新聞

資安一周[0805-0811]:Chrome擴充程式Web Developer遭駭,開發程式變散布色情廣告程式

iThome 2017/08/11 12:21(12天前)

重點新聞(08月05日-08月11日)

超過40款迪士尼遊戲App竊取兒童個資,家長控訴3家遊戲開發商

根據美國加州法院在8月3日公告顯示,近日一名媽媽控告迪士尼公司與3家遊戲開發商,暗中利用嵌入遊戲App的廣告軟體開發套件(SDKs),來竊取兒童個資,總共逾40款遊戲App有實際蒐集個資的行為。迪士尼已經不是第一次未經家長允許蒐集兒童個資。2011年,迪士尼旗下的子公司Playdom也暗中蒐集兒童個資,遭聯邦貿易委員會(FTC)罰款數十億美元。

圖說:迪士尼40款App遊戲竊取孩童個資,一位媽媽控訴迪士尼與遊戲開發商

 

勒索軟體SLocker又出現新變種,能更改受害裝置PIN碼來鎖定螢幕

雖然先前模仿勒索蠕蟲WannaCry勒索信的勒索軟體SLocker作者遭中國警察逮捕,但是目前仍有其他的作者利用SLocker開發新變種。趨勢科技8月2日發現,SLocker產生新變種,不只利用偽造遊戲App「王者榮耀」感染,這次增加了透過QQ通訊軟體傳送App連結的釣魚方式,來引誘受害者上鉤,而且SLocker新變種除了加密受害裝置檔案外,也會更改受害裝置的PIN碼,導致受害者無法解開螢幕鎖。但特別的是,新變種只加密SD卡中,對使用者較不重要的檔案,包括快取檔、暫存檔和系統紀錄,而且新變種使用已經過時DES加密法和AES加密法。趨勢科技研究人員指出,作者直接在Android開發環境(AIDE)開發新變種,而且還提供了APK開發工具包,容易引起其他駭客索取,並進一步開發其他新變種。

圖說:勒索軟體SLocker加密受害裝置檔案也鎖定螢幕 圖片來源:趨勢科技

阻止WannaCry襲擊全球英雄因散播銀行木馬成階下囚

勒索蠕蟲WannaCry在今年5月襲擊全球各地,一名英國男子Marcus Hutchins(推特名稱MalwareTech)發現WannaCry擁有銷毀機制(Kill Switch)功能,便註冊WannaCry尚未註冊的網域,阻止了WannaCry繼續擴散感染,一時成為全球的大英雄。但根據外媒Motherboard於4日報導,Hutchins參加日前結束的DEFCON駭客大會後,立即遭美國當局逮捕。美國司法部公告顯示,由於Hutchins在2014年過去開發銀行木馬Kronos,公開在駭客論壇與暗網市場銷售,美國當局以6項與電腦犯罪相關罪名起訴。目前Hutchins以3萬美元交保(約新臺幣91萬元),但限制在美國出境。

銀行木馬Svpeng新變種暗中搜集鍵盤紀錄,也能假冒受害者來發送簡訊

銀行木馬Svpeng過去僅是利用釣魚網頁和Chrome漏洞,竊取受害者銀行資料,來盜領受害者銀行存款,卡巴斯基實驗室研究人員Roman Unuchek日前發現,Svpeng新變種趁機植入鍵盤記錄器(keylogger)搜集受害者的文字資料,也安裝其他惡意程式,駭客可以任意操控受害裝置的應用程式,例如收發簡訊、撥打電話、檢視聯絡人等。目前,Svpeng感染了全球許多國家的銀行App,包括俄羅斯、英國、德國、澳洲、土耳其、法國、波蘭、新加坡等23個國家。

新攻擊手法改造舊款Amazon Echo成竊聽器

Amazon Echo在沒有啟動情況下,Alexa可能還會繼續聽你說話。資安公司MWR LABS研究人員近期公布一項專門攻擊Amazon Echo裝置的駭客工具,攻擊者能夠利用此工具攻擊Amazon Echo裝置底層URAR埠,入侵Echo使用的Liunx系統,來取得Root權限,不僅利用麥克風竊取Echo收到的聲音,還能獲得用戶驗證資訊,而且攻擊過程中不會更改任何設定。Amazon證實2015、2016年出產的舊款Amazon Echo存在此漏洞,但2017年出產裝置經過改良,不容易遭到此攻擊。

圖說:這組駭客攻擊裝置能不留痕跡地入侵舊型Amazon Echo來竊聽。

西門子醫療影像器材漏洞易遭遠端攻擊,美政府建議切斷連網裝置與網際網路的連線

美國國土安全部底下的安全部門(ICS-CERT)於8月3日警告,德國西門子數款醫療影像器材出現高風險漏洞,遭致遠端攻擊的風險,如正子斷層掃瞄(PET)/電腦斷層(CT)、單光子電腦斷層(SPECT)、及SPECT/CT系統,以及終端系統SPECT Workplaces。雖然,西門子在7月26日已發布安全公告,但目前還未修補漏洞。ICS-CERT和西門子建議,漏洞尚未修復之前,醫院連網裝置盡量與公開網際網路切開,甚至在不影響病患安全及治療前提下不要連網。

維基解密:CIA開發可掌控監控系統的滅蹤工具Dumbo,消除CIA探員行動

維基解密(WikiLeaks)在8月3日最新公布美國中情局(CIA)機密文件「Dumbo」,揭露CIA利用與文件同名的滅蹤工具Dumbo植入至USB,來掌控目標對象的監控設備,掩飾CIA探員行動。首先,CIA探員需要在目標對象Windows電腦上插入USB,之後在該電腦上辨識、控制和操作Windows OS上的監控與偵測系統,包括電腦上的視訊攝影機和麥克風,以及經由網路連結的監控設備,最後,任務結束後,CIA探員也能利用Dumbo刪除這些系統所留下的紀錄。Dumbo影響範圍為Windows XP、Windows Vista及之後的Windows作業系統。

又一款Chrome擴充程式Web Developer遭駭成廣告程式,超過1百萬位用戶網頁出現情色廣告

先前一款文字辨識軟體Copyfish遭駭客修改Chrome擴充程式,成推送廣告與垃圾郵件廣告程式,近日開發工具Web Developer的Chrome擴充程式也遭駭客入侵,修改成廣告程式,超過1百萬位用戶在瀏覽網頁時出現色情廣告。駭客同樣利用偽裝Chrome網路商店開發人員身分,寄發釣魚郵件來詐取Web Developer開發人員帳號。慶幸的是,Web Developer作者發現擴充程式出現異常紀錄時,立即停用Chrome商店的擴充程式,並且重新上傳最新版本0.5,替換遭駭客竄改的0.4.9版。除此之外,根據資訊部落格BleepingComputer調查認為,擴充程式Titlefish、Blue Messenger、Websta for Instagram,以及軟體公司OinkAndStuff旗下的擴充程式也受攻擊。

卡巴斯基實驗室最新DDoS趨勢報告:勒索型DDoS攻擊越來越盛行

根據卡巴斯基實驗室8月發布第二季DDoS報告顯示,勒索DDoS攻擊趨勢逐漸增加,不僅臺灣13家證券商交易系統在今年2月遭DDoS攻擊,被要求支付贖金新臺幣27萬元至30萬元才停止攻擊,同一批駭客也在6月攻擊韓國7家銀行,也威脅銀行業者支付贖金新臺幣957萬元,否則將發動下一波攻擊。研究人員表示,勒索DDoS門檻很低,攻擊者只要懂得會寫威脅信,或購買現成殭屍網路就能夠發動。此外,還有駭客更直接攻擊比特幣交易平臺,企圖操縱虛擬貨幣的幣值。如今年6月,虛擬貨幣交易平臺Bitfinex和BTC-E遭DDoS攻擊,造成當天交易被迫中斷與幣值下滑。

整理⊙黃泓瑜

FB留言

即時科技
媒體

降雨:

氣溫: