概述
惡意軟體WikiLoader近期透過搜索引擎最佳化中毒(SEO Poisoning)手法,被駭客利用來散布。駭客以特定資安業者Palo Alto Networks的SSL VPN服務GlobalProtect作為誘餌,該公司的威脅情報團隊Unit 42已揭露此攻擊行動,並呼籲用戶提高警覺。
攻擊方式
駭客利用搜尋引擎最佳化中毒手法,將惡意廣告置於搜索結果前列,誘使用戶點擊。一旦點擊,用戶會被導向架設於雲端Git儲存庫的冒牌網站,從而下載含有惡意軟體的「安裝程式」。實際上,這個「安裝程式」並非GlobalProtect,而是包含超過400個檔案的ZIP檔。
機制分析
研究人員指出,若用戶執行上述執行檔,駭客將會使用DLL側載手法載入WikiLoader元件。此元件會載入其他模組,並解開Shell Code,注入Windows檔案總管的處理程序。被注入的程式碼將C2伺服器進行通訊,駭客利用遭駭的WordPress網站充當C2,並使用MQTT通訊協定。
攻擊目標
此次攻擊的主要目標為美國高等教育機構及交通單位。由於攻擊者利用SEO中毒手法,使得影響範圍較過往利用網路釣魚來得廣泛。
防範建議
為避免成為攻擊目標,單位及個人應提高對惡意軟體的警覺,並採取以下措施:
- 定期更新軟體,包括操作系統、辦公軟體及防毒軟體。
- 選擇可信賴的軟體來源,避免下載來源不明的軟體。
- 適當設置網絡防火牆,限制外部對內部網絡的訪問。
- 培訓員工提高對惡意軟體的識別能力,避免上當受騙。
結論
惡意軟體WikiLoader的攻擊行動再次提醒我們,隨著信息技術的發展,網絡安全問題日益嚴重。我們必須保持高度警覺,並採取有效措施保障網絡安全。
Views: 0