按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

藏有惡意程式之PDFReader,竊取使用者Facebook金融及廣告資訊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:2682
facebook TWCERT/CC 藏有惡意程式之PDFReader,竊取使用者Facebook金融及廣告資訊

近日發現有駭客透過含有惡意程式的PDFReader應用程式,竊取使用者Facebook Ads Manager以及Amazon的相關資訊,包含使用者的金融資訊、聯絡資訊、廣告發佈對象等,作為惡意行為之用。

日前,資安團隊Malware Hunter Team發佈了一項資訊,指有駭客試圖透過惡意程式竊取使用者社群媒體的資料。首先,駭客製作了一款功能性高的PDF軟體「PDFReader」,並透過各種方式讓受害者連入該網站後下載安裝。然而,該軟體卻有木馬程式藏於其中,因此只要使用者進行安裝,該主機便會被木馬程式入侵,與駭客主機連線,接受駭客的指令和操縱。

而駭客在成功透過應用程式入侵後,會竊取使用者瀏覽器中Facebook的Cookie資料,並透過竊取到的使用者帳號密碼登入,觀察使用者使用Facebook中發佈廣告的Ads Manager系統的使用狀況。由於該系統主要為使用者付費以發佈相關廣告給特定群體,因此使用者便可透過該系統取得使用者付費時的信用卡資訊、金融資訊,以及發佈的對象、群體等,作為後續獲得不法利益之用。

儘管在這件駭侵行為中,由於駭客開發之惡意PDFReader軟體除了功能強大且免付費之外,更因為該惡意程式具有合法的憑證,因此讓使用者得以信任並下載該軟體,但在經過針對該軟體之.exe檔案解析後,證實了其中的木馬程式,以及其竊取瀏覽器Cookie資訊等行為。然而,該駭侵行為在被發覺後,並未停止其攻擊行為,反而將其網站位址更動,以及將其程式進行版本之更新,企圖避過資安組織及檢測系統的偵測及阻擋,以進行更多的攻擊及獲取更多的資訊。

TWCERT/CC在收到該資訊後,已立即進行了相關通報作業,希望能藉此提升企業或組織的相關警覺。並且在此提醒使用者請勿隨意點擊下載或執行來源不明的檔案或軟體,必須清楚確認開發單位的正確性及安全性以避免成為駭客惡意程式下之受害者。此外,同時也應使用防毒軟體等進行定期性的掃描,以及作業系統或相關軟體的版本更新,以配合廠商修補可能的資安弱點。並且盡量能在收到與自身可能相關之資安資訊後,立即針對自身主機進行檢查,例如是否有不明檔案存在或是否有異常之連線狀況等,方能將損失降至最低,以及提升資安之防護能量。

回頁首