已經遭駭客濫用。

研究人員調查發現，Discord託管許多惡意軟體，例如檔案注射器（file injectors）和比特幣挖礦程式，並且利用Websocket協定，竊聽用戶在Discord聊天頻道的任何訊息。除此之外，勒索軟體KillDisk與勒索軟體TeleCrypt的變種是利用Telegram的API，鎖定目標裝置來下達命令，進一步竊取目標裝置的資料。研究人員說明，因為在通訊平臺的環境裡面，很難利用監視流量的方式，辨別出攻擊者與一般使用者不同的使用行為，所以無法完全阻擋駭客在通訊平臺上的惡意行為，除非能夠解決前述的問題，否則難以防護通訊平臺的安全性。更多新聞

圖片來源：趨勢科技

殭屍網路Persira感染IP攝影機數量全球最多，成為最具威脅的IoT殭屍網路

根據趨勢科技資安人員日前利用Shodan搜尋的資料，以及自行調查的研究顯示，在美國、日本、韓國和臺灣有3,675臺的IP攝影機，遭到4組殭屍網路控制，分別是Persirai、Mirai、DvrHelper和TheMoon，其中，Persira占了64.12%，控制最多的IP攝影機，其次是Mirai，僅占了27.67%。研究人員分析發現，Persira作者利用裝置的login.cgi漏洞，繞過身分驗證的機制來取得管理密碼，接著再鎖定set_ftp.cgi漏洞植入惡意程式，最後利用CVE-2014-8361漏洞在遠端執行惡意程式碼。更多資訊

圖片來源：趨勢科技

駭客組織利用英特爾晶片內建AMT遠端管理功能，繞過防火牆控制目標電腦

微軟近日發現，知名駭客組織PLATINUM為了隱藏入侵行動，使用英特爾晶片內建的遠端管理功能AMT上的SOL功能，能避開目標電腦的防火牆功能，透過系統維護用的獨立通道來進行遠端遙控。研究人員解釋，由於AMT內嵌在英特爾處理器晶片組中，不需要啟動作業系統，只要電腦有連接網路和電源就可以運作。PLATINUM利用此原理，繞過防火牆程式，完全控制目標電腦的系統，並使用SOL功能連接惡意程式與C&C伺服器。

然而，電腦預設關閉SOL功能，擁有裝置管理員權限的使用者才能夠啟動，微軟還無法得知PLATINUM是否先前有載入其他的惡意軟體來開啟。微軟強調，這並非是英特爾處理器的漏洞，而是駭客濫用這項功能來從事惡意行動。目前，微軟已經更新 Windows Defender ATP，可以偵測非法使用者利用AMT SOL的惡意行為。更多資訊

圖片來源：微軟

Facebook為強化客製化服務，暗中申請專利技術來側錄用戶人臉與鍵盤紀錄

根據風險投資資訊提供商CB Insights近日揭露，Facebook為了提供用戶更客製化的內容，以及增加更貼近用戶情緒的表情圖案，申請了多項追蹤用戶技術專利，暗中蒐集用戶的臉部表情照片、敲打鍵盤的位置、移動滑鼠的速度等資料。目前，有三項專利技術已經獲得授權，第一，在未經用戶同意，開啟行動裝置的攝影機，來捕捉用戶表情，了解用戶的情緒反應，這項已經在2015年8月27日通過。第二，蒐集用戶照片的臉部表情，分析用戶的情緒，設計適合的表情符號，這項技術已經在2017年5月18日通過。第三，監控用戶鍵盤、滑鼠、觸碰板，以及觸碰螢幕的紀錄，預測用戶的情緒，整合到發布消息的功能。更多資訊

基礎建設威脅警報響起，惡意程式Industroyer鎖定供電系統建立後門

資安公司ESET研究人員於6月12日發現，惡意程式Industroyer專門鎖定供電系統為主的基礎設施來攻擊。研究人員分析，Industroyer是一個後門程式，駭客可以操控電廠的配電變電所開關，以及輸電網路的斷路器，並且連接遠端C&C伺服器，由攻擊者下令行動並回報攻擊者。而且，根據樣本分析發現，Industroyer使用的4種攻擊元件，可以在不同的階段辨識輸電網路，並依據不同工控系統發出指令，顯示攻擊者對此類系統的深厚知識。更多新聞

Google建立資安遊戲網站，網路安全素養要從兒童做起

現在很多兒童從小就利用行動裝置來上網，成為了數位公民的一分子，但網路威脅數百種，兒童容易點擊未知來源的連結遭駭客竊取個資，或進入擁有高風險的網站等。Google為了協助兒童可以安全上網，最近架設了一個網頁遊戲網站「Be Internet Awesome」，設計一系列的闖關遊戲，提出關於網路安全方面的問題，來教導兒童如何在網路上保護個資、設定強度密碼、辨別不實消息、預防網路釣魚，以及網路聊天禮儀等，建立兒童的網路安全素養。更多資訊

圖片來源：Google