如果你最近有用 Google 搜尋過遠端桌面工具,而且又通過頁面廣告去下載TeamViewer嘅人要小心,因為有黑客借助 Google Adwords 嘅廣告威力,將下載惡意軟件 Zloader 嘅連結變成下載陷阱。騙徒手法真係層出不窮㗎!
目錄
半被動式入侵手法
相比起向目標人物發送釣魚電郵,誤導對方打開惡意軟件的詐騙手法,半被動式等待受害者自行下載的成功率明顯較高,因為主動出擊會增加目標人物的戒心,相反後者是受害者自行上網搜尋,如果再加上有可靠機構加持,成功率隨時達九成以上。過往便有網絡犯罪份子首先將藏有下載惡意軟件的連結,假扮成下載財務文件樣本的連結,再利用 SEO(Search Engine Optimization, 搜尋引擎排名優化)技術將連結推至搜尋排名前列位置,增加受害者下載的信心。另外,亦有黑客利用 Facebook 廣告引誘受害者下載惡意程式,攻擊手法令人防不勝防。
TeamViewer下載陷阱借廣告加乘
今次由網絡安全機構 SentinelOne 發表的研究報告便指出,有犯罪份子正利用 Google Adwords 大賣廣告,並將惡意銀行木馬軟件 Zloader 下載連結假扮成 TeamViewer 的下載連結。專家相信在疫情下,不少企業也採用 TeamViewer 讓員工遙距工作,犯罪份子便利用對它的剛性需求,增加入侵企業的機會。
精密入侵手法繞過Windows Defender偵測
專家指,雖然 Zloader 家族早於 2016 年出現,但其間不停進化,今次的入侵技術更有顯著的進步。首先,當受害者誤信廣告,點擊下載實體為 Zloader 的銀行木馬時,會見到下載的檔案名稱為 Team-Viewer.msi。當受害者繼續安裝,便會觸發一連串的惡意行動,Zloader 會被斬件式分多次下載,以避過 Windows Defender 的偵測,逐步取得關閉防毒軟件的運作權限,然後將自己設定於 whitelist 內,日後再啟動 Windows Defender 時便不會觸發任何警報。
非佛系攻擊最難防避
SentinelOne 專家又警告,利用廣告或 SEO 排名的半被動式攻擊手法有明顯上升的趨勢,因為黑客並非佛系式等待受害者上門,而是利用各種方法增加被搜尋機會,例如過往便有惡意軟件假扮成 Discord 或 Zoom 的安裝程式,而且入侵手法精密,不時能逃過防毒軟件的偵測。網民在下載任何檔案時,最好手動輸入官網網址,並在官網逐層進入下載版面,雖然手續較麻煩,但就可避免成為下一個受害者。
