在最近,我們曾經報導過惡意軟體開發者以兒童遊戲為皮將賭博應用程式包裹其中,還利用正當廣告管道誘使用戶下載,無獨有偶,一個獨立的惡意軟體開發組正在進行有點類似又不太一樣的嘗試,雖然不同平台但殊途同歸,用意在於鬆懈用戶戒心,下載安裝惡意軟體並藉此竊取你的個人數據。
惡意軟體假冒微軟官方商店欺騙用戶下載安裝,竊取用戶個人數據
這個惡意軟體散布的途徑有點迂迴,但也不是那麼難理解,首先利用一般常見的行銷管道為其軟體、遊戲打廣告,當用戶點擊這些廣告時,會被導向至那些乍看之下有點真假難辨的假冒微軟官方商店網頁。大家看到廣告時,壓根不會想到惡意軟體會堂堂正正地走這種公開管道途徑,警覺心跟著降低許多;在看到這麼神似的微軟官方商店網頁時,戒心也就減低大半。
▲ 這是惡意軟體在一般常見的廣告欄位中所張貼的廣告橫幅
▲在點選廣告橫幅後就會進入這個頁面,看起來跟真的頁面相差無幾,但仔細看網址就會發現有天大的差距。一般微軟官方商店中的應用程式頁面的網址前綴都會是「https://www.microsoft.com/」(經 Chrome 精簡後會顯示 microsoft.com)開頭。
當用戶點擊了下載後,自動幫你下載命名為「Ficker」或「FickerStealer」等較為知名檔案名稱的 Zip 檔案,在你如同往常直接解壓下載後就中招了。它會竊取包含網路瀏覽器、桌面訊息應用(像是 Pidgin、Steam、Discord 等)和 FTP 用戶端中保存的各種認證以及你的各種個人數據。另外,這個惡意軟體可竊取超過 15 種虛擬貨幣錢包,盜取文件,並且擷取受害者電腦上活躍應用程式的螢幕截圖,然後將上面這些非法取得的個人數據壓縮並回傳給不肖人士。
▲此為假的 Spotify 官網,最簡單的部分也是從網址就能辨識。正版的 Spotify 網址是「https://www.spotify.com/」(經 Chrome 精簡顯示為 Spotify.com),即便是進入到官網中的其他頁面中也會是以這個主網域為前綴,不會跑出如假官網上那串落落長的網址。
除了冒充微軟官方商店中的應用程式外,不法人士還冒充成 Spotify 網站和線上文件轉換器等多種樣貌。由於惡意軟體多半對用戶存在危害,如果用戶有類似的切身經驗,受影響的人應立刻更改各種線上帳號的密碼,檢查防火牆是否有可疑的轉發規則,並且對電腦進行徹底的掃毒以揪出其他惡意軟體。
◎資料來源:Bleeping Computer
