利用恶意广告宣称提供实用的应用程式,借此来散布恶意软体的情况,不时有事故传出,但最近一起恶意软体攻击行动相当特别,因为这些骇客也同时利用Telegram频道来进行。
比较特别的是,由于透过即时通讯软体的频道来从事攻击行动,这些骇客不只散布常见的应用程式,还散布能用于犯罪的Deepfake脱衣软体,以及变脸、变声工具。
【攻击与威胁】
值得留意的是,这些骇客同时借由购买搜寻引擎广告进行SEO中毒攻击,或是透过简体中文Telegram频道,来散布恶意软体。
研究人员指出,这些骇客犯案的共通点,在于他们都向使用者提供MSI安装程式,开启、执行之后,确实会安装对方宣称的应用程式,但在此同时,也在用户不知情的状况下,部署恶意软体,并向攻击者的C2伺服器进行连线。
针对这波为期长达6年的攻击行动,研究人员指出,对方起初使用RAT木马程式GravityRAT锁定Windows用户,接著,为了扩大攻击规模,他们也开发安卓版本,并在2019年针对行动装置而来。再来,为了散布上述木马程式,对方开发了名为HeavyLift的恶意程式载入工具,并将其用于攻击行动。
值得留意的是,HeavyLift不光能在Windows上执行,若是侦测到在macOS作业系统环境,并未取得root权限,他们就会下达特定命令取得管理权限,然后下载ZIP压缩档并植入有效酬载。
值得留意的是,在大部分的Unix与Linux系统当中,都可以用Wget来下载档案,后续也被移植到Windows、macOS等多种应用系统,使得这套工具的存在相当普遍,以这次被找出的漏洞而言,无论是Linux还是Windows版本,都存在这项漏洞。
不过,事隔2天,CERT-Bund下修CVE-2024-38428的CVSS分数为6.3,列为中等风险漏洞,但为何大幅调整风险评分,他们并未进一步说明。
【资安防御措施】
他表示,今年五月诈骗广告数量超过20万笔创下新高,资安院采用AI侦测诈骗广告的准确度达93%,而在这个巡检的过程中,他们也发现97%诈骗广告刊登不到两天,显示相关的阻挡机制必须跟时间赛跑,因为处理时机稍纵即逝。