2013年5月2日 星期四

< APT 攻擊> 有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式,意圖竊取個資(含信件樣本)


< APT 攻擊> 有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式,意圖竊取個資(含信件樣本)

有心人士冒用健保局北區業務組名義,散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話,以及公司名稱。


有心人士發動社交工程攻擊 假冒健保局散佈木馬與後門程式 意圖竊取個資
圖說:趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件,內容詳細提供各項連絡電話與方式,以取信收件者。


解壓縮後發現為一看似文件檔,事實上為執行檔的檔案。下載執行後,民眾電腦將被植入木馬程式TROJ_KRYPTIK.BRH與後門程式BKDR_INJECT.CTN,使用者電腦隨即門戶洞開,可能造成使用者資料外洩。趨勢科技呼籲此類社交攻擊運用人性弱點且防不勝防,應選取具有網頁信譽評等的資訊安全防護軟體,以避免成為此類攻擊受害者。


圖說:解壓縮後發現其為一看似 Dos 檔的執行檔,一旦執行後將下載木馬程式與後門程式,造成使用者電腦門戶洞開。

健保局遭有心人士透過郵件冒名散發木馬與後門程式,郵件內含檔名為「二代健保補充保險費扣繳辦法說明」的RAR壓縮檔,誘惑使用者點選。解開檔案後發現是一個看似為DOS檔,實際上為執行檔的檔案。一旦執行後將下載木馬程式與後門程式,造成使用者電腦門戶洞開,有心人士可以竊取電腦中的資料。

進一步分析發現,本次攻擊中的木馬程式,其連結網頁採用浮動IP位址,可能是有心份子透過木馬與後門程式,希望竊取民眾個資。一直以來,社交工程手法運用的都是人性「好奇心」的弱點,因此防不勝防。最佳解決之道,仍是選取具有網頁信譽評等的資訊安全防護軟體,才能有效降低成為攻擊受害者的可能性。

轉載自《趨勢科技全球技術支援與研發中心》