原标题:下载WhatsApp却被植入间谍程式FinSpy,ESET:疑ISP从中搞鬼!
示意图,与新闻事件无关。
位于斯洛伐克的资安业者ESET本周警告,间谍程式FinSpy近来通过中间人(Man-in-the-Middle,MitM)攻击手法散布,用户下载WhatsApp、Skype等程式却被导引下载间谍程式,怀疑ISP业者可能涉嫌协助散布。
又名FinFisher的FinSpy是由专门开发监控器材、软件并提供监控训练服务的英国业者Gamma所打造,且专门出售给全球的政府机关,自2013年就可见到它的踪迹,它能通过视讯摄影机、麦克风或侧录键盘来监控目标对象,也能窃取目标对象的档案。
ESET指出,最近该公司在7个国家发现许多FinSpy变种程式,在其中的两个国家是通过中间人攻击散布,且强烈怀疑ISP业者涉入其中。
堪称是专业级间谍程式的FinSpy有许多散布管道,包括鱼叉式网络钓鱼(Spear△Phishing)、实际存取装置并手动安装、零时差攻击程式或是水坑式攻击(Watering△Hole)等,然而,ESET近来发现开始有骇客利用MitM来散布最新的FinSpy。
在采用MitM的攻击场景中,当使用者在合法网站或官网上搜寻所要下载的程式时,在点击下载键之后,浏览器却会将使用者导向由攻击者建立的伺服器,并下载嵌有FinSpy的程式。(来源:ESET)
?
被FinSpy作为散布媒介的程式涵盖了WhatsApp、Skype、Avast、WinRAR及VLC△Player等,这些都是非常知名的程式,很容易找到官方网站。
然而,如下图所示,当使用者点选合法的下载连结时,却会被连到恶意的伺服器及档案,让安全研究人员不得不怀疑是ISP业者从中作梗。(来源:ESET)
ESET病毒分析师Filip△Kafka表示,从技术上来说,中间人攻击可能发生在浏览程序中的任何一点,但观察FinSpy这阵子的地理分布,此一中间人攻击应该发生在更高的级别,而ISP即是最有可能的选择。
ESET的猜测有迹可循,主要是因为FinSpy的制造商也开发一个可将它部署于ISP网络的解决方案FinFly△ISP,ESET相信这两个国家都采用了FinFly△ISP,才使得它们使用一致的感染技术,受害者的ISP服务供应商也是一样的,且其中一个国家的ISP业者曾经利用同样的方法来过滤内容。
Kafka说,因不想让任何人陷入险境,所以并不打算公布这些国家的名称。
相关:
想要下载WhatsApp却被植入间谍程式FinSpy,ESET:ISP可能从中搞鬼!
示意图,与新闻事件无关。 位于斯洛伐克的资安业者ESET本周警告,间谍程式FinSpy近来通过中间人(Man-in-the-Middle,MitM)攻击手法散布,用户下载WhatsApp、Skype等程式却被导引下载间谍程式,怀疑ISP业者可能涉
植入CCleaner的后门程式已感染逾200万台电脑,微软、HTC、友讯、微星疑遭锁定
示意图,与新闻事件无关。 图片来源: Talos 本周Avast旗下知名系统清理软件CCleaner被发现遭植入后门程式,致上亿用户有电脑机密资料外泄之虞。不过实际情况可能比这更严重;研究人员发现,其中潜藏的恶意程式已感
在全球最大BT网站海盗湾被爆暗藏加密货币Monero采矿程式之后,内容过滤暨广告封锁扩充程式Adblock△Plus在本周二(9/21)公布了解决方案,协助使用者过滤特定采矿程式。由于Adblock△Plus除了有预设的封锁设定之外,
不只海盗湾暗藏采矿程式,Chrome扩充程式SafeBrowse也有!
图片来源: http://www.safebrowse.co/ 继全球最大BT网站海盗湾(The△Pirate△Bay)被爆暗藏加密货币Monero采矿程式之后,本周再有媒体踢爆免费的Chrome扩充程式SafeBrowse也做了同样的事。SafeBrowse为一广告封锁程
示意图,与新闻事件无关。 图片来源: VMware VMware上周修补3个产品漏洞,其中的CVE-2017-4924含有允许访客执行程式的安全漏洞,影响VMware△ESXi、Workstation与Fusion。CVE-2017-4924漏洞藏匿在VMware的内建显卡