為了迴避資安系統的偵測,駭客散布惡意程式的做法也變得越來越複雜,其中一種方法就是濫用合法服務來埋藏行蹤,而這樣的情況越來越氾濫,也使得資安業者不斷呼籲使用者提高警覺。
例如,最近資安業者趨勢科技公布的攻擊行動,就是典型的例子。他們發現有人利用YouTube及其他社群網站分享檔案下載連結,目的是向使用者假借提供盜版軟體安裝程式、商業軟體破解工具的名義,散布惡意軟體Lumma Stealer、Private Loader、Mars Stealer、Amadey、Penguish、Vidar。
攻擊者多半使用受到密碼保護的壓縮檔挾帶惡意程式,而能夠逃過沙箱等資安防護機制;再者,他們也濫用Mediafire、Mega等雲端檔案共享服務,使得偵測及清除相關檔案變得更加困難。一旦使用者電腦遭到感染,惡意軟體就有可能從瀏覽器收集敏感資訊,並挖掘帳密資料。
究竟攻擊者如何引誘受害者上當?趨勢科技研究人員Ryan Maglaque、Jay Nebre、Allixon Kristoffer Francisco表示,歹徒通常會透過YouTube或同類型的影音共享平臺,假借教學如何使用盜版軟體為誘餌,然後在安裝過程「提醒」受害者點選影片說明或是留言裡的惡意連結。
一旦受害者照做,他們就會被導向雲端檔案共享服務下載以密碼保護的壓縮檔,若是執行攻擊者提供的安裝程式,電腦就有可能感染前述的竊資軟體。
除了透過影片誘騙下載,趨勢科技也提及攻擊者還會搭配搜尋引擎中毒(SEO Poisoning)的手法,引誘想要搜尋盜版軟體的使用者上當。
在其中一個佯稱提供AutoCAD盜版工具的攻擊事故裡,攻擊者先是將使用者導向NFT市集OpenSea、音樂共享平臺SoundCloud,然後要求他們依照指示點選連結,下載ZIP檔案。
值得留意的是,在部分攻擊行動裡,駭客還會利用自動化工具AutoIT進行混淆,甚至從C2下載其他惡意軟體。
趨勢科技也提及攻擊者運用障眼法的情況,他們看到其中一個偽裝成安裝程式的開源遠端桌面工具執行檔rustdesk.exe,一旦執行,電腦就會跳出錯誤訊息,表示目前發生無法預期的錯誤、應用程式將退出,讓使用者誤以為該程式並未運作,但實際上此執行檔於背景運作,並載入惡意的DLL檔案。
熱門新聞
2025-02-08
2025-02-12
2025-02-11
2025-02-13
2025-02-10
2025-02-11
