最近有兩隻令人矚目的勒索病毒,繼媒體報導專瞄準大企業,半年獲利近400萬美元的 Ryuk 勒索病毒後,新一波的勒索病毒MongoLock變種更狠, 會直接刪除特定目錄內的檔案, 中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。甚至會格式化並格式化可用的備份磁碟。

趨勢科技一直在關注新一波的MongoLock勒索病毒攻擊，這波攻擊會在感染時刪除檔案而非進行加密，並且會進一步掃描可用資料夾和磁碟來進行檔案刪除。此波勒索病毒從2018年12月開始出現，會要求受害者在24小時內支付0.1比特幣來取回據稱保存在駭客伺服器內的檔案。我們的監控資料偵測到200多個樣本，台灣、香港、韓國、英國、美國、阿根廷、加拿大和德國,是中毒數量最高的地區。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術能夠主動地封鎖此勒索病毒。

與一般先加密的勒索病毒不同，直接刪除重要資料，備份硬碟，再發勒贖通知

2018年9月的MongoLock攻擊也是針對安全設定較弱的資料庫。此外，我們發現這勒索病毒被放在PythonAnywhere上，這是基於Python的線上整合開發環境（IDE）和網頁託管服務。連到hxxp://update.pythonanywhere.com/d會下載可執行檔 （update.exe），同時連到hxxp://update.pythonanywhere.com將使用者導到中文編寫的遊戲網站模擬頁面（PythonAnywhere已經了移除此網站）。駭客會經常地更改網站上的勒索病毒,使用hxxp://{user-defined}.pythonanywhere.com的主機可能都容易被濫用。

與一般看到的勒索病毒加密行為不同，此變種會刪除在磁碟A和D內找到的重要資料並將勒贖通知加入資料庫。

圖1、MongoLock留在中毒資料庫的勒贖通知。

勒索病毒會掃描和移除「 文件 」、「 桌面 」、 「 最近 」、「 我的最愛 」、「
音樂 」、「 影片 」和「 資源回收筒 」等特定資料夾內的檔案，並格式化可用的備份磁碟。根據勒贖通知，被刪除檔案的副本會用加密的HTTPS協定上傳到一個網址，我們追蹤電子郵件找到託管在ToR網路內的命令與控制（C&C）伺服器。中毒電腦在離線後仍會繼續刪除檔案，讓檔案無法回復。我們透過沙箱分析沒有發現資料庫掃描和搜尋的跡象，這可能代表資料刪除只針對特定目錄內找到的實體檔案。

勒索病毒持續覬覦能夠獲取最大利潤的產業

在最近的Ryuk勒索病毒攻擊據報讓美國主要報紙印刷業務停擺之後，我們繼續地關注並調查此攻擊活動。我們懷疑網路犯罪分子仍在研究能夠獲取最大利潤的產業，建議企業該重新審視並確保自己部署了該有的安全政策和軟體。建議管理者檢查線上資料庫和伺服器設定以做好防護。為了抵​​禦此威脅：

• 更新你的系統和軟體來避免成為讓網路犯罪分子可用的進入點或感染管道。
• 實作3-2-1 備份原則。
• 使用能夠掃描和封鎖惡意網址的多層次安全解決方案。

趨勢科技解決方案

趨勢科技的XGen安全防護為資料中心、雲端環境、網路和端點，提供能夠對抗各類威脅的跨世代威脅防禦技術。它融合了高保真機器學習(Machine learning,ML)與其他偵測技術和全球威脅情報，能夠全面性地抵禦進階惡意軟體。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案：Hybrid Cloud Security（混合式雲端防護），User Protection（使用者防護）和Network Defense（內網防護）。

入侵指標

惡意網域/網址：

• Hxxp://update.pythonanywhere.com/d（病毒載體）
• Hxxps://s.rapid7.xyz / 104.27.178.191（C&C）

@原文出處：Ransomware MongoLock Immediately Deletes Files, Formats Backup Drives

資料來源：勒索病毒MongoLock變種不加密，直接刪除檔案，再格式化備份磁碟,台灣列為重大感染區

資安業者Check Point揭露了知名工具程式WinRAR的重大安全漏洞，一旦成功開採，駭客就能將惡意程式植入使用者的開機程序中，而且該漏洞起碼自2005年便已存在。

WinRAR是一款專為Wndows打造，可用來壓縮資料與歸檔打包的工具軟體，它能建立RAR及ZIP檔案格式，也能解壓縮涵蓋ACE、CAB、ISO、XZ、ZIP及7z等十多種檔案格式，是個有試用期限的共享軟體。WinRAR官網則宣稱它是全球最受歡迎的壓縮工具，用戶超過5億人。

Check Point的安全研究團隊是利用WinAFL模糊測試工具來檢測WinRAR的安全漏洞，總計找出CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253等4個安全漏洞，當中的前3個漏洞與壓縮檔案格式ACE有關，CVE-2018-20253則是越界寫入（out of bounds write）漏洞。

根據研究人員Nadav Grossman的說明，用來解析ACE檔案的unacev2.dll存在一個路徑穿越（Path Traversal）漏洞，允許駭客將檔案解壓縮到任何的路徑上，完全無視於目的資料夾，並將解壓縮的檔案路徑視為完整路徑。

駭客只要打造一個惡意的ACE檔案，誘導WinRAR用戶開啟，就能把暗藏的惡意程式解壓縮到Windows上的啟動資料夾（ Startup Folders），一旦使用者啟動系統便會隨之執行。

已被知會的WinRAR則說，unacev2.dll是個用來解壓縮ACE格式的第三方函式庫，且從2005年迄今一直未更新，由於WinRAR無法存取它的原始碼，因此決定從5.7 Beta起放棄對ACE檔案格式的支援，以保護WinRAR用戶的安全。目前WinRAR最新的正式版為WinRAR 5.61，5.7Beta版亦已於1月28日釋出。

資料來源：WinRAR含有超過10年的重大漏洞，5億用戶恐遭波及

文/周峻佑 | 2019-01-25發表

周峻佑攝

資訊安全防護已經不再分企業的規模，即使是小型公司也可能遭受攻擊，因此思科系統工程經理Michael Lin認為，想要強化自身的資訊安全，企業可從美國國家標準與技術研究所（NIST）推出的資安框架（Cybersecurity Framework，CSF）著手，盤點企業的資安現況，找出需要優先著手改善的面向，他在Cisco Connect TPE大會上，講解企業應該怎麼運用上述的資安框架。

Michael Lin認為，企業必須隨時保持警戒，不能再存有僥倖的心態，認為攻擊不會發生在自己公司中。他引用了思科前執行長John Chambers曾經說過，世界上只有「已經遭駭」和「還不曉得已經遭駭」2種公司。由這樣的態勢，說明企業必須實踐資訊安全，同時也是在落實資訊的風險管理。

著手改善企業安全，需先規畫可行措施

然而，想要確實改善資訊安全，並非一蹴可幾，而是要透過妥善的規畫，公司的防護能力才能逐步有效得到強化。Michael Lin舉出了自己幫小孩架設樹屋與買車的例子，突顯事前規畫和評估的重要性。他因為在建置樹屋時事先進行相關的評估，並確認計畫的可行性再行動工，如今這個屋子已經完工多年，仍然相當堅固。

而在買車的例子中，所搭配的保險包含了最基本的責任險、全險，以及車碰車理賠保險項目等，這也導致車主所需付出的成本落差很大。因此，Michael Lin說，企業首先要問自己的是，要如何有效的管理公司的資安風險，於潛在的損失和進行防護的花費中，取得平衡？換言之，Michael Lin認為，企業必須評估自身的能力，規畫相關的資安防護措施才會有意義。

利用CSF資安框架，找出企業應強化的弱點

之所以Michael Lin建議企業參考美國國家標準與技術研究所的框架，他不只引用了美國現任總統川普與前任總統歐巴馬的說法，強調該框架對美國整體資訊安全的重要性，也指出CSF受到日本、英國、義大利、以色列等國政府採用。因此，這個框架的實用性已得到驗證。

CSF針對資安的5大面向進行探討－－包含了識別與列管資產、採取的防禦措施、偵測威脅機制、攻擊因應，以及災害復原等。Michael Lin表示，企業可針對CSF列出的項目，進行現況的檢視，進而找出風險較高之處，再予以安排改善時程。

企業在盤點內部各項目的安全程度之後，便從最迫切需要改善的Tier-1著手，挑選要改進的項目。而非一口氣將未達到Tier-4等級的項目（Tier-2和Tier-3），予以同時進行。

要值得留意的是，Michael Lin說，資安無法一次到位，更因為企業的資源有限，不是想強化什麼就進行，必須評估要先改善的項目，甚至會出現無法一體適用的情況。因此，Michael Lin除了鼓勵資安人員立即開始著手找出適合公司的計畫之外，也要讓高層主管參與其中，甚至最好可以找資安公司討論，使得改善企業資安防護的計畫能如期實現。

資料來源：改善企業資安架構，思科建議採用NIST框架進行規畫

文/李宗翰 | 2019-01-23發表

圖片來源:

李宗翰攝影

近年來，中國電子商務平臺在年底舉行的雙11購物狂歡節，以2018年為例，單日成交金額達到人民幣2,135 億元（新台幣9607.5億元），然後，在熱鬧滾滾的買氣當中，卻也潛藏了一群伺機偷取商品優惠，之後透過轉賣牟取不法利益的顧客，而關於這樣的灰色經濟活動，隨著網路購物與特賣活動的規模日漸擴大，而有越演越烈的趨勢，在中國，對於積極收集商家優惠資訊、且經常分享給朋友的行為，稱為「薅（念作ㄏㄠ）羊毛」，而進行這些具有爭議行為的人們，被稱為「羊毛黨」。

隨著相關事件接連發生，有些資安廠商也開始注意到這股歪風，而決心揭露此事，提醒相關業者注意並採取必要的防範之道，以維護商家權益。

例如，在2018年3月舉行的臺灣資安大會期間，星盾科技（ForceShield）資安分析師賴婕芳曾以「中國羊毛黨來襲，你的優惠被吃掉了嗎？」為題，發表演講，她在分場議程當中，介紹這類用戶實際在中國與臺灣造成的問題，以及他們發動攻擊的流程、所用的各種工具，並且對於防禦的方式提供建議。

而在這兩年的雙11期間，「薅羊毛」的狀況有多嚴重？星盾科技創辦人暨技術長林育民，根據他們先後在兩家中國電子商務網站的持續監測，告訴我們最新的觀察結果。

以2017年的雙11為例，由於薅羊毛的用戶往往是成群結隊而來，透過ForceShield系統的機器學習分類和推斷之後，他們在一家電子商務業者的系統當中，總共發現有800組團體涉入其中，而可能造成的總損失，他們推估的金額是新台幣23億元

而在2018年的雙11期間，他們與另一家電子商務業者合作監控，總共發現了84萬個異常設備，都是經由智慧型手機來存取，其中有9成是Android系統，1成是iOS系統，而涉及的帳戶數量高達120萬個，占該公司參與此次網路購物交易帳號的10％。

而業者因羊毛黨造成的損失規模有多大？林育民表示，保守估計每個帳號可以套現46元，非法獲利總共是新台幣5千萬元以上，相當驚人。

分工趨於精細，薅羊毛已形成產業鏈

該如何破解薅羊毛的手法？首先，還是要從整體流程與人員的角度著手，而ForceShield目前已觀察到上下游之間的合作關係，以及不同人員所負責的工作。

這當中分成5種角色：領頭羊、駭客、卡商、打碼平臺、現金收入。

以領頭羊為例，負責訊息分享與尋找目標，主要工作是收集各個網路購物平臺的促銷活動，這麼做的目的是獲得相關「情報」；駭客的部份，負責尋找漏洞和製作專屬工具，主要工作是準備自動化攻擊的「武器」。

而這裡所謂的卡商，則是負責虛擬帳號的建立與收集大量個資，也就是進行大量的帳號註冊程序，並且運用已經外洩到網路上的消費者帳號、密碼、信用卡卡號、信用卡檢查碼（CVV），盡可能取得所有可操作的有效帳戶，也因此，薅羊毛涉及的用戶帳號濫用行為，有虛假帳號與盜用帳號等兩種類型。

至於打碼平臺，則是專門針對識別使用者是否為真人的身分驗證機制，提供破解的功能（也就是Anticaptcha，或是Captcha Solving），方便攻擊者自動執行網路購物平臺的多組帳號登入程序。

接著，進入實際的薅羊毛作業，攻擊者可根據系統與交易流程的漏洞，來進行網路購物交易，並且持續累積優惠與紅利。最後則是現金收入的階段，是指轉賣變現、協助銷贓等工作，也就是將此次活動所積存的各種優惠券、贈品、積分點數，轉賣給他人，設法變現。值得注意的是，羊毛黨有時也會跟一些參與促銷活動的商家事先串通，彼此進行合謀，並在事後協助這些人進行套現，令網路購物平臺業者防不勝防，造成嚴重損失。

攻擊者均透過智慧型手機來薅羊毛，但使用裝置的手法仍有不少變化

在薅羊毛的過程中，攻擊者雖然坐擁大量虛假帳號和盜用帳號，不過，在使用設備的方式仍有不同變化。正如上述ForceShield所揭露的數據所示，絕大多數是Android系統，少數是透過iOS裝置。這也意味著，攻入中國網路購物平臺的羊毛黨，採用的主要連網方式上，目前集中在智慧型手機，而不是透過個人電腦、網頁介面。

林育民歸納出下列6種手法：
●相同設備、不同帳號
●不同設備、相同帳號
●相同設備搭配多個IMEI碼，偽裝成不同設備
●用Android裝置偽裝成iPhone
●使用行動裝置模擬器
●使用iPhone改機工具

而對於攻擊者採用這樣的上網裝置，企圖在網路購物平臺上蒙混過關的態勢，業者必須要能提供公平、正常交易的環境，勢必要能夠識別，並且杜絕這樣的亂象，否則，長此以往，一般消費者可能不願意在這樣的網路購物平臺進行交易，因為，若是循規蹈矩地蒐集應有的紅利點數，反而成了傻瓜。

資料來源：電子商務平臺當心！雙11銷售盛況背後暗藏灰色經濟，自動化攻擊盯上網購商品優惠或紅利累積點數，轉賣獲利竟高達5千萬元

資料來源：報告：全球PC安裝的應用程式有半數軟體已過期未更新

200多位安全研究人員宣佈，他們在一次全球合作行動中解救了將近10萬個被劫持來散佈惡意程式的網站。而中華電信Hinet代管散佈惡意程式的網站數也名列第13。

2018年3月底瑞士非營利安全機構abuse.ch發起了一個名為URLhaus的合作專案，旨在結合業界安全專家之力蒐集及共享散佈惡意程式的網站URL，再通知代管網站業者找出並協助修復由其代管被入侵、劫持的網站，十個月下來的成果是一共解除了近10萬個網站。

這項計畫中，265名參與的安全研究人員每天辨識並上傳平均300個散佈惡意程式的網站URL。URLhaus計算每天活動的惡意網站平均有4,000到5,000個。每個惡意網站平均活動期間達8天10小時又24分鐘，足以使它們每天感染數千台裝置。

在所有代管惡意網站的網路中，三分之二是位於中國和美國境內，其中最大的美國的Dititalocean，代管的惡意程式URL達307個。而中華電信Hinet數據通信事業部也以51個URL名列第13大。

研究人員也揭露了他們聯絡這些代管網站後，等到對方回應所花的時間。其中中國最大三個惡意網站代管網路，包括中國電信、中國聯通及阿里巴巴最慢條斯理，全部要等上超過1個月才會有回應，中國聯通甚至要2個月後才回覆研究人員。

全球散佈的惡意程式中，散佈範圍最廣之一是銀行木馬Emotet/Heodo，主要是藏在含有巨集的Office文件透過垃圾郵件感染用戶，但為了躲避過濾軟體偵測，這些垃圾郵件會以URL誘使用戶連向外部網站下載。URLhaus 10個月來蒐集到的38萬個惡意程式樣本中，以Emotet/Heodo最多，其次是木馬程式Gozi及勒索軟體GandCrab。

abuse.ch也呼籲擁有ASN、各國CERT（網路危機處理中心）、或擁有國家及地區頂級網域（ccTLD）及通用頂級網域（gTLD）者，應該訂閱URLhaus惡意網站的免費URL資訊。

資料來源：全球安全專家聯手解放近10萬個散佈惡意程式的網站，HiNet代管惡意網站數量名列第13

Adobe在本周三（12/5）緊急修補了Flash Player的兩個安全漏洞，它們分別是CVE-2018-15982與CVE-2018-15983，其中，前者已遭駭客開採，而且被用來攻擊與俄羅斯總統府關係密切的Polyclinic No.2綜合性醫院，被視為是與政治有關的駭客行動。

CVE-2018-15982屬於釋放後使用（use-after-free）漏洞，成功的開採可執行任意程式，被列為重大（Critical）風險，而CVE-2018-15983則是個DDL挾持漏洞，可用來擴張權限，屬於重要（Important）風險等級。

包括360 Core Security及Gigaton都是在11月時發現了針對CVE-2018-15982漏洞的攻擊行動。

研究人員指出，駭客寄出了假冒來自Polyclinic No.2的員工調查問卷，它是一個RAR壓縮檔案，解壓縮後就是一個Word檔案，且被嵌入了 Flash Active X控制，一旦開啟檔案就可開採CVE-2018-15982漏洞並執行惡意命令。

Gigaton表示，雖然Flash已逐漸被主流瀏覽器所淘汰，但微軟的Office程式仍能載入或執行Flash內容，只要這樣的管道還存在，以Flash Player作為攻擊跳板的現象就不會消失。

360 Core Security則分析，Polyclinic No.2醫院是俄羅斯總統府在1965年設立的醫院，主要服務許多政商名流，相關攻擊非常有針對性，再加上俄羅斯與烏克蘭近日的領土爭議升溫，不免令人懷疑這是政治取向的網路攻擊行動。

無獨有偶地，將此一內含Flash攻擊程式的文件上傳至VirusTotal的IP就是來自烏克蘭。

上述兩個漏洞影響Adobe Flash Player的桌面運行環境，涵蓋Windows、macOS、Linux及Chrome OS，以及Chrome、IE及Microsoft Edge等瀏覽器，Adobe則已釋出修補後的版本。

資料來源：Adobe緊急修補Flash Player的零時差漏洞

今年7月釋出的CCleaner 5.45版，因Active Monitoring新增蒐集匿名用戶資訊的新功能，被使用者發現無法關閉這項功能，引發了不小的反彈，官方緊急下架該版本，上周釋出5.46版本，解決可能侵犯用戶隱私的問題。

Piriform於上周釋出了CCleaner 5.46版，解決了在CCleaner 5.45版中被砲轟的主動監控（Active Monitoring）功能，以及無法關閉該程式的問題。

CCleaner為一知名的工具程式，可協助使用者清理硬碟中的垃圾檔案，當中的Active Monitoring功能原本主要負責系統及瀏覽器的監控，以維持電腦的乾淨狀態，例如會在瀏覽器的垃圾檔案達到一定程度時自動清理，另也會在CCleaner更新版出爐時跳出提醒。

然而，Piriform在今年7月24日釋出的CCleaner 5.45版則在Active Monitoring中新增了蒐集匿名用戶資訊的新功能，它會傳遞當機資訊或功能的使用等資料予Piriform。

惹怒使用者的是，倘若他們關閉了Active Monitoring功能，下次重新啟動CCleaner後Active Monitoring仍然會自動開啟；更過份的是，使用者找不到關閉CCleaner的方式，在CCleaner視窗角落的「X」圖示並不能關閉它，而是將它最小化，只能藉由作業系統的「工作管理員」（Task Manager）強制將它關閉。

用戶的抱怨讓Piriform在8月3日緊急撤下CCleaner 5.45並換上了舊版的CCleaner 5.44。

在上周四（8/30）出爐的CCleaner 5.46中，拆分了監控與回傳匿名資訊的功能，意味著使用者可獨立控制這兩項功能，另把「Monitoring」設定名稱改為「Smart Cleaning」，把「System Monitoring」功能更名為「Tell me when there are junk files to clean」，把「Browser Monitoring」功能更名為「Enable automatic browser cleaning」，把「Active Monitoring」功能更名為「Enable Smart Cleaning」。

此外，倘若使用者關閉了Smart Cleaning，重新開啟CCleaner之後它還是關閉的，也能藉由隱私設定關閉傳送匿名資訊的能力。Piriform亦披露所蒐集的匿名用戶資訊，包含所安裝的產品版本、授權狀態、國家、語系、作業系統版本、CCleaner的使用資訊及當機報告等。

CCleaner 5.46亦同時提供了最小化及退出（Exit）選項，後者即可用來關閉CCleaner的背景程序。

資料來源：改善隱私選項的CCleaner 5.46出爐了

詐騙集團利用假冒LINE＠帳號等手法，導致臺灣民眾及品牌店家深受其害，問題不斷重演。該如何自保與求助？現在有3種方法因應，在注意假帳號詐騙特徵、自行查證之外，也能運用特定聊天機器人來幫助辨識。

近年，即時通訊LINE上的詐騙手法相當盛行，特別是申請LINE@帳號並假冒知名品牌，再以傳送相關好康訊息，吸引民眾加入好友或點選釣魚網站連結，藉以竊取帳號、照片、聊天訊息、位置等個資。

面對這些朋友分享而來的訊息，使用者往往不容易辨識真實性。用戶該如何自保與求助，是用戶關心的議題。

●方法一：別亂加LINE盾牌符號呈灰色，並注意假帳號詐騙四大特徵

根據LINE官方部落格的說明，LINE@帳號的盾牌，分為灰色盾牌的一般帳號，以及深藍色盾牌的認證帳號。另外還有同樣是經認證、最保險的綠色盾牌的官方帳號。

一般而言，具有商業登記的商家，將可填寫表單並寄送備查資料給LINE@審核團隊申請認證，通過後，帳號盾牌將從灰色轉為深藍色。因此，最要留意的就是灰色盾牌，沒有經過LINE的認證，就只是一般帳號。

基本上，用戶該如何保護自己，LINE也提供了假帳號詐騙四大特徵的破解說明：包括（一）帳號名稱為知名品牌或商品，卻為灰色盾牌。（二）要求你分享給更多好友或群組，才能享有好康。（三）提供可疑優惠資訊。（四）誘使加入其他帳號。

（圖片來源：LINE官方部落格）

●方法二：自行查證，但也要注意查證來源的正確性

使用網路搜尋引擎查證，例如從該品牌公司的官方管道確認，或是留意是否有網友上當受騙的資訊，或是向熟悉電腦的朋友、165反詐騙來求助。像是在165反詐騙的網站上，也特別設置了闢謠專區。

●方法三：透過第三方業者推出的聊天機器人提供查證的幫助

在上述傳統作法之外，現在使用者也能運用業者提供的相關服務，像是在通訊軟體上的聊天機器人，來幫助用戶過濾這些可疑的內容。近期，我們看到有兩家業者推出相關服務。

例如，資安公司趨勢科技推出「趨勢科技防詐達人」LINE官方帳號，LINE用戶只要加入好友後，就可以使用下列方法辨識詐騙可疑訊息：(一)將LINE或是網站上可疑的訊息，透過「傳送」或是「轉傳」方式傳送給防詐達人即時偵查。(二)在LINE多人群組或聊天對話的視窗中，邀請防詐達人加入，便可直接自動偵測群組內不安全的訊息連結。(三)傳送連結後，民眾若認為連結仍有問題疑慮，請直接按下立即回報通知。

簡單來說，可以分成被動與主動的作法，將可疑訊息傳送至防詐達人，或是將防詐達人加入對話群組。關於後者的作法，也引發我們在隱私上的疑慮，因此我們也向趨勢科技詢問，他們表示，趨勢科技不會收集用戶對話的相關隱私紀錄，防詐達人在設計上，只會針對網址來進行分析，文字的部分都會直接跳過。

另外，在g0v台灣零時政府發起「公民科技創新獎助金」之下，新創團隊「真的假的」也開發出一款查實機器人「Cofacts 真的假的 | 轉傳查證」，提供闢謠功能的聊天機器人，只要將資訊透過「傳送」或是「轉傳」方式，傳送給真的假的，資料庫便會搜尋相關闢謠文章，告訴用戶訊息的真實性。

資料來源：假冒企業LINE帳號事件頻傳，緊急自保查證3方法！

此一惡意廣告供應鏈中，Master 134透過漏洞劫持約1萬個WordPress網站，經由合法的AdsTerra廣告網路釋出廣告版位給駭客集團，用以散佈金融木馬、勒索軟體、殭屍程式等惡意廣告。

資安業者 Check Point本周公布了大規模惡意廣告的供應鏈，此一供應鏈由劫持1萬個WordPress網站廣告版位的Master134、知名廣告網路AdsTerra，以及惡意廣告主所組成，這些本質為駭客的廣告主藉由該供應鏈遞送了夾雜金融木馬、勒索程式或殭屍程式的惡意廣告，且平均每周有4萬次的點擊。

Check Point的調查顯示，約有1萬個WordPress的網站遭到Master134危害，將流量轉移到Master134伺服器，而這些遭駭網站都是採用含有遠端攻擊漏洞的WordPress v.4.7.1。

於是Master134在AdsTerra廣告網路上扮演出版商的角色，釋出廣告版位供廣告代理商或廣點主購買，有趣的是，直接向AdsTerra競標Master134廣告版位的廣告主，全都是駭客集團，顯示Master134在駭客圈已頗有名氣。

不管是AdsTerra或其它廣告代理商都是合法公司，或許這些供應商並沒有涉及Master134的操作，Check Point猜測是駭客直接付款給Master134，Master134再支付費用予AdsTerra或廣告代理商，以遮掩流量的來源或讓流量觸及所預設的銷售對象。

Check Point認為，這看起來像是多個惡意集團利用合法的第三方廣告網路成功地維繫了彼此之間的合作，其中最關鍵的就是AdsTerra。另也建議廣告代理商應該要知道他們的廣告客戶是否為壞人，但大多數的廣告代理商並不會審核客戶，對企業而言，最有效的方式應該是在網路上部署入侵防禦系統，同時在員工終端加裝沙箱以封鎖零時差攻擊。

資料來源：以合法掩飾非法，大規模惡意廣告供應鏈現形!