小心！駭客假好心真攻擊 武漢肺炎地圖也有假

武漢肺炎增加用戶對感染擴散及相關資訊需求，但也成了駭客下手的機會。資安部落格Krebs on Security發現，近日有惡意程式冒充約翰霍普金斯大學COVID-19互動地圖被駭客以散佈攻擊程式。

由約翰霍普金斯（Johns Hopkins）大學開發的COVID-19資源中心援引世衛及官方資訊提供武漢肺炎全球與各國感染確診、死亡及康復病例的統計，是最早提供全球感染查詢的地圖服務之一。

上個月一名駭客於多個俄羅斯語的地下論壇兜售武漢肺炎相關的感染工具包，可由網站（或電子郵件）散佈Java惡意程式。這個工具以200美元提供給已有Java程式簽章憑證的買主，如果買主沒有憑證，也可以付700美元購買具有憑證使用權的工具包。

這名賣家宣稱工具包括payload和能完整運作的Java地圖，假地圖可調整大小、可互動並且從世衛和其他來源即時更新資訊，幾乎和約翰霍普金斯大學的互動地圖無從分辨。使用者會以為PreLoader就是地圖，因此會不疑有他開啟，還會傳給其他友人，加速蔓延。

這名賣家還說惡意程式payload和Java地圖包成的檔案名能通過大部份Webmail服務商的過濾引擎。它並貼出示範影片顯示Gmail也放行，不過Gmail仍然對用戶試圖下載特定檔案時發出警告。用戶必須有Java才能安裝這個地圖和攻擊程式，但即使用戶電腦中的Java是修補過的版本，本攻擊依然能成功執行。

這名賣家沒有說payload為何，有多少人買了這個工具包也不得而知。但上周有安全廠商Malwarebytes警告冒出多個網站利用冒充霍普金斯大學的互動地圖散佈AZORult。

安全專家警告，只要肺炎疫情持續延燒，惡意程式作者就會持續乘虛而入，呼籲用戶應提高警覺，不要開啟不請自來的郵件附檔，即使是認識的人傳來的檔案。

來源：Krebs on Security