安全資訊報告

Emotet現在透過偽造的Adobe Windows應用安裝程式包進行傳播

Emotet惡意軟體現在透過偽裝成Adobe PDF軟體的惡意Windows應用安裝程式包進行分發。

Emotet是一種臭名昭著的惡意軟體感染，它透過網路釣魚電子郵件和惡意附件進行傳播。安裝後，它將竊取受害者的電子郵件用於其他垃圾郵件活動並部署惡意軟體，例如TrickBot和Qbot，這通常會導致勒索軟體攻擊。

Emotet背後的威脅行為者現在透過使用Windows 10和Windows 11的內建功能AppInstaller安裝惡意軟體包來感染系統。

這個新的Emotet活動從被盜的電子郵件回覆鏈開始，這些電子郵件顯示為對現有對話的回覆。這些回覆只是告訴收件人“請參閱附件”幷包含指向與電子郵件對話相關的所謂PDF的連結。點選連結後，使用者將被帶到一個虛假的GoogleDrive頁面，提示他們點選一個按鈕來預覽PDF文件。

這個“預覽PDF”按鈕是一個ms-appinstaller URL，它嘗試使用*.web.core.windows.net上的URL開啟託管在Microsoft Azure上的appinstaller檔案。嘗試開啟.appinstaller檔案時，Windows提示您是否希望開啟Windows App Installer程式繼續，一旦同意，將看到一個應用安裝程式視窗，提示安裝“Adobe PDF元件”，最終惡意後門被安裝。

Emotet是過去分佈最廣的惡意軟體，直到執法行動關閉並沒收了殭屍網路的基礎設施。10個月後，Emotet在TrickBot木馬的幫助下開始重建時復活了。

新聞來源：

https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/

勒索軟體響應：您的備份是否有效？

政府敦促受勒索軟體侵害的組織不要向犯罪分子付款以取回他們的資料。一位在數字取證和事件響應方面的資深人士承認，有時有正當理由讓步。KrollLLC駐多倫多的網路風險副董事總經理傑西·羅斯(Jaycee Roth)上週在加拿大西部虛擬峰會上說:“確實需要權衡利弊。”

她說，這包括對停業的成本進行成本效益分析，並指出任何資料洩露的最大成本（佔費用的38%）是業務中斷。這不僅包括收入損失，還包括客戶損失和聲譽損失。做出決定的一個主要因素是IT部門是否可以從備份中恢復資料。

客戶認為他們有備份，認為他們擁有他們需要的所有資訊。但它歸結為測試，確保您之前確實使用過備份。我們遇到過很多情況，其中備份已過時，或者它沒有您認為擁有的資訊，或者缺少對您的業務至關重要的一個資料庫檔案。

IT經理應對任何網路事件所需的另一個重要組成部分：擁有其環境的完整清單。當一個管理/IT/顧問團隊為響應而成立時，首要的技術問題將是，有多少工作站和伺服器，是否有虛擬化，是否有防火牆日誌，描述電子郵件基礎設施等等。

新聞來源：

https://www.itworldcanada.com/article/ransomware-response-do-your-backups-work/466745

俄羅斯男子因向網路犯罪分子提供主機防彈託管而被判60個月監禁

一名俄羅斯國民被控為網路犯罪分子提供防彈託管服務，在2009年至2015年期間使用該平臺傳播惡意軟體並攻擊美國組織和金融機構，已被判60個月監禁。

34歲的Aleksandr Grichishkin與Andrei Skvortsov一起創立了防彈託管服務，並將其基礎設施出租給其他犯罪客戶，用於分發範圍廣泛的惡意軟體，並試圖給美國受害者造成數百萬美元的損失。

Skvortsov正在等待判決，面臨最高20年的監禁。Bulletproof託管操作類似於常規的網路託管，但對於可以在其伺服器上託管的內容要寬鬆得多。它們以為惡意內容和活動提供安全託管並確保威脅參與者的匿名性而聞名。

新聞來源：

https://thehackernews.com/2021/12/russian-man-gets-60-months-jail-for.html

研究人員警告伊朗使用者注意廣泛的簡訊網路釣魚活動

社交工程簡訊被用來在Android裝置上安裝惡意軟體，這是一場廣泛的網路釣魚活動的一部分，該活動冒充伊朗政府和社會保障服務機構，以竊取信用卡詳細資訊並從受害者的銀行賬戶中竊取資金。

與銀行惡意軟體的其他變種不同，銀行惡意軟體會在受害者不知情的情況下進行覆蓋攻擊以捕獲敏感資料，Check Point Research發現的惡意應用程式旨在透過向目標傳送看似合法的包含連結的SMS訊息，單擊該連結後，會將惡意應用程式下載到他們的裝置上。

“惡意應用程式不僅會收集受害者的信用卡號，還會訪問他們的2FA身份驗證簡訊，並將受害者的裝置變成能夠向其他潛在受害者傳播類似網路釣魚簡訊的機器人，”Check Point研究員Shmuel科恩在週三釋出的一份新報告中說。

這家網路安全公司表示，它發現了數百個不同的網路釣魚Android應用程式，這些應用程式偽裝成裝置跟蹤應用程式、伊朗銀行、約會和購物網站、加密貨幣交易所以及與政府相關的服務，這些殭屍網路作為“即用型移動活動”出售套件”在Telegram頻道上的價格在50到150美元之間。

詐騙殭屍網路的感染鏈始於伊朗司法機構的虛假通知，敦促使用者審查針對訊息接收者提出的假設投訴。投訴連結將受害者引導至表面上看起來像政府網站的網站，要求他們輸入個人資訊（例如姓名、電話號碼等）並下載Android APK檔案。

安裝後，流氓應用程式不僅會請求侵入性許可權以執行通常與此類政府應用程式無關的活動，還會顯示模仿該國電子司法通知系統Sana的虛假登入螢幕，並提示受害者他們需要支付1美元的費用以繼續進行。選擇這樣做的使用者隨後會被重定向到一個虛假的支付頁面，該頁面會收集輸入的信用卡資訊，而安裝的應用程式則充當一個隱秘的後門，暗中竊取信用卡公司傳送的一次性密碼並促進進一步的盜竊。

此外，該惡意軟體具有豐富的功能，可以將裝置收到的所有SMS訊息洩露到攻擊者控制的伺服器，從主螢幕隱藏其圖示以阻止嘗試刪除應用程式、部署額外的有效載荷和獲取蠕蟲般的能力來擴大其攻擊面並將自定義的簡訊資訊傳播到從伺服器檢索到的電話號碼列表。

新聞來源：

https://thehackernews.com/2021/12/researchers-warn-iranian-users-of.html

新惡意軟體在電子商務伺服器上隱藏為合法的nginx程式

電子商務伺服器正以遠端訪問惡意軟體為目標，該惡意軟體隱藏在Nginx伺服器上，使其對安全解決方案几乎不可見。該威脅被命名為NginRAT，它結合了它所針對的應用程式和它提供的遠端訪問功能，並被用於伺服器端攻擊，以從線上商店竊取支付卡資料。

NginRAT被發現在感染了CronRAT的北美和歐洲的電子商務伺服器上，CronRAT是一種遠端訪問木馬(RAT)，將有效負載隱藏在計劃在日曆的無效日期執行的任務中。

NginRAT已經感染了美國、德國和法國的伺服器，在那裡它注入了與合法程式無法區分的Nginx程式，從而使其不被發現。

新聞來源：

https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

網路釣魚攻擊者開始利用新冠病毒奧米克絨變體做誘餌

網路釣魚攻擊者已迅速開始利用Omicron COVID-19變體的出現，現在將其用作惡意電子郵件活動的誘餌。網路釣魚攻擊者會迅速使用最新趨勢和熱門話題，人們的恐懼感導致人們不經思考就匆忙開啟電子郵件。

在這種情況下，Omicron變體是一種新興的COVID-19毒株，科學家擔心其高傳染性和現有疫苗對其突變的潛在無效性。這一切使它成為網路釣魚的理想主題，因為即使是接種疫苗的人也擔心Omicron在感染的情況下會如何影響他們。

英國消費者保護組織釋出了兩個假冒來自英國國家衛生服務(NHS)的新網路釣魚電子郵件樣本，警告有關新Omicron變體。這些電子郵件聲稱為收件人提供免費的Omicron PCR測試，據稱可以幫助他們繞過限制。如果收件人點選嵌入的“立即獲取”按鈕或點選電子郵件正文中的URL，他們將被帶到聲稱提供“COVID-19 Omicron PCR測試”的虛假NHS網站。

新聞來源：

https://www.bleepingcomputer.com/news/security/phishing-actors-start-exploiting-the-omicron-covid-19-variant/