疫情危機尚未解除,新的網路攻擊又再次現行。國內資安大廠趨勢科技發現,近來有一波針對香港的iOS用戶的水坑攻擊(Watering Hole),駭客會透過各種新聞報導的連結,誘導網民點擊。雖然這些連結的確會將人們帶到真正的新聞網站,卻也用了隱藏的iframe語法來載入和執行惡意程式碼。
趨勢科技表示,這些惡意程式碼會攻擊iOS 12.1和12.2的漏洞。一旦使用帶有漏洞的裝置點入這些連結,便會自動下載新的被稱為「lightSpy」的iOS惡意軟體,讓攻擊者能監視使用者的裝置、竊取裝置上的檔案。由於主要散佈方式是透過新聞網址的連結,這場攻擊行動也被稱為「毒新聞」攻擊(Operation Poisoned News)。
透過新聞連結裝後門軟體,盜竊通訊程式內的訊息資料
何謂水坑攻擊?其實就是埋伏在攻擊目標可能會去的地方,伺機展開攻擊的一種攻擊型態。據了解,這波毒新聞攻擊散布於四大香港大型網路論壇,專門利用色情相關標題、誘人點擊的頭條新聞或是疫情相關的新聞展開攻擊,甚至連香港抗爭相關資訊,也被埋有惡意程式碼。
趨勢科技表示,這隻惡意軟體是一個模組化的後門程式,可讓駭客遠端操縱受駭裝置上的檔案。軟體內有多項模組,分別用來竊取不同類型的資料,包含聯絡人資訊、簡訊、通話紀錄、GPS定位資訊、Safari和Google Chrome等瀏覽器的歷史紀錄等。
值得注意的是, 惡意軟體內特別設有三個模組專門抓Telegram、Wechat與QQ的訊息、聯絡人與群組成員 ,顯示這些資料是駭客的主要目標之一。
針對這項毒新聞攻擊行動,趨勢科技也通知了騰訊、Apple與Telegram等相關公司。騰訊表示,他們的微信與QQ使用者仍有小部分在使用含有iOS12.1、12.2漏洞的舊版iOS用戶,而他們也已提醒使用者要儘快將裝置更新為最新的iOS系統,並強調他們將持續努力確保其產品與服務的資訊安全。至於Apple與Telegram則尚未提供回覆。
另有針對Android裝置的攻擊,疑為同一組駭客團體
事實上,早在去年就有一波類似的攻擊行動,是將惡意程式偽裝成各種應用程式,透過Telegram的公開頻道推播給Android的用戶。該惡意程式同樣會洩露裝置的資訊、聯絡人、手機簡訊等資訊,被趨勢科技稱之為「dmsSpy」。
趨勢科技的研究還發現在2019年有類似活動針對Android裝置。可從各香港相關Telegram公開頻道找到惡意.APK檔案連結。訊息聲稱這些是各種正常的應用程式,但卻是會洩露裝置資訊、連絡人和簡訊的惡意應用程式。
趨勢科技認為這兩波分別針對Android和iOS裝置的攻擊彼此之間互有關聯性,因為控制dmsSpy的伺服器和毒新聞攻擊所用的其中一個惡意連結有同樣的網域名稱, 不排除是由同一組駭客所操作的攻擊事件。
為了避免受害,趨勢科技建議iOS用戶定期更新系統。這波毒新聞攻擊所利用的漏洞一年多前就有更新了,有系統更新習慣的用戶就能免於遭駭客入侵的風險。
針對Android用戶,趨勢科技則建議要避免在可信任的應用商店之外安裝應用程式,因為透過外部連結下載的應用程式經常會包含惡意程式碼。
若要更全面提升資安防護,也可以下載行動裝置的資安防護軟體,用多層次的安全防護功能保護自己的隱私與資料,防堵勒索軟體、詐騙網站與身份盜竊等威脅。
責任編輯:蕭閔云