[ 安全通報 ] 29 五月, 2012 15:29

    AegisLab 曾經在安全通報 2012-05-21: Facebook 成功 IPO 但你知道有多少網站想沾光嗎?提到有35個網站的域名看起來像是 facebook.com,這種攻擊稱之為 URL Hijacking 或是 Typosquatting ,網路使用者因為在瀏覽器網址列無心的輸入錯誤而連上其他的網站。

    經過我們的深入分析其中有三個可疑網站: faceboobk.comfacenook.comfacevook.com,點進去後會抓取你的時間和 Location,跳出一個 alert 視窗,通知你中獎(如圖1),點選確定後進去,會看到獎項給你選擇(有多個網頁,如圖2-1,2-2,2-3),而選擇好獎項後,看起來只是普通的廣告,沒什麼特別的,有趣的是你要關閉視窗時,它還會跳出叫你 wait wait 的 alert 視窗(如圖3)。

圖1: 恭喜中獎了!

 

圖2-1: 獎項3選1 

 

圖2-2: 獎項3選1  

 

圖2-3: 獎項3選1   

 

圖3: 要離開還那麼捨不得?

  

這3個網站會導向不同的URL,有不同的假獎項,如下:
  • hxxp://iwinprizesnow.net/d/p/e4x2p51295?r=
  • hxxp://dailyquestionsite.com/d/p/e4x2p51295?r=
  • hxxp://bestprizedraw.com/d/p/e4x2p51295?r=
  • hxxp://media-questions.net/d/p/e4x2p51295?r=
  • hxxp://testingaboutlove.net/d/p/f2a1c21688?r=

URL變化的規則是:http://xxx.xxx/d/p/....,在 AegisLab 蒐集的 WebGuard 資料庫裡,總共有50筆這種類型的URL! (圖4), 這些URL皆屬於 69.6.27.100 這個IP!

   

圖4: 可疑 URL 列表

 

這3個網站原本皆在Alexa Top 1M,現在只剩一個還 在Top 1M裡!

原本排名 - 454804,新的排名↓ 

 

原本排名 - 622926,新的排名↓ 

 

 

原本排名 - 743397,新的排名↓

 

AegisLab 告訴您天下沒有白吃的午餐,網路上的抽獎活動很多都只是想收集個資,甚至引導你去下載惡意程式! 

By AegisLab

 

[ 安全通報 ] 24 五月, 2012 10:54

    AegisLab 發現新的駭客組織 TheWikiBoat 為了反對 ACTA 法案,正在對 BPI 發動 DDoS 攻擊。以下是他們的聲明(圖1),原文大致為: "英國正準備引用 ACTA 法案對 The Pirate Bay 進行網路封鎖,為了捍衛 The Pirate Bay 的生存,我們(TheWikiBoat)要對 BPI(英國唱片工業)進行 DDoS 攻擊,給他們點顏色瞧瞧..."。而圖2就是 TheWikiBoat 提供的 Web DDoS Tool,一旦連上該網站就會自動對 BPI 網站進行 DDoS 攻擊。為了避免讀者不小心變成幫兇,詳細網址我們就不列出了。

 

圖1: TheWikiBoat 的聲明

 

圖2: TheWikiBoat 提供的 Web DDoS Tool

 

By AegisLab 

[ 安全通報 ] 24 五月, 2012 10:29

    AegisLab 發現最近有 hacker 在 pastebin 公布中國大陸中興通訊(ZTE)銷往美國的 Android 手機 Score M驚傳有後門存在,只要輸入簡單的密碼就可以開啟後門取得 root 權限,當然如果在搭配其他的惡意軟體就可以輕鬆的進行控遠端控制。

 

 

By AegisLab

[ 安全通報 ] 21 五月, 2012 17:20

    AegisLab 最近發現很多網站也想靠 facebook 成功,甚至流量也爬上 Alexa Top 1M。這些網站的共同點就是註冊一個看起來像是 facebook 的域名,例如以下35個域名:  

Alexa 排名

網域名稱

71,235

faceboook.com

119,533

faebook.com

127,677

facebbok.com

152,878

fcebook.com

158,169

facebookc.om

161,693

facebopok.com

166,280

faceook.com

246,921

facebbook.com

247,789

acebook.com

314,305

faceebook.com

362,492

facebool.com

374,528

facebookk.co

403,964

favebook.com

454,804

faceboobk.com

456,258

faccebook.com

459,442

facrbook.com

485,193

gfacebook.com

506,776

facebokk.com

593,228

faceboock.com

622,926

facenook.com

743,397

facevook.com

781,616

fackbook.com

865,786

faqcebook.com

875,824

fracebook.com

929,487

facebookk.com 

 
這些網站可能都是靠 SEO 的方式爬上 Alexa 前百萬知名網站的位置,除了賺廣告流量外,也有可能作為惡意用途,不可不慎阿!
 
By AegisLab
[ 展覽邀請 ] 10 五月, 2012 11:43

    鴻璟科技暨義集思實驗室將於五月底至中國上海參加中國國際計算機網路和信息安全展覽會, 敬邀業界先進與伙伴參加!

 

[ 安全通報 ] 08 五月, 2012 14:27

    還記得之前發佈的[安全通報 2012-04-19: 假的防毒軟體 NQ Mobile 在 Google Play 上架],小編在半夜根據線民的回報得知這次原作者又捲土重來一口氣發佈了15個以上跟防毒軟體和 Send Free SMS有關的 Apps (如圖1)。經過分析還是利用 Appsgeyser 包裝成假的 App (圖2),試圖魚目混珠衝網站流量(?)導向圖3的網站 (hxxp://ddlj.wapka.mobi/site_649.xhtml) 。

圖1: 同一個作者 thasnimola 開發的應用程式 

 

圖2: Fake AV App 介紹網頁

 

圖3: 導向此網頁.

 

結論:Google Play 的審核真是鬆散

 

By AegisLab