过往骇客发动恶意NPM、PyPI套件攻击,通常会针对知名套件的使用者而来,借由网域名称模仿的手法让开发人员上当。但如今,骇客改变了做法,他们利用网路问答平台,假装认真解答问题,借此散布恶意套件。
最近资安业者Checkmarx揭露的资安事故,就是这种例子。骇客在Stack Exchange针对特定问题进行回答,「顺便」提供恶意套件的下载连结,使得用户降低警觉而有可能因此上当。
【攻击与威胁】
比较特别的是,骇客为了引诱使用者上当、下载恶意套件,他们透过名为Stack Exchange的网路问答网站来进行宣传,借由在热门讨论串提供看似有用的答案来进行。
BingoMod属于远端存取木马(RAT),攻击者可以利用它远端控制受感染的装置,并且利用装置上诈骗(On Device Fraud)技术接管银行帐户。BingoMod主要透过简讯钓鱼的方式散布,其通常会伪装成合法的防毒软体,一旦BingoMod安装至受害者装置上,便会要求用户启用无障碍服务,当用户授予请求权限,BingoMod APK便会开始自我解压缩,并且执行恶意酬载。
此恶意软体虽然拥有类似于Brata恶意软体的装置抹除能力,但因为BingoMod相对简单,所以研究人员猜测其装置抹除功能,比较像是一种简单的退出策略。
用手机产生动态密码(OTP)的多因素验证机制相当普遍,广受许多企业的采用,但骇客也试图入侵手机窃取这类资讯,从而闯入受害者所属的企业组织网路环境。
资安业者Zimperium指出,他们自2022年2月开始,追踪专门针对安卓装置的窃取简讯攻击行动,这段期间他们找到超过10.7万个相关恶意应用程式,骇客锁定、监控至少600种知名厂牌的动态密码资讯,其中部分厂牌的用户多达数亿,范围横跨全球113个国家,主要目标是印度及俄罗斯使用者。
值得留意的是,攻击者能够回避许多防毒软体的侦测,因此,行动装置可能需要透过多种管道来强化安全。
【资安产业动态】
Google接获通报后进行调查,并在将近18小时后紧急修补完成,并发布状态页解释。根据Google初步分析,原因是Google产品开发部门对Chrome的产品行为做了变更,但未做好功能保护,导致密码管理器无法储存或找到密码。实际上,密码并未消失或被重设;用户仍然能储存密码,但却无法检视。
本问题影响Chrome M127版本,约有25%用户已经部署了这次变更,其中近2%出现密码神秘消失的情形。