小心!駭客假好心真攻擊 武漢肺炎地圖也有假
武漢肺炎增加用戶對感染擴散及相關資訊需求,但也成了駭客下手的機會。資安部落格 Krebs on Security 發現,近日有惡意程式冒充約翰霍普金斯大學 COVID-19 互動地圖被駭客以散佈攻擊程式。
由約翰霍普金斯(Johns Hopkins)大學開發的 COVID-19 資源中心援引世衛及官方資訊提供武漢肺炎全球與各國感染確診、死亡及康復病例的統計,是最早提供全球感染查詢的地圖服務之一。
上個月一名駭客於多個俄羅斯語的地下論壇兜售武漢肺炎相關的感染工具包,可由網站(或電子郵件)散佈 Java 惡意程式。這個工具以 200 美元提供給已有 Java 程式簽章憑證的買主,如果買主沒有憑證,也可以付 700 美元購買具有憑證使用權的工具包。
這名賣家宣稱工具包括 payload 和能完整運作的 Java 地圖,假地圖可調整大小、可互動並且從世衛和其他來源即時更新資訊,幾乎和約翰霍普金斯大學的互動地圖無從分辨。使用者會以為 PreLoader 就是地圖,因此會不疑有他開啟,還會傳給其他友人,加速蔓延。
這名賣家還說惡意程式 payload 和 Java 地圖包成的檔案名能通過大部份 Webmail 服務商的過濾引擎。它並貼出示範影片顯示 Gmail 也放行,不過 Gmail 仍然對用戶試圖下載特定檔案時發出警告。用戶必須有 Java 才能安裝這個地圖和攻擊程式,但即使用戶電腦中的 Java 是修補過的版本,本攻擊依然能成功執行。
這名賣家沒有說 payload 為何,有多少人買了這個工具包也不得而知。但上周有安全廠商 Malwarebytes 警告冒出多個網站利用冒充霍普金斯大學的互動地圖散佈 AZORult。
安全專家警告,只要肺炎疫情持續延燒,惡意程式作者就會持續乘虛而入,呼籲用戶應提高警覺,不要開啟不請自來的郵件附檔,即使是認識的人傳來的檔案。