臺灣企業臉書粉專管理員遭鎖定，駭客企圖散布竊資軟體LummaC2、Rhadamanthys

鎖定臉書企業粉絲專頁或是廣告管理員的攻擊行動已出現數起，但過往這種類型的事故多半發生在國外，如今有研究人員揭露專門鎖定臺灣用戶而來的攻擊行動。

思科旗下的威脅情報團隊Talos指出，他們發現自今年7月開始，有人針對臺灣的臉書企業用戶及廣告帳號，發動相關攻擊，攻擊者以侵犯版權為由，假冒企業的法律部門，寄送帶有偽裝成PDF檔案附件的釣魚信，意圖引誘使用者下載及執行惡意程式。

在這波攻擊行動裡，對方濫用Google的Appspot[.]com網域名稱，以及短網址服務、雲端檔案共享服務Dropbox，藉此迴避網路資安系統的偵測，而能成功將竊資軟體LummaC2（Lumma Stealer）、Rhadamanthys，傳送到受害電腦。

再者，過程中駭客也運用多種迴避防毒軟體偵測及沙箱分析機制的手法，例如：程式碼混淆、Shell Code加密處理，以及將檔案膨脹至超過700 MB等。

針對這起攻擊行動發生的過程，研究人員提及，這些釣魚郵件夾帶惡意軟體下載連結，而郵件內容及偽裝成PDF檔案的誘餌，都使用了正體中文，顯然是針對這種語言的使用者而來。

而且，臺灣用戶明顯就是目標。例如，研究人員提及兩封釣魚信裡，駭客佯稱臺灣知名的工業機械製造商及電子商城，表明他們的法律代表已向臉書站方通報，收信者使用了未經授權的圖片及影片，要求必須在24小時裡移除侵權的內容，並在未經書面授權同意的情況下停止進一步使用，他們將採取法律行動並要求賠償。研究人員透過這些釣魚信，確認駭客使用相同的範本，僅更改公司名稱、法律部門資訊、公司地址及網站。

而對於攻擊者的身分，研究人員提及，駭客透過密碼保護的壓縮檔，挾帶未知的封裝式PostScript圖檔（EPS），他們也在惡意程式分析平臺VirusTotal找到內含相同EPS檔的壓縮檔，循線找到具備相同檔案的越南語網站，但無法進一步確認攻擊者就是來自越南。

但從釣魚信和誘餌檔案名稱當中，我們看到夾雜不少中國用語，不排除攻擊者可能來自中國。