2013年8月7日 星期三

國家資安通報警告:KMPlayer更新程式疑遭駭客下毒

國家資安通報警告:KMPlayer更新程式疑遭駭客下毒

資通安全辦公室提出警告,KMPlayer疑似軟體更新遭駭客利用,使用者更新後可能被植入後門程式,駭客可竊取電腦資料、遠端控制,已向韓國方面反應,等待原廠回應。

行政院資通安全辦公室提出警告,知名影音播放軟體KMPlayer軟體更新疑似遭駭客入侵,用戶可能下載惡意程式遭竊取電腦內資料,建議用戶暫時停止使用。

根據國家資通安全通報公告,技服中心接到外部情資顯示,因支援多國語系及多種影音檔案而盛行的KMPlayer軟體更新機制出現異常,駭客疑似透過KMPlayer更新機制散佈惡意程式。


根據其說明,KMPlayer用戶啟動程式後,若出現版本3.7.0.87更新訊息,啟動更新後將連線至http://cdn.kmplayer.com/player/update下載假冒的更新程式KMP_3.7.0.87.exe,執行該程式後不會變更版本,但使用者電腦將被植入惡意程式


被感染的電腦會連線至pen.abacocafe.com、pens.abacocafe.com、cdn.abacocafe.com、vpen.abacocafe.com等中繼站。可能被影響的包括所有KMPlayer用戶,資安通報評定為高影響等級。政府已透過國家電腦事件處理中心(TWNCert)向KrCert及KMPlyaer反應,期待原廠提出說明。

資通安全辦公室指出,經過檢測KMPlayer軟體更新行為,發現會連線至韓國伺服器下載新版程式,部份IP用戶因不明原因會下載惡意程式,側錄使用者鍵盤、連線到中繼站等等。建議曾使用KMPlayer軟體更新的民眾可以防毒軟體偵測刪除,避免受到影響。

另外,不願具名的知名資安業者表示,透過管道取得惡意程式,確認為遠端後門程式,使用者電腦被感染後可能打包電腦內的資料、設立控制帳號、連接其他伺服器等等。

由於韓國在今年3月爆發最大規模的APT攻擊事件,導致韓國多家銀行、電視台、保險公司電腦故障,駭客便是利用更新程式大規模散佈惡意程式,統計約有4.8萬台設備故障,影響韓國日常生活正常。


有鑑於此,行政院資通安全辦公室指出,先前韓國重大資安事件中駭客攻擊手法就透過軟體更新滲透用戶電腦主機,以此發起影響層面更大的DDoS攻擊,韓國近期政府網站被攻擊都是經由此手法進行。另外,駭客利用具發行者簽章的合法程式植入惡意程式進行攻擊,顯見攻擊行為已更為縝密。民眾應加強資安意識,避免使用來路不明軟體,成為駭客攻擊的跳板。

轉載自《iThome》