智利地震搜尋結果，假冒 Wiki 植入假防毒軟體惡意連結

今天早上小編打開噗浪的看噗，才發現早上有地震，後知後覺的小編崔嘻趕緊叫醒谷哥，輸入「地震」關心一下地震消息。不過按下 Enter 鍵之前立刻就想到最近小編 趨勢科技TrendLabs 同事上週發出關於智利地震的網路詐騙。

上週末智利發生強烈地震造成上千人的死亡。立刻被所謂的駭客Black_Hat SEO（Search Engine Optimization，簡稱SEO）攻擊所利用，將多個與假防毒軟體的惡意連結，置放在以“智利地震2010 wiki（維基）”字串查詢所產生的搜尋結果的前面幾行。

圖1、搜尋結果

喜劇演員Bill Cosby比爾．寇斯比（天才老爹）的傳聞死訊被用來散佈相同的假防毒軟體變種，該變種Trend Micro趨勢科技偵測出為TROJ_FAKEAL.SMDP。

查詢比爾．寇斯比傳聞死訊新聞

所產生的惡意搜尋結果

大批允許網站服務Twitter.Grader.com連結帳戶的Twitter推特使用者，皆開始傳出一式怪異且未經他們授權的推文訊息，看來像是另一個和Twitter推特服務相關的入侵攻擊事件。

受感染帳戶樣本（Twitscoop搜尋結果）

牽涉到名人死訊（celebrity deaths）（無論真或假）的新聞習慣性地會在網際網路上如野火般漫延，以煽情的片斷訊息來引誘閱讀者的注意。也不難瞭解為何惡作劇份子和網路犯罪份子會利用人們喜好八卦的特性。請參考 最毒名人錄 。

所以當Johnny Depp強尼．戴普因車禍身亡的謠言產生時，沒過多久就遭網路犯罪份子利用透過一般的黑帽搜尋引擎最佳化（blackhat search engine optimization，簡稱 Black_Hat SEO）伎倆來散播惡意軟體。

圖1、“戴普死訊”之惡意搜尋結果

多數的惡作劇騙局是利用垃圾訊息散佈，這次的詐騙則涉及數個惡意網站的製作，由被以不法手段操縱的搜尋結果重導進入，感染好奇讀者的系統，而非閱讀到更多相關Depp戴普死訊傳言的內容。

圖2、夾帶有宣稱是強尼戴普車禍影片惡意聯結的部落格

數分鐘前，我注意到一位朋友在她的Facebook臉書個人檔案上張貼了以下的狀態：

Facebook臉書狀態

我直覺事有蹊蹺，所以決定一探究竟。

就你的Facebook臉書來說是沒有什麼好擔憂的，這看來並非是真正的惡意app應用程式，事實上在Yahoo雅虎的回答中討論串中，說明“Un named App”(無名應用程式)”就和你Facebook臉書個人檔案頁面中的訊息顯示按鍵沒有什麼兩樣。

但是要小心的是隨著這個傳聞而來的真正風險。罪犯們接收到Facebook臉書使用者的關切（或許謠言也就是這些罪犯散發的？），也開始毒化Black_Hat SEO Google的搜尋結果。

Google搜尋結果

為了特定目的而搜集個人資訊案例已經出現

以往，企業是網路犯罪者主要的攻擊、牟利對象，然而，惡意程式攻擊的形態似乎已經轉變。一般的使用者也應該好好保護自己的個人資訊，以免聯絡資訊遭到歹徒濫用

【2010 年 1 月 28 日台北訊】根據趨勢科技 TrensLabs病毒防治中心從 2009 年 10 月至 12 月所接獲的顧客回報資料顯示，惡意程式的形態已經開始出現轉變，金錢不再是唯一的目標，為了特定目的而搜集個人資訊與聯絡人的案例已經出現。社交工程 ( Social Engineering ) 依然是網路犯罪者的主要手段之一，垃圾郵件攻擊則以特定主題為誘餌，而網路釣魚 Phishing則逐漸鎖定地區性網域名稱。

有越來越多的社交工程 ( Social Engineering ) 攻擊開始運用一些熱門時事，而且形態也出現各種變化。例如，去年 12 月，各大社交網站上就紛紛混雜了許多以耶誕節為主題的惡意訊息。此外，夾帶惡意程式附件的電子郵件也刻意仿冒來自電子賀卡網站 123greetings.com 的訊息。不令人意外的還有電影《暮光之城》(Twilight) 的新續集《新月》(New Moon) 也成了社交工程利用的對象之一，成為某個檔案分享入口網站的廣告工具，目的是希望藉由會員註冊來非法搜集個人資料。

那麼，網路犯罪者如何找到新的社交工程管道呢？這要歸功於所謂的Black_Hat SEO搜尋引擎最佳化毒化技巧，這已成了歹徒最愛的工具之一。惡意程式 SEO 技巧經常利用一些熱門話題，歹徒每天都會監視這些熱門話題，然後部署一些惡意網站來接收被重新導向的使用者。

    自從一月12日發生海地地震 以來，網路上各類愛心捐款蜂擁而至，展現全球網友無國界的大愛。不過趨勢科技 要提醒您，目前已經出現網路釣魚(Phishing)案例，不要讓愛心遭網路騙徒所利用，謹慎選擇贊助單位，捐款前先查證，尤其不要相信類似”按一個鍵，即可捐款”的簡易捐款的服務。

     趨勢科技  TrendLabs 提醒當您按下任何跟海地地震相關的連結時，得當心假賑災真詐財的捐款網頁，還有利用搜尋引擎尋找相關捐款訊息時，可能會遭假防毒軟體攔截，這些目前都有案例陸續發生。

    假防毒軟體有多囂張？請看這篇黑色產業鍊正夯:每月超過4萬8千種假防毒軟體，一億台電腦遭殭屍網路控制

 下圖是個 eMail 詐騙例子，只要點下連結，就會被引導致網路釣魚(Phishing)頁面:

駭客總是用自己的方式哀悼驟逝的名人，2009年從麥可．傑克森到艾奎諾夫人 ，皆被假防毒軟體大做文章。現在又多了前幾日猝死的布蘭妮墨菲Brittany Murphy新聞被駭客利用來促銷假防毒軟體FAKEAV。 當好奇的網友在 Google 輸入關鍵字，比如“brittany murphy’s death”時可能會不小心點選到早已埋伏在搜尋結果排行前幾名的惡意頁面，內含假防毒軟體的惡意網頁會跳出警告視窗說發現病毒，必須即刻掃瞄。這個聲稱免費的掃瞄會在使用者按下OK 同意鍵後，顯示目前掃瞄到的病毒情形，最後還是警告你 "電腦仍有餘毒殘留"，還裝鎮定的建議為了個人資料不外流、檔案不毀損，請使用者儘速下載包藏禍心的” System Security”。

 圖片來源：http://z.about.com/d/movies/1/0/I/2/O/happyfeetprem5.jpg

目前趨勢科技發現在搜尋結果中有兩筆被發現會引導入含有假防毒軟體的頁面:

• http://{BLOCKED}erracing.net/vwb.php?sell=brittany%20murphy%20death
• http://{BLOCKED}x.net/icd.php?go=brittany%20murphy%20death

這種手法稱為blackhat search engine optimization (Black_Hat SEO)攻擊,目前趨勢科技已經在上述頁面偵測到名為 HTML_FAKEAV.WAF 的病毒。一旦使用者點選連結會出現以下的中毒警告訊息：

“流行音樂之王”麥可傑克森（Michael Jackson）最新與最後的單曲，成為網路罪犯藉題駭人社交工程陷阱。

全球歌迷在本月12日首次聆聽到已故的麥可絕唱單曲《This Is It 》之後，一封貌似來自 CNN.com 的垃圾郵件，也打著 Michael Jackson麥克傑可森的告別作已經問市的主旨標題: ”The brand new song by Michael Jackson was released”誘使收件者點選這個”Listen online now”的線上立即收聽連結。趨勢科技警告使用者，該連結會導致遠端自動下載後門程式BKDR_RUNRUB.A秘密蒐集受害電腦的相關資訊。信件結尾還催促使用者將信件轉寄給五個人，可獲得Michael Jackson麥克傑可森紀念T 恤一件。