恶名昭彰的金融木马Grandoreiro,曾在今年1月跨国执法行动后消声匿迹,但最近有研究人员提出警告,这些骇客准备了2个月就卷土重来,而且发动攻击的范围变得更广,从拉丁美洲扩及全世界。
究竟骇客如何大幅增加攻击的力道及范围?研究人员推测,对方很有可能透过恶意软体租赁服务的方式,吸引许多打手上门、加入攻击的行列。
【攻击与威胁】
IBM旗下的威胁情报团队X-Force指出,他们从3月看到该木马程式大规模散布的攻击行动,推测骇客组织很有可能透过恶意软体租赁服务的方式,号召更多打手从事相关攻击。
而对于骇客的攻击范围,研究人员表示他们在中南美洲、非洲、欧洲、印太地区超过60个国家,对于全球1,500家银行的客户下手,相较于执法行动前,这些骇客主要活动范围为拉丁美洲、西斑牙、葡萄牙,攻击的规模变得相当广泛。
研究人员在今年3月初,开始发现相关攻击行动,骇客的攻击链启动,通常是使用者在Bing或其他搜寻引擎上,下达download winscp、download putty等指令进行搜寻开始,对方引诱使用者点选广告内容并下载应用程式,并提供ZIP压缩档,以便进行后续攻击行动。
这波攻击行动很有可能是针对企业组织的系统管理员而来,因为他们经常会使用上述两款软体。由于系统管理员握有高权限,一旦攻击者得逞,就有机会在内部网路的环境快速散布恶意软体、窃取机密资料,或是存取网域控制器。
【漏洞与修补】
微软揭露新型态的路径穿越攻击手法Dirty Stream,攻击者可借由恶意安卓应用程式,覆盖另一个应用程式的程式资料夹的内容,而有可能执行任意程式码,或是窃取Token。该公司指出,这么一来,攻击者有可能完全操控应用程式的行为,或是存取用户帐号及相关的敏感资料。
研究人员找到这种攻击手法的原因,主要是他们在Google Play市集找到多款存在弱点的应用程式,值得留意的是,这些应用程式迄今至少被安装超过40亿次,其中有4款下载次数超过5亿。他们公布两个存在弱点的应用程式名称,包含了小米发行的档案管理工具Mi File Manager,以及办公室软体WPS Office,分别被下载超过10亿次、5亿次,两家软体开发商接获通报后皆已进行修补。不过,研究人员认为,实际上还有其他的应用程式,也可能存在相关弱点而可能曝露于Dirty Stream的风险,因此这项弱点影响范围,恐怕还会扩大。
其他漏洞与修补