有駭客以假的武漢肺炎疫情儀表板供下載,藉機散布惡意程式以竊取敏感資訊

武漢肺炎(COVID-19)疫情令全球人心惶惶,駭客也利用相關時事為誘餌發動惡意攻擊,近日有安全公司發現,駭客製作假冒約翰霍普金斯大學製作的疫情地圖,利用民眾關注全球疫情散布狀況的心理,藉機散布AZORult惡意程式。

這起事件,最早是由安全公司Reason Cybersecurity研究中心在3月9日於官方部落格上揭露,指出有駭客仿照了約翰霍普金斯大學所製作的儀表板,提供一個可下載與安裝的Corona-virus-Map.com.exe的應用程式,並會植入惡意程式AZORult,目的是要竊取使用者電腦瀏覽器中的敏感資訊,包括線上服務的帳密與信用卡號碼等。

根據該公司的說明,AZORult惡意程式早在2016年就被發現,過去常見於在俄羅斯地下論壇販售,除了可以竊取用戶敏感資訊,還能下載其他惡意軟體,而且,AZORult還有另一個變種,可以在使用者電腦上建立新的隱藏管理員帳戶,將能允許建立遠端RDP連線。

在這起事件傳出後,引起不小的關注。因為約翰霍普金斯大學所製作的儀表板,相當受到歡迎,有不少人持續會前往這個全球儀表板,查看最新疫情資訊,這也導致不少看到此消息的人,憂心是否會遭受惡意程式攻擊。對於這樣的問題,由於該儀表板是建置在Esri公司的ArcGIS Online產品之上,但有些網路上的訊息不夠清楚,或是有誤導性,可能讓民眾誤以為正版的儀表板網站含有惡意程式,因此後續我們關注到,該公司也因為此事件所帶來的混淆,發表相關回應。

Esri的軟體安全暨隱私小組,在3月12日在官方部落格上發出公告,他們強調,約翰霍普金斯大學所製作與發布的疫情儀錶板,並沒有包含任何惡意軟體。之所以會造成民眾混淆,他們解釋,因為駭客打造介面看似相當的武漢肺炎儀表板,但該惡意的儀表板是一個需要下載並安裝在Windows電腦的應用程式。具瞭解,開啟後會看到以Web為基礎的儀表板,並會欺騙使用者使用者下載其他的程式。

另外,我們在今日早上也詢問到Esri的臺灣區總代理商互動國際數位,進一步確認相關問題。他們回應,確實有人仿照了約翰霍普金斯大學所製作的儀表板然後植入惡意程式,並建議民眾,如果看到有網站以約翰霍普金斯大學的儀表板為名,卻要求用戶下載安裝才能看到儀表板,那它就是假的,因為真正的疫情儀表板,可直接透過瀏覽器線上瀏覽(校方官網連結:https://coronavirus.jhu.edu/map.html) 。不僅如此,對於該惡意網站要求下載的部分,他們表示,有透過虛擬機器實際測試,發現防毒功能可以擋下,但他們也提醒,要小心這樣的威脅會從不同管道散布,像是透過郵件邀請下載等。

無論如何,近期以武漢肺炎疫情資訊為名的網釣攻擊不斷,在今年2月初,就有多家資安業者指出,網路上有偽裝防疫衛教資訊網釣郵件開始流竄,後續還包括世界衛生組織(WHO),他們也呼籲使用者小心假冒為WHO的郵件,而美國國土安全部前幾日也提醒,當心假藉社福團體名義的醫療捐款釣魚信,現在,還有駭客則是將假冒焦點放到武漢疫情儀表板上,因此,民眾對於這些防疫相關資訊的來源,都必須要詳加確認。

在3月9日,Reason Cybersecurity首先揭露這起事件,指出有駭客仿照了約翰霍普金斯大學所製作的儀表板,提供一個可下載與安裝的Corona-virus-Map.com.exe的應用程式,將會建立CoronaMap.exe等執行程序,以及植入惡意程式AZORult,目的是要竊取使用者電腦瀏覽器中的敏感資訊,包括線上服務的帳密與信用卡號碼等。

 

對於有人仿照約翰霍普金斯大學所製作的儀表板,製作包含惡意程式的版本的事件,在3月12日,Esri也發表聲明,主要是因為網路上散布的訊息並不清晰,有時甚至具有誤導性,因此他們首先強調的是,約翰霍普金斯大學所製作與發布的疫情儀錶板,並沒有包含任何惡意軟體,並說明惡意軟體是一個可以下在的Windows應用程式。同時,我們也詢問到Esri的臺灣區總代理商互動國際數位,他們也已同樣發出聲明,提醒大家注意。

民眾若要前往翰霍普金斯大學所製作的武漢肺炎疫情儀表板,可從他們校方的官網連結(https://coronavirus.jhu.edu/map.html )進入,該頁面已經嵌入了他們使用地理資訊系統所製作的內容。

原文來自 iThome Online