劍指Android和Windows設備　偽裝防毒網站竊個資

編譯／Cynthia

Trellix網路安全公司的專家最近揭發一個新的威脅活動，駭客利用偽裝成知名防毒軟體Avast、Bitdefender和Malwarebytes的網站，散布惡意程式，主要瞄準Android和Windows設備。透過這些假冒網站，駭客可以竊取使用者的敏感資訊，對個人隱私和數據安全構成嚴重威脅。

偽裝網站與惡意程式

以下是一些假冒網站及其所散布的惡意程式：

更多新聞：Google 積極審查  成功阻擋228萬個惡意程式

1. avast-securedownload[.]com：透過「Avast.apk」的Android安裝檔散布 SpyNote木馬。木馬能索取多項權限，包括讀取簡訊和通話紀錄、安裝與刪除應用程式、截圖、追蹤位置，甚至進行加密貨幣挖礦。
2. bitdefender-app[.]com：透過「setup-win-x86-x64.exe.zip」的ZIP檔案散布Lumma資訊竊取器。此惡意程式可竊取使用者敏感資訊，並將其傳送至遠端伺服器。
3. malwarebytes[.]pro：透過「MBSetup.rar」的RAR檔案散布StealC資訊竊取器，目的是蒐集並外洩使用者的敏感資料。

惡意程式的作用方式

除了上述假冒網站，Trellix還發現一個被用作傳輸工具「AMCoreDat.exe」的惡意檔案，用以部署更多的資訊竊取惡意軟體。這些惡意程式專門收集受害者的瀏覽器資料，並將其傳送至遠端伺服器，進一步危害用戶的個資和敏感資訊。這些惡意軟體運作方式高度巧妙，使得使用者難以意識到自己已經成為攻擊目標。

假冒網站的傳播技術

這些假冒網站的傳播方式尚不明確，但過去類似的攻擊活動常利用惡意廣告和搜尋引擎優化技術，誘使無知的用戶造訪。這些技術能夠提升惡意網站在搜尋引擎中的排名，增加用戶點擊的機會。惡意廣告也能透過各種網站和應用程式廣泛散布，進一步擴大攻擊範圍，讓更多使用者受到影響。

資訊竊取惡意軟體的普及

資訊竊取惡意軟體的廣泛使用顯示網路犯罪市場對這類工具的高度需求。從Acrid、SamsStealer、ScarletStealer到SYS01stealer，這些新興和更新版本的竊取工具在網路犯罪論壇上備受歡迎。根據Kaspersky最新的報告指出，這些惡意軟體的種類和複雜程度不斷提升，增加防範的難度，而這些惡意軟體不僅能竊取個人資料，還能執行多種惡意活動，如截取螢幕、紀錄鍵盤輸入、以及覆蓋攻擊等。

新興威脅

近期的新興威脅，如Gipy惡意軟體，該活動冒用人工智慧工具之名，透過釣魚網站廣告仿造AI語音生成器。Gipy一旦被安裝，將從GitHub載入多種第三方惡意軟體，包括資訊竊取器（Lumma、RedLine、RisePro和LOLI Stealer）、加密貨幣挖礦軟體（Apocalypse ClipBanker）、遠端存取木馬（DCRat 和 RADXRat）以及後門程式（TrueClient）。這些惡意軟體的多樣性增加其檢測和防範的難度。

Android手機的銀行木馬Antidot

另一項值得關注的威脅是Antidot Android銀行木馬，這款木馬偽裝成 Google Play更新，利用Android系統的無障礙和MediaProjection APIs進行資訊竊取。Antidot木馬具備多項高階功能，包括鍵盤紀錄、覆蓋攻擊、簡訊外洩、截圖、憑證竊取、設備控制，甚至執行攻擊者的命令等，使受害者的財務和個人資訊面臨極大風險。這些功能顯示出攻擊者不斷提升技術水平，以更有效地逃避防禦措施。

提升警覺，預防威脅

網路犯罪不斷演變，偽裝防毒網站散播惡意軟體，威脅日益複雜。提高警覺，避免從不明來源下載軟體，並定期更新設備。加強網路安全意識，採取預防措施，能有效降低成為攻擊目標的風險，維護網路健康，遠離假冒網站的惡意威脅。

資料來源：The Hacker News

瀏覽 1,211 次