散布窃资软体的攻击行动频传,其中结合时下热门的生成式AI服务为诱饵的情况,相当值得留意。最近就有一起假借提供桌面版程式的攻击行动,骇客透过脸书广告来从事攻击行动,使用者若是依照指示取得对方提供的桌面版软体,电脑就有可能被植入窃资软体。
特别的是,攻击者其中一个脸书粉丝页竟维持长达一年,累积120万用户追踪,但为何此粉丝页这么久才被发现,研究人员并未说明。
【攻击与威胁】
而对于这起攻击行动的范围,研究人员指出,攻击者投放脸书广告的主要范围是德国、波兰、义大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典,锁定25至55岁的男性用户,恶意广告在欧洲的覆盖范围约有5万人。
值得留意的是,其中一个冒用Midjourney之名成立的脸书粉丝页面,拥有120万名追踪者,而且,该网页存在期间长达1年,直到今年3月8日才被关闭。
此外,攻击者透过VBS指令码进行侦察,收集系统资讯,以及从特定的加密钱包与应用程式资料夹挖掘资料。这些应用程式包括:Atomic Wallet、Electrum、Ethereum、Exodus、Zcash、Foxmail、Telegram。
资安业者Sansec提出警告,他们看到有人使用新型态的手法,于资料库里加入伪造的版面(Layout )范本,从而在Magento电子商城自动注入恶意程式,以便持续对受害网站发动攻击。
研究人员指出,攻击者同时滥用Magento的版面解析器与beberlei/assert套件,从而能够于伺服器上执行系统层级的命令。由于版面区块与结帐车功能相连,因此只要收到<store>/checkout/cart的请求,就会触发攻击者的命令。他们看到攻击者使用sed命令,于CMS控制器自动加入后门程式并执行。
上述被利用的Magento弱点,被登记为CVE-2024-20720列管,CVSS风险评为9.1分。Adobe于2月13日发布新版Adobe Commerce、Magento Open Source予以修补,研究人员呼吁IT人员应尽速套用相关更新。