骇客锁定台湾公部门、研究机构、大学发动网钓攻击，并在网页邮件系统注入恶意JavaScript窃密

网络邮件钓鱼攻击事件层出不穷，但骇客为了能够掌控受害者的电子邮件信箱账号，他们也发展出较为复杂的手法，来暗中收集能存取这些账号的资料，而且，这样的手法还针对台湾公部门与研究机构而来。

在1月5日，趋势科技公开自2019年5月出现的网络钓鱼攻击行动，骇客的手法相当特殊，借由钓鱼邮件让受害者上钩之后，他们不仅透过受害者的邮件签名档，对他人发动XSS攻击横向感染，同时还窃取信箱内容，以及登入电子邮件信箱的凭证，或是连线阶段（Session）的金钥等。该公司指出，这样的攻击手法，过往没有骇客如此做过，他们将发动攻击的骇客组织命名为Earth Wendigo。

这个网钓邮件会发起的恶意行为，包含了会窃取浏览器Cookie和网页信箱的连线金钥，并传送到远端服务器；再者，则是在受害者电子邮件的签名档加入恶意脚本，并感染联络人。

骇客为了能让恶意脚本持续注入在网页邮件系统上，他们滥用系统的XSS漏洞。不过，趋势并未透露漏洞CVE编号与受到波及的网页邮件系统为何。

另一方面，骇客也将恶意JavaScript程式码注册于受害电脑浏览器的Service Worker，这是浏览器内建功能，能让JavaScript在受害者关闭浏览器后，持续在背景运作。而这个被注册的脚本，不仅会偷取登入账密，还能窜改网页邮件页面内容，以便透过上述的XSS漏洞植入恶意脚本。趋势科技表示，这是他们首度发现骇客实际滥用浏览器Service Worker的攻击行动。

对此，该公司呼吁，企业不只要培养员工的资安意识，也应该要落实内容安全管制政策（CSP），来防范这种滥用XSS发动攻击的手法。

这些骇客锁定的目标为何？趋势科技指出，骇客不只锁定台湾的-组织、研究机构，以及大学，还有声援图博、维吾尔族，以及香港的人士，也是这起事件被锁定的目标。不过，对于受害者的人数，该公司没有说明。

在骇客组织Earth Wendigo发动的网络钓鱼攻击中，他们寄送如图中的信件，让诱使收信人上当。这乍看之下是Google的异常存取警告信，不过一旦收信者按下了“立即检查”按钮，他的电子邮件信箱的签名档，便会被植入恶意脚本替骇客散布钓鱼信件。