资安一周[0610-0616]：Facebook申请专利技术，暗中监控用户功能来强化脸书服务

重点新闻（06月10日-06月16日）

WannaCry勒索软件出现模仿犯，专门攻击中国Android用户

资安公司Avast研究人员近期揭露，他们发现一个模仿WannaCry的勒索软件WannaLocker，伪装成手机游戏“王者荣耀”App，专门勒索中国Android的用户。WannaLocker不仅会加密受害者行动装置内部的档案，也会加密连接该装置的外部装置档案，并要求受害者利用QQ、支付宝或微信，支付人民币40元（约新台币160元）的赎金。更多资讯

图片来源：Avast

网络勒索服务锁定Mac OS装置攻击，勒索软件伪装合法文件诱骗受害者开启

资安公司Fortinet研究人员日前发现，一个新的网络勒索服务（RaaS）MacRansom，专门锁定Mac OS的使用者来发动攻击。MacRansom会伪装成Mac OS支援的文件格式，一旦受害者打开文件，就会立即发动勒索攻击，要求受害者在指定时间内支付0.25个比特币（约新台币20,000元），受害者若未依照时间支付，MacRansom会加密受害装置系统的档案，最多会加密128个档案。更多资讯

图片来源：Fortinet

勒索加密手法再升级，假冒慈善机构名义强迫捐款勒索比特币

资安研究人员Michael Gillespie于6月12日在推特揭露，最近网络出现一个名为“拯救儿童”的勒索信，攻击者假冒“全球扶贫救援机构（GPAA）”工作人员的名义，声称需要募款1,000个比特币，帮助非洲儿童脱离贫穷。骇客强制加密受害者的档案，胁迫受害者支付1个比特币，来拯救1位儿童，也可以同时解除遭加密的档案。目前，这套勒索软件没有任何的解密工具，但研究人员建议，受害者可以尝试系统还原或阴影复制（Volume Shadow Copies）的功能，来恢复受影响的档案。更多资讯

图片来源：Michael Gillespie

骇客锁定 Office 365用户寄发钓鱼邮件，欺骗用户登入网站来窃取公司资料

资安部落格My Online Security作者指出，近日收到一封以微软公司人员名义寄发的钓鱼邮件，标题为“重要更新，必须升级”，通知使用Office 365服务的中小企业用户“信箱空间容量已满，请登入连结，可以免费升级至5GB”，用户点击该连结，就会转址到伪造的Office 365身份验证网页。用户输入Office 365帐密后，骇客就可以窃取用户在Office 365内的资料。更多资讯

图片来源：My Online Security

通讯软件Discord、Telegram遭骇客滥用，沦为发号施令的C&C服务器

趋势科技前瞻威胁研究团队近期发布最新的报告说明，骇客结合通讯软件与恶意程式，利用讯息传输的功能来下达命令，进一步发动恶意攻击，导致通讯软件的传输平台成为骇客发送指令的C&C服务器，并且表示，通讯软件Discord与Telegram的API已经遭骇客滥用。

研究人员调查发现，Discord托管许多恶意软件，例如档案注射器（file injectors）和比特币挖矿程式，并且利用Websocket协定，窃听用户在Discord聊天频道的任何讯息。除此之外，勒索软件KillDisk与勒索软件TeleCrypt的变种是利用Telegram的API，锁定目标装置来下达命令，进一步窃取目标装置的资料。研究人员说明，因为在通讯平台的环境里面，很难利用监视流量的方式，辨别出攻击者与一般使用者不同的使用行为，所以无法完全阻挡骇客在通讯平台上的恶意行为，除非能够解决前述的问题，否则难以防护通讯平台的安全性。更多新闻

图片来源：趋势科技

僵尸网络Persira感染IP摄影机数量全球最多，成为最具威胁的IoT僵尸网络

根据趋势科技资安人员日前利用Shodan搜寻的资料，以及自行调查的研究显示，在美国、日本、韩国和台湾有3,675台的IP摄影机，遭到4组僵尸网络控制，分别是Persirai、Mirai、DvrHelper和TheMoon，其中，Persira占了64.12%，控制最多的IP摄影机，其次是Mirai，仅占了27.67%。研究人员分析发现，Persira作者利用装置的login.cgi漏洞，绕过身份验证的机制来取得管理密码，接着再锁定set_ftp.cgi漏洞植入恶意程式，最后利用CVE-2014-8361漏洞在远端执行恶意程式码。更多资讯

图片来源：趋势科技

骇客组织利用英特尔芯片内建AMT远端管理功能，绕过防火墙控制目标电脑

微软近日发现，知名骇客组织PLATINUM为了隐藏入侵行动，使用英特尔芯片内建的远端管理功能AMT上的SOL功能，能避开目标电脑的防火墙功能，透过系统维护用的独立通道来进行远端遥控。研究人员解释，由于AMT内嵌在英特尔处理器芯片组中，不需要启动操作系统，只要电脑有连接网络和电源就可以运作。PLATINUM利用此原理，绕过防火墙程式，完全控制目标电脑的系统，并使用SOL功能连接恶意程式与C&C服务器。

然而，电脑预设关闭SOL功能，拥有装置管理员权限的使用者才能够启动，微软还无法得知PLATINUM是否先前有载入其他的恶意软件来开启。微软强调，这并非是英特尔处理器的漏洞，而是骇客滥用这项功能来从事恶意行动。目前，微软已经更新 Windows Defender ATP，可以侦测非法使用者利用AMT SOL的恶意行为。更多资讯

图片来源：微软

Facebook为强化客制化服务，暗中申请专利技术来侧录用户人脸与键盘纪录

根据风险投资资讯提供商CB Insights近日揭露，Facebook为了提供用户更客制化的内容，以及增加更贴近用户情绪的表情图案，申请了多项追踪用户技术专利，暗中搜集用户的脸部表情照片、敲打键盘的位置、移动鼠标的速度等资料。目前，有三项专利技术已经获得授权，第一，在未经用户同意，开启行动装置的摄影机，来捕捉用户表情，了解用户的情绪反应，这项已经在2015年8月27日通过。第二，搜集用户照片的脸部表情，分析用户的情绪，设计适合的表情符号，这项技术已经在2017年5月18日通过。第三，监控用户键盘、鼠标、触碰板，以及触碰屏幕的纪录，预测用户的情绪，整合到发布消息的功能。更多资讯

基础建设威胁警报响起，恶意程式Industroyer锁定供电系统建立后门

资安公司ESET研究人员于6月12日发现，恶意程式Industroyer专门锁定供电系统为主的基础设施来攻击。研究人员分析，Industroyer是一个后门程式，骇客可以操控电厂的配电变电所开关，以及输电网络的断路器，并且连接远端C&C服务器，由攻击者下令行动并回报攻击者。而且，根据样本分析发现，Industroyer使用的4种攻击元件，可以在不同的阶段辨识输电网络，并依据不同工控系统发出指令，显示攻击者对此类系统的深厚知识。更多新闻

Google建立资安游戏网站，网络安全素养要从儿童做起

现在很多儿童从小就利用行动装置来上网，成为了数位公民的一分子，但网络威胁数百种，儿童容易点击未知来源的连结遭骇客窃取个资，或进入拥有高风险的网站等。Google为了协助儿童可以安全上网，最近架设了一个网页游戏网站“Be Internet Awesome”，设计一系列的闯关游戏，提出关于网络安全方面的问题，来教导儿童如何在网络上保护个资、设定强度密码、辨别不实消息、预防网络钓鱼，以及网络聊天礼仪等，建立儿童的网络安全素养。更多资讯

图片来源：Google