研究人員近日發現新的惡意活動採用了有趣的方法,犯罪份子創建了自己簽署的合法遙距存取工具,而且為了散播,使用了AI的服務大量生成惡意網頁,並偽裝成不同的應用程式官方網站讓受害者掉入陷阱。
攻擊流程
犯罪份子似乎正利用多種啟動平台選項發動攻擊,他們明顯希望大量用戶通過簡單的Google搜索去到他們的假網頁,假網站地址往往與用戶搜索對像相近,其次是發送惡意電郵,受害者會收到含有假網站連結的電郵,也有部份惡意網頁偽裝成防毒軟件或密碼管理應用程式,他們的內容明顯設計成透過某些保安事故的假警告讓用戶害怕,更利用上「死嚇程式」(scareware)的策略,訛稱保護用戶免受虛構威脅,誘騙用戶安裝不安全的應用程式。
以Lovable建立假網站
雖然內容各有不同,涉及這次惡意活動的假網站有幾種共同特徵,首先,大部份地址並非依照「熱門應用程式名稱+desktop.com」建立(這種格式的網址與常見搜尋相當接近),另外,假網站看起來相當專業,外觀並非完全複製原版,反而是因應主題而改變,即使是偽裝一個網站也有幾種不同外觀,背後其實是攻擊者利用了人工智能驅動的網站製作工具去建立假網頁,由於攻擊者偷工減料不慎留下蛛絲馬跡,令研究人員確定他們使用Lovable的服務。
遙距管理工具Syncro
另一個假網站的共同特徵是全部都散播相同的惡意內容,攻擊者並沒有創建自己的木馬程式或從黑市購買,而是使用自己開發版本的完全合法遙距存取工具Syncro,原本的應用程式是為企業支援團隊和託管服務供應商而設的集中監控和遙距存取功能,Syncro服務相對便宜,每月由129美元起,而且託管裝置數量不限。與此同事,工具本身具備強大功能,附了螢幕分享,也提供遙距執行指令、檔案傳輸、記錄分析、編輯註冊表和其他背景活動,Syncro的最大優點是簡化安裝和連接流程,受害者只要下載和執行安裝檔案。
自此安裝程序在背景完成,暗地裡把惡意Syncro版本載入到電腦,由於該版本硬編了攻擊者的CUSTOMER_ID,所以會立即獲得受害者裝置的全權控制權,一旦受害者的裝置安裝了Syncro,攻擊者取得完全存取權限,並藉此達成他們的目標,例如盜竊加密錢包鑰匙並進行盜竊資金。
防範類似的攻擊
這惡意活動對用戶構成頗高威脅,原因在於使用人工智能服務製作的假網相當專業,地址也不太可疑,儘管與真版有明顯的分別,但是基於放在一起直接比較的情況下,如果單獨地乍看一下便很容易誤以為真。另一個原因是攻擊者使用合法的遙距存取工具去感染用戶,這意味著偵測感染變得困難。Kaspersky對這類型個案判定為「Not-a-virus」,當偵測到存在遙距存取工具(包括合法的Syncro)時便會進入這類別,對於用作惡意目的的Syncro版本,保安方案會偵測為HEUR:Backdoor.OLE2.RA-Based.gen。
但要謹記防毒軟件不會預設封鎖所有合法的遙距管理工具,所以建議留意保安方案的通知,如果發現在裝置偵測到「Not-avirus」時,就要認真處理,另外我們還建議:
- 不要下載來自可疑來源的應用程式,特別是裝置上安裝了金融或加密應用程式時。
- 在進行任何下載應用程式或輸入個人資料等潛在危險動作時,再三檢查網頁的地址。
- 留意防毒軟件或反釣魚防護的警告
資料來源:Kaspersky Blog
