研究：臉書的CDN曾被利用來散布木馬程式

研究發現過去兩周臉書的內容遞送網路（Content Delivery Networks, CDN）遭一個惡意組織用來儲存並散布銀行木馬程式。

代號為MalwareHunter的研究人員發現，駭客將木馬程式檔案上傳到臉書群組或其他公開服務上，取得其連結後透過網釣郵件寄發給受害者。這些信聲稱來自當地警方，當中包含一個連向臉書CDN的連結，誘使不知情的用戶點選。研究人員表示，駭客之所以選擇以臉書CDN，是因為多數安全產品都信任它，比起使用陌生的網址，這種連結較不會被封鎖。

駭客先將木馬程式上傳到臉書群組或其他公開服務，取得連結後再偽造警方發送網釣郵件，其中包含連向臉書CDN的連結，誘使用戶點選，經過複雜的過程最終在被害人的電腦上安裝木馬程式。

點選之後就展開一個相當複雜的惡意程式下載過程。使用者會先下載一個RAR或ZIP壓縮檔，解開後有一個捷徑檔，點下後就會呼叫用戶電腦上的應用程式執行PowerShell script。由於使用的是本機應用程式，因此可以避開一般防毒產品的掃瞄。之後再經過一連串的連鎖下載過程，最後，一個銀行木馬程式就會下載到用戶電腦上。

ESET將之命名為Win32/Spy.Banker.ADYV。研究人員認為，這隻木馬僅針對巴西用戶而來，在複雜的軟體安裝過程中，它背後的駭客團體會分析受害者的所在國家，如果發現並非巴西，就會停止感染過程。

惡意電子郵件中嵌入的1pixel x 1 pixel的微小圖形檔來監控信件開啟，MalwareHunter根據它所載自的goo.gl連結分析，這隻Spy.Banker透過電子郵件散布流傳甚廣，光是在9月2日當天就至少有20萬人讀過電子郵件，其他2波攻擊也有7、8萬人讀取。他指出，從惡意程式下載的複雜技倆來看，甚至已經超越一些國家資助的駭客攻擊行動。

臉書資安長Alex Stamos在獲得通知後表示該公司將對此進行了解。

Win32/Spy.Banker木馬曾在7月在網路上流竄，ESET判斷兩者都是出自相同駭客組織，可能也涉及2015年和2016年其他幾波攻擊。事實上，研究人員相信，臉書CDN攻擊的駭客組織，可能也曾利用Dropbox及Google雲端服務做過類似的勾當。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！