新的CrystalX遙距存取木馬看似是90年代盛行的惡作劇左病毒,背後其實更大破壞力,不但監察受害者的電腦、盜竊加密貨幣和帳號,更能完全控制裝置,如果以為只是老舊的惡作劇可能會蒙受重大損失。
攻擊者的萬用刀
在今年3月,研究人員在私人的Telegram頻道內發現不明惡意程式,利用經典的市場策略,木馬程式提供三種不同訂閱等級的購買方式,功能相當廣泛,買家可按自己想對受害者的電腦做的影響而選擇。
- 更改桌面壁紙至特定連結的圖像
- 旋轉畫面90、180或270度
- 直接關閉電腦
- 更改滑鼠按鈕編排
- 與受害者對話
- 封鎖鍵盤輸入和螢幕輸出
- 顯示任何攻擊者選擇的文字通知
- 關閉特定元件,例如Task Manager、指令提示和Windows工作列
暫時看來只是無害的惡意程式,這些惡作劇讓人想起過去幾十年的玩笑病毒,CrystalX的真正破壞來自它盜竊Steam、Discord、Telegram和其他Chromium為基礎的瀏覽器的登入憑證,它也會監視和更改剪貼薄上的內容,攻擊者明顯是等待加密錢包地址被複製時,把它換成自己的地址,這種盜竊的方法一邊看似成功合法的交易,受害者複製的收款人錢包地址,結果被換成騙徒的錢包地址。此外,keylogger功能和通過遙距存取螢幕、相機和咪高峰,完全控製裝置,包括錄製影像和聲音。
惡意程式在RAT開發員的私人Telegram頻道被首次提及是今年1月,當時這Windows的木馬程式被稱為WebCrystal RAT,其實是另一款WebRat的複製,在短時間之後製作人重新包裝為CrystalX RAT,並建立新Telegram頻道宣傳這款木馬程式,暫時尚未清楚盜竊工具的初始感染途徑。
任何人都能成為黑客
開發任何複雜的網絡攻擊都要經歷困難的學習曲線,而要瞭解密碼學和網絡協議,以及懂得編程瞞騙防毒方案,門檻相當高,直至惡意程式服務(malware-as-a-service)模式的出現改變了遊戲規則。現任何何攻擊者只需要基本電腦能力去租用介面友善的現成平台,威脅也更加廣泛,因為創作者不再自動推出攻擊,而是把它出售,聚焦在支援他們的客戶,改良用戶介面,提入大量金錢進行激進的行銷。
黑客設立YouTube頻道作為教育和娛樂用途,解釋如何從控制台管理木馬程式,曾經只留在暗網的教學影片變得光明正大,把入侵的技術公諸於世。
如何繞過保安措施
不論黑客應用程式的編碼技術如何先進,如果沒有源源不絕的新客戶,最終也會步向死亡,所以行鎖的付出成為存亡關鍵,即使也大幅增加開發者被捕的風險,不過CrystalX的開發者找到如何保護自己作品的方法。控制台讓客戶建立自己特一無二的木馬版本,具備擴充設定選項,例如他們能開啟地理過濾去針對特定國家的用戶,選擇執行檔的圖示,切換反分析功能,完成的木馬程式使用zlib加壓然後以ChaCha20加密,金鑰是256位,隨機數是96位。
CrystalX同時具備偵測虛擬機器和檢查是否在測試或除錯環境中運行,令偵測工作更困難,詳細資料可瀏覽Securelist。
如何避免成為受害者
以下幾個簡單小貼士,能助你避免成為CrystalX和其他相似惡意程式的受害者:
- 電腦出現異常時特別注意,螢幕自動旋轉、鍵盤或滑鼠反應異常或卡頓,出現隨機通知或聊天窗口,都可能是CrystalX的感染跡象,如發現以上情況,立即拔掉網線或關閉路由器的方式中斷互聯網連線,再利用USB手指安裝保安方案徹底清險病毒。
- 從官方網站和可靠的來源下載軟件,避免使用盜版軟件、許可金鑰產生器和免費版的付費應用程式,通常都內藏木馬程式。
- 別相信推鎖可疑工具的教學影片,經常聲稱用作管理、優化和安全測試,所有建議關閉防毒軟件才能完成安裝的,都是危險的訊號。
- 小心經由通訊應用程式接收到的檔案,被密碼保護的所謂重要文件或私人版本是惡意程式散播的慣用技倆。
- 啟用雙重登入認證和passkey去保護重要的帳號,例如電郵、通訊應用程式、遊戲平台和加密貨幣交易。
- 定期更新操作系統和應用程式,堵塞安全漏洞避免被惡意程式有機可乘。
- 使用可靠的保安方案,偵測和封鎖木馬程式的安裝或下載。
資料來源:Kaspersky Blog
