Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Community Blog

伊波拉成為詐騙手段, 導致惡意程式感染

Ebola news is bait for attackers to steal login credentials and install Trojan.Zbot, Trojan.Blueso, W32.Spyrat, and Backdoor.Breut malware.
Created: 15 Aug 2014 • Updated: 25 Aug 2014 • Translations available: English, 简体中文, Português, Español
Symantec Security Response's picture
0 0 Votes
Login to vote

image1_25.png

出現於西非的伊波拉病毒趨勢新聞已經成為全球矚目的頭條新聞,而網路罪犯也再次利用這則最新頭條來誘騙受害者。賽門鐵克已發現三起利用伊波拉病毒做為社交手段的惡意程式運作和一起網頁釣魚活動。

惡意程式和網頁釣魚活動

第一起事件相當簡單。攻擊者用電子郵件寄出假的伊波拉病毒報告來佯騙受害者,而使用者的實際下場是遭到 Trojan.Zbot 惡意程式感染。

在第二起事件中,網路罪犯寄出內容假冒前幾大電信業供應商的電子郵件,訴求提供關於伊波拉病毒的簡報。附件檔標題像是「EBOLA – PRESENTATION.pdf.zip」的壓縮檔,實際上會在受害者電腦上執行 Trojan.Blueso

ebolablog_1.png

1. 使用 Trojan.Blueso 的伊波拉電子郵件事件

有意思的是,這時所執行的木馬程式並非最後的攻擊彈藥。惡意程式也用盡心機地將 W32.Spyrat植入受害者的網頁瀏覽器,以便攻擊者能執行下列動作:

  • 記錄擊鍵
  • 透過網路相機記錄
  • 捕捉擷取畫面
  • 建立執行流程
  • 開啟網頁
  • 列舉檔案與資料夾
  • 刪除檔案與資料夾
  • 下載及上傳檔案
  • 收集已安裝應用程式、電腦和 OS 的詳細資料
  • 解除安裝自身

第三起事件則揹負了一些關於伊波拉的最新新聞。最近兩個星期以來,有人傳出 Zmapp的討論,這是一種仍在實驗階段的對抗伊波拉病毒的藥物。這起詐騙事件透過一封電子郵件,內容為聲稱伊波拉病毒已有解藥,且應廣為佈達,誘騙受害者上當。這封電子郵件夾帶附件 Backdoor.Breut惡意程式。

image3_14.png

2. 透過假的伊波拉病毒解藥詐騙使用者的惡意電子郵件

最後一起是假冒 CNN 發佈最新伊波拉病毒新聞的網路釣魚事件 (其中摻雜了一些恐怖主義報導)。新聞中出現扼要的故事標題,並且包括「未曾報導故事」的連結。這封電子郵件甚至還承諾「如何」預防的資訊,以及一連串「已鎖定」區域的名單。

image4_8.png

3. 使用 CNN 招牌做為誘餌的網頁釣魚事件 

當使用者按下該電子郵件中的連結,這時使用者會被導引到一個網頁,該網頁會要求使用者選擇電子郵件供應商,並要求其輸入登入憑證。當使用者執行這個動作後,其電子郵件登入憑證會直接送給網路釣魚者。受害者會重新導向真正的 CNN 首頁。

image5_6.png

4. 網路釣魚者透過假的登入網頁來竊取登入詳細資料
 

賽門鐵克建議所有使用者都要防範未經許可、未預期或可疑的電子郵件。若您無法確定電子郵件的合法性,則請不要回應該郵件,並請避免按下訊息中的任何連結或是開啟附件。

使用賽門鐵克雲端服務的賽門鐵克客戶已受到防護,能防禦用來傳送惡意程式的垃圾訊息。為了獲得最佳的可能防護,賽門鐵克客戶應該也要確保自身使用的是整合至本公司所推出客戶及企業解決方案的最新賽門鐵克技術