【資安日報】2022年4月7日,竊密軟體FFDroider鎖定社群網站帳密而來、殭屍網路Beastmode鎖定Totolink路由器弱點發動攻擊

出處:【資安日報】2022年4月7日,竊密軟體FFDroider鎖定社群網站帳密而來、殭屍網路Beastmode鎖定Totolink路由器弱點發動攻擊

專門鎖定臉書、推特等社群網站帳號的竊密軟體攻擊,引起研究人員關注;再者,鎖定多款Totolink路由器漏洞的殭屍網路,用戶要儘速安裝新版韌體來防範相關攻擊

文/周峻佑 | 2022-04-07發表

駭客使用竊密軟體偷取電腦帳密的情況,過往大多事故是廣泛搜括各式帳密,但最近出現針對臉書、推特等社群網站帳號的竊密軟體FFDroider,而且還會驗證完帳密可用後才回傳給攻擊者。

殭屍網路鎖定特定廠牌路由器發動漏洞的現象,也相當常見,但最近殭屍網路Beastmode鎖定Totolink路由器的多個漏洞下手,值得留意的是,駭客利用的重大漏洞,CVSS風險等級都達到了9.8分。

3月中旬加密程式庫OpenSSL修補無限迴圈漏洞CVE-2022-0778,繼3月底威聯通公布NAS設備受影響的情況後,最近資安業者Palo Alto Networks也發布相關資安通告。

【攻擊與威脅】
竊密軟體FFDroider鎖定臉書、推特、Instagram等社群網站帳密
駭客透過竊密軟體盜取受害電腦各式帳號資料的情況,不時有事故發生,如今有攻擊者特別針對社群網站的帳號而來。資安業者Zscaler揭露名為FFDroider的惡意程式,駭客透過免費軟體或破解軟體的名義散布,一旦受害者下載,電腦就會同時安裝Telegram和FFDroider。

此竊密程式鎖定Chrome、Firefox、Edge、IE的Cookie,進而截取當中的臉書、Instagram、推特、Amazon、eBay等社群網站與電子商務網站的帳號資料,並在該惡意軟體驗證帳密可用後,再回傳給C2中繼站。研究人員呼籲,使用者不要從來路不明的網站下載軟體。

殭屍網路Beastmode濫用Totolink路由器弱點
又是殭屍網路病毒鎖定路由器零時差漏洞的事故。資安業者Fortinet在今年2月至3月,觀察到殭屍網路Beastmode(亦稱B3astmode)在一個月內,鎖定了數個CVSS風險層級達到9.8分的重大漏洞,且其中的CVE-2022-26210、CVE-2022-26186,以及CVE-2022-25075至CVE-2022-25084,與多款Totolink路由器有關。Totolink獲報後已提供新版韌體予以修補。

研究人員指出,駭客也同時嘗試針對D-Link、華為路由器,TP-Link視訊鏡頭、Netgear ReadyNAS監控設備的舊漏洞下手,這些漏洞的CVSS風險層級也都達到9.8分。


勒索軟體Conti攻擊Panasonic、Konica Minolta等多家大型企業
自表達聲援俄羅斯後,勒索軟體Conti遭人公開了程式碼,但如今似乎遭到其他人利用,而使得多家知名企業相繼傳出被駭。根據日本新聞網站Jiji報導,Panasonic加拿大分公司遭到Conti攻擊,並外流2.6 GB資料;Konica Minolta則是公告位於東歐、中東、非洲地區(EMEA)的其中1臺伺服器,於3月底遭到未經授權存取。而在歐洲方面的災情,則有英國福特經銷商TrustFord、衛浴設備業者Barwick、荷蘭房屋租賃業者ZAYAZ Housing等傳出遭到Conti毒手。但這些攻擊事故是否全部由勒索軟體駭客Conti所為?還是他人利用已經洩露的原始碼犯案?仍不得而知。

駭客利用WhatsApp語音訊息的名義發動釣魚郵件攻擊
即時通訊軟體WhatsApp近期強化了語音訊息的功能,但駭客也利用相關的留言名義發動網路釣魚攻擊。資安業者Armorblox發現,有人以WhatsApp私人語音訊息的名義,發送釣魚郵件,一旦收信人按下了播放按鈕,就會被引導到惡意登入網站,並要求依照指示允許網站通知,來驗證收信人不是機器人。然而要是收信人照做,駭客就有可能透過廣告服務繞過電腦的使用者帳號控制(UAC),在電腦植入竊密軟體。

研究人員指出,駭客透過合法網域寄送郵件,而能夠迴避郵件安全系統的檢查,且電子郵件內容包含了收信人的名字,使得對方可能難以察覺異狀。

數個NFT專案的Discord伺服器遭駭,並用於散播詐騙訊息
即時通訊軟體Discord不只電玩玩家經常使用,近期大紅大紫的非同質化代幣(NFT),也有不少專案採用這個軟體發布投資訊息,但如今也有駭客盯上這類社群,發動網路詐騙。無聊猿猴遊艇俱樂部(BAYC)、Nyoki Club、Shamanz等NFT專案近日相繼發布公告,他們的Discord伺服器遭到駭客入侵,而被用來向社群使用者散布詐騙訊息,要用戶支付以太幣來鑄造新的NFT。不過,目前Discord尚未發布相關公告,有多少用戶受害也不得而知。



【漏洞與修補】
Palo Alto Networks公布旗下產品受到OpenSSL漏洞影響情形
繼威聯通後,又有IT廠商公布旗下產品受OpenSSL漏洞CVE-2022-0778的影響。資安業者Palo Alto Networks近日發布資安通告,指出特定版本的防火牆作業系統PAN-OS、GlobalProtect應用程式、Cortex XDR代理程式等,都採用含有CVE-2022-0778的OpenSSL程式庫,並預計於4月18日推出PAN-OS的修補程式。

該公司也指出,此漏洞對於受影響產品的CVSS風險層級為7.5分,但對於GlobalProtect應用程式、Cortex XDR代理程式的部分,因駭客需透過中間人攻擊(MitM)才能觸發,CVSS風險降低至中等程度的5.9分。



【資安防禦措施】
針對遭到殭屍網路Cyclops Blink占據的WatchGuard、華碩設備,美國動手清理
殭屍網路Cyclops Blink接連感染WatchGuard防火牆、華碩部分型號路由器,引起美、英當局高度重視,如今他們有了進一步的動作。美國司法部(DOJ)宣布,他們在3月18日取得法院初步授權後,與美國聯邦調查局(FBI)聯手,清除受害裝置上的Cyclops Blink殭屍網路病毒,並封鎖存取C2中繼伺服器的連接埠。

美國司法部表示,雖然WatchGuard和華碩相繼發布資安通告與修補程式,但到了3月中旬,有許多裝置仍未得到修補而受到此殭屍網路病毒的控制,他們決定透過自動化程式主動出手,並強調沒有收集受害者的網路環境資料。雖然相關的殭屍網路病毒已經清除,但美國司法部提出警告,用戶還是要依循WatchGuard或華碩提出的緩解措施,才能避免俄羅斯駭客Sandworm再度入侵。

德國接管最大俄羅斯暗網市集Hydra的基礎設施
德國打擊犯罪中央辦公室(ZIT)與德國聯邦刑警(BKA)於4月5日宣布,他們自去年8月與美國執法機構聯手,調查俄羅斯大型暗網市集Hydra後,現在已經接管了該市集的伺服器基礎設施,並扣押價值2,300萬歐元的比特幣。美國財政部亦宣布,對於Hydra與加密貨幣交易平臺Garantex展開制裁。
一流人專做開源未來事,二流人專做停滯不前淘汰事,三流人只做問題進行事,四流人只做同溫取暖裝傻事。
2022-04-08 17:12 發佈
多謝分享! 常上網購物, 金融交易, 資料交換, 安全性還是要留意一下... 另外, 自己也對先前回覆的 Cyclops Blink 資訊, 更新一下...
https://www.mobile01.com/topicdetail.php?f=110&t=6560259#84447918
Have a nice day~
劍心san wrote:
此竊密程式鎖定Chrome、Firefox、Edge、IE的Cookie,進而截取當中的臉書、Instagram、推特、Amazon、eBay等社群網站與電子商務網站的帳號資料,並在該惡意軟體驗證帳密可用後,再回傳給C2中繼站。研究人員呼籲,使用者不要從來路不明的網站下載軟體。



這些社群帳號都
開啟 2FA

就可以防範之
劍心san
劍心san 樓主

根據我的經驗,2FA並非萬能,有些駭客手段高一點的,是可以繞過2FA認證了,因為我臉書帳號就被破過不下10次的2FA認證。

2022-05-29 13:08
內文搜尋
X
評分
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?