使用语音网钓(vishing)的攻击手法,最近2年陆续有恶意软体出现,但大多是针对视窗作业系统的用户而来,假借提供游戏、应用程式、破解软体等名义散布,但如今,也有专门针对行动装置的攻击事故。
近期资安业者Zimperium揭露的安卓恶意软体FakeCall攻击,就是典型的例子,不过值得留意的是,攻击者整合了手机的电话功能,而能在使用者授权的情况下,挟持电话内容,以便骗取相关金融资料。
【攻击与威胁】
自2022年卡巴斯基揭露专门透过语音网路钓鱼(vishing)从事攻击行动的恶意软体FakeCall,过程中骇客会冒充银行拨打电话引诱受害者上当,提供个人金融资料而受害,如今此恶意软体的攻击行动再度升温,引起研究人员关注。
资安业者Zimperium表示,他们近期发现此恶意程式的攻击手段出现显著变化。照理来说,攻击者借由网路钓鱼引诱安卓使用者下载APK档案之后,此安装档会将第二阶段的恶意酬载(即FakeCall)植入受害装置,从而接收C2命令执行各种诱骗使用者的作业,但研究人员指出,近期的FakeCall出现数种过往未曾出现的做法。
值得留意的是,这款恶意程式还会寻求使用者授权,设置为预设的拨打电话应用程式,一旦使用者同意,该恶意程式就会在使用者尝试联系金融机构时,重新将通话导向攻击者控制的诈骗号码,但在此同时手机仍会显示用户拨打的金融机构号码,从而让攻击者有机会骗得受害者的财务资讯,洗劫他们的金融帐户。
骇客挟持脸书企业帐号滥用Meta广告平台散布窃资软体的情况,不时有事故传出,最近有研究人员提出警告,他们发现有人冒用使用者相当信赖的品牌,佯称提供游戏、破解软体等内容,意图散布恶意程式的新一波攻击行动。
资安业者Bitdefender指出,他们看到骇客透过Meta的广告平台散布恶意广告,自9月开始为期超过1个月,而且,每天都会上架新的广告,这些广告的最终目的,就是散布名为SYS01stealer的窃资软体。
研究人员指出,这起攻击行动的范围横跨全球,潜在的目标估计可能有数百万人,欧盟、北美、澳洲、亚洲都出现相关攻击,尤其是针对45岁以上的男性。
其他攻击与威胁
◆◆
ChatGPT-4o内建一系列安全护栏,以便防范不当利用,像是产出恶意程式码、骇客工具。这些安全护栏会分析提示输入文字是否有恶意意图、不适切语言或有害指令,并且封锁违反伦理标准的输出。但资安公司0Din研究员Marco Figueroa设计出一项将恶意指令编写成16进位的越狱(jailbreak)手法,可以绕过GPT-4o的护栏,一如往常解码并执行指令。
越狱手法是滥用了GPT-4o语言上的漏洞,使其进行16进位转换的无害任务。研究人员解释,这模型被设计成遵循自然语言指令来完成任务,包括编码和解码。它会一步步执行指令,但缺乏前、后文(context)的理解能力,无法评估每一步在整体脉络下的安全性意义,因此在此攻击手法下,GPT-4o不知道转换16进位值的任务会导致有害结果。简单来说,攻击者直到解码阶段才露出真面目。
其他漏洞与修补
【资安产业动态】
Google揭露AI抓漏专案Big Sleep,并宣称借此在10月找到SQLite的堆叠缓冲区下溢漏洞,不管是SQLite现有的测试基础设施,或是OSS-Fuzz都没有发现该漏洞,相信这是AI代理工具于广泛使用的实际软体中,发现未知记忆体漏洞的第一个公开案例。SQLite开发者则在收到Google通知的当天,便修补了该漏洞。
Big Sleep是由Project Zero团队今年6月发表的Naptime专案(Project Naptime)衍生而来。Naptime旨在评估大型语言模型(LLM)于安全漏洞研究中的潜力,它开发了一个框架,让LLM能够模仿人类安全专家发现并展示安全漏洞的系统性方法,并经过Meta CyberSecEval2基准测试的验证;而Big Sleep则是Project Zero与DeepMind的研究成果,它采用Naptime框架,并将LLM的应用从纯粹的基准测试扩展到真实世界的漏洞发现。
Google表示,与开放式漏洞研究相比,现有的大型语言模型更适合变种分析。提供一个起点,如先前漏洞的细节,能减少研究的模糊性,并基于「先前有一个漏洞,可能还有类似的漏洞存在」这样具体的理论进行探索。