作者:Norman Ingal (趋势科技威胁回应工程师)
根据报导,最近出现了一些可攻击多种运算平台的大规模攻击恶意程式。在最近的一次事件中,苹果Mac电脑遭到了新的KOOBFACE家族变种所攻击。(Koobface是一个恶名昭彰的恶意程式家族,专门透过社交网路散播,如:Facebook。
不过,事实上这些事件并非零星个案。它们是大规模入侵与恶意网站攻击的冰山一角。网路犯罪者已逐渐将浏览器类型与作业系统版本侦测纳入标准攻击程序当中。
而且,攻击中使用的恶意网站、酬载以及重导过程还会每天定期更换。让我们来看一下最近我们发现的一个恶意网站:
其恶意程式码本身还算单纯:它会视使用者的浏览器与作业系统类型将使用者重导至不同的恶意网站。在这项攻击中,Internet Explorer和 Firefox使用者会如往常一样感染假毒 FAKEAV变种,如FAKEAV Update: Java Vulnerabilities and Improved Fake Alerts(FAKEAV更新:Java漏洞与更严重的假防毒软体警报)一文所述。
而 Mac和 Linux 使用者则是被重导至一个假的 RSS feed网站。该网站似乎会定期透过「Google Trends」找出高排行榜的关键字,然后以这些关键字为新的部落格贴文标题。并且利用上述热门关键字在贴文当中加入一些来自「Google图片」的影像。此外,当恶意网站不提供恶意程式时,还可能会暂时「歇业」。
最后,不属于前面几类的使用者,则直接采用「标准」假防毒软体FAKEAV重导程序。
虽然这次攻击只用了假防毒软体FAKEAV程式,但其实际使用的网站却会每天更换。因此,要将其他恶意程式散播给不同使用者也是轻而易举。上星期,歹徒就利用同样的技巧来散布KOOBFACE恶意程式给Mac使用者,此外也曾经散布下列恶意程式:
BREDOLAB
CUTWAIL
KOOBFACE
TDSS
ZBOT
虽然绝大多数采用此技巧的攻击都还是使用假防毒软体FAKEAV,但这种使用传统Bot网路经营模式的恶意程式家族开始出现因对象而「客制化」的攻击行为,实在令人担心,而且未来很可能朝向大规模漏动攻击发展。
使用者要小心,因为这类客制化攻击代表着恶意网站未来将看起来更像正常网站。因此,要光从外观来判断是否为恶意网站会是一项挑战。所以,网页拦截能力对于使用者来说将更加重要,而且客制化恶意程式攻击还可以使用更多不同的恶意程式来进行攻击。为了协助使用者避开上述最新威胁,这项新的网页威胁趋势将是我们未来观察的重点。