Cyberoam威脅研究實驗室(CTRL)發現,針對Skype用戶以其使用的數位貨幣來攻擊的惡意程式。報告指出,這些在Skype上持續的攻擊,在之前已經有一些新聞文章被發表。資訊安全各家廠商也積極地研究這個利用植入殭屍網路來竊取數位貨幣的惡意程式,CTRL還發現,並指出這個惡意程式的作案手法,除了網路威脅之外,目標還不僅僅是數位貨幣!
CTRL指出駭客透過入侵Bitcoin虛擬貨幣「挖礦」作業的惡意程式攻擊Skype用戶。已有許多文章討論出現利用Skype來傳播惡意程式的狀況,資安產業也正如火如荼討論這惡意程式如何種植殭屍網路去Bitcoin挖礦。除了會破解加密Bitcoin交易資訊外,同時還提供了其他更精密的計算。
CTRL分析師Bhadresh Patel說明,「近期報告指出,此惡意程式的目標是建構殭屍網路以竊取數位貨幣,浪費受駭電腦的CPU資源只是事實的一半。研究團隊為了實際了解此惡意程式的感染狀況,因此讓程式在測試的系統中完全發揮。CTRL的威脅分析師已經成功地進行深入分析惡意程式和其潛在威脅的潛力,同時揭開其他風險」。
CTRL揭露竊取數位貨幣惡意程式的內幕
該惡意程式透過Skype發送Google縮短網址,巧妙的放置在字尾,散佈一個不存在的圖像網址。例如Skype的用戶會看到訊息方塊:「請告訴我,你對這張照片的看法」並且還有個網址連結http://www.goo.gl/SpekJ?image=IMG0540240-JPG,主要目的是引誘Skype用戶點選此連結。
目前針對此惡意程式的散播方式是以Skype訊息來傳播,以及用來竊取虛擬貨幣。然而,CTRL已確定還存在更多的潛在風險。研究調查指出,攻擊者的手法為透過惡意程式寄宿在伺服器上,除了進行虛擬貨幣「竊取」作業之外,還包含:
1.以「垃圾郵件」傳播惡意程式
2.其他遠端惡意程式寄宿伺服器的情況都位於較遙遠的位置,像是俄羅斯,增強了惡意程式的威脅潛力。CTRL進一步勘查後發現,駭客們嚐到甜頭,持續在這些遠端伺服器上更新他們惡意程式,好讓他們的威脅更不容易被偵測到!
3.同時也發現,一個威脅實例為'ppc.exe',能鎖定身份的威脅攻擊。CTRL分析這種潛在威脅時,表示它採用第三方IP地理位置數據資料,以確定受害人的所在位置、公司、連接速度,和用戶類型,旨在竊取受害者的身份。
為了調查這些惡意程式的行為,CTRL故意讓測試系統感染病毒,攻擊者企圖讓完全感染的系統重新啟動後,受害者的電腦內的勒索軟體會傳送出了一個假消息(又稱cryptotrojan),讓使用這必須付出贖金來還原受感染的系統。CTRL還掌握了突破性的證據,能夠抓到和解析惡意程式在寄宿伺服器上的PHP Shell。進一步的證據顯示,這個shell允許攻擊者去管控威脅活動和惡意程式的測試。
此外,CTRL還了解到,攻擊者正在使用一個shell腳本,以自動更新惡意程式的二進位,節省大量的時間也能繼續積極發展增強惡意程式的能力。
About Cyberoam威脅研究實驗室
Cyberoam威脅研究實驗室(CTRL)針對各種漏洞識別安全威脅和保護Cyberoam客戶,如惡意程式攻擊時,發佈安全升級和研究報告。這些報告能詳細指導Cyberoam客戶,給予建議及使用適當的參數配置Cyberoam裝置來預防惡意程式的威脅。在過去的一年裡,CTRL研究了超過138個漏洞,發佈合適的簽名保護協助客戶進行預防。
關於Cyberoam以及台灣區總代理奕瑞科技:
Cyberoam 新世代資安設備,絕對符合未來網路環境的需求。硬系列透過最強悍的新一代硬體搭配一流軟體系統,提供給企業未來適性的資安網路及無與倫比的吞吐量。
台灣區總代理奕瑞科技為國內知名的專業資訊安全服務廠商,提供夥伴及客戶最佳的資訊安全產品及服務方案。主要的客戶包括中小型及上市公司、政府機關團體、金融組織以及跨國企業等。如欲了解更多相關資訊,歡迎參閱http://www.8066.com.tw。
奕瑞台北總公司電話:02-2657-8027
南區分公司電話:06-702-1321
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-11-29
2024-12-11
2024-12-10