资安业者Zimperium揭露最新一波的恶意软件FakeCall攻击行动,并指出黑客为其加入新的功能,其中最值得留意的是能挟持受害者拨打给金融机构的电话,从而进一步骗取相关财务信息
自2022年卡巴斯基揭露专门通过语音网络钓鱼(vishing)从事攻击行动的恶意软件FakeCall,过程中黑客会冒充银行拨打电话引诱受害者上当,提供个人金融数据而受害,如今此恶意软件的攻击行动再度升温,引起研究人员关注。
资安业者Zimperium表示,他们近期发现此恶意程序的攻击手段出现显著变化。照理来说,攻击者借由网络钓鱼引诱安卓用户下载APK文件之后,此安装档会将第二阶段的恶意酬载(即FakeCall)植入受害设备,从而接收C2命令运行各种诱骗用户的作业,但研究人员指出,近期的FakeCall出现数种过往未曾出现的做法。
值得留意的是,这款恶意程序还会寻求用户授权,设置为默认的拨打电话应用程序,一旦用户同意,该恶意程序就会在用户尝试联系金融机构时,重新将通话导向攻击者控制的诈骗号码,但在此同时手机仍会显示用户拨打的金融机构号码,从而让攻击者有机会骗得受害者的财务信息,洗劫他们的金融帐户。
恶意广告通过脸书转传,意图散布窃资软件SYS01stealer
黑客挟持脸书企业帐号滥用Meta广告平台散布窃资软件的情况,不时有事故传出,最近有研究人员提出警告,他们发现有人冒用用户相当信赖的品牌,佯称提供游戏、破解软件等内容,意图散布恶意程序的新一波攻击行动。
资安业者Bitdefender指出,他们看到黑客通过Meta的广告平台散布恶意广告,自9月开始为期超过1个月,而且,每天都会上架新的广告,这些广告的最终目的,就是散布名为SYS01stealer的窃资软件。
研究人员指出,这起攻击行动的范围横跨全球,潜在的目标估计可能有数百万人,欧盟、北美、澳洲、亚洲都出现相关攻击,尤其是针对45岁以上的男性。
其他攻击与威胁
◆网钓工具包「沉沦」假冒美国邮政署而来
◆SharePoint漏洞遭到利用,黑客借此取得初始存取管道
◆Atlassian Confluence漏洞遭到利用,攻击者通过Titan网络从事挖矿攻击
【漏洞与修补】
研究人员发展绕过GPT 4o模型安全护栏手法,使其撰写出恶意代码
ChatGPT-4o内置一系列安全护栏,以便防范不当利用,像是产出恶意代码、黑客工具。这些安全护栏会分析提示输入文本是否有恶意意图、不适切语言或有害指令,并且封锁违反伦理标准的输出。但资安公司0Din研究员Marco Figueroa设计出一项将恶意指令编写成16进位的越狱(jailbreak)手法,可以绕过GPT-4o的护栏,一如往常解码并运行指令。
越狱手法是滥用了GPT-4o语言上的漏洞,使其进行16进位转换的无害任务。研究人员解释,这模型被设计成遵循自然语言指令来完成任务,包括编码和解码。它会一步步运行指令,但缺乏前、后文(context)的理解能力,无法评估每一步在整体脉络下的安全性意义,因此在此攻击手法下,GPT-4o不知道转换16进位值的任务会导致有害结果。简单来说,攻击者直到解码阶段才露出真面目。
其他漏洞与修补
◆苹果对旗下产品发布更新,修补逾70个漏洞
◆海康威视网络摄影机存在漏洞,若不处理可被用于明文传输帐密
【资安产业动态】
副总统萧美琴台湾黑客年会企业场致词强调,AI应该成为资安的助力
政府为了表达对资安的重视,副总统萧美琴日前莅临台湾黑客年会企业场(HITCON Enterprise 2024)致开幕词,适逢台湾黑客年会第二十周年,她致词时表示,今年HITCON主题是「从人类到AI,融合黑客精神」,在AI革命的时代,资安变得更重要,而AI更应该成为发展资安的助力而非破口。
台湾地处地缘政治热区,是全球高科技产业的重要生产基地,经常面临各种资安威胁与风险,萧美琴认为,台湾是资安风险的最前线。这种环境既是试炼场域,也带来压力,需要持续提升资安防护,确保供应链的稳定,增强外商对台湾的信心。另外,资安人才培育也是台湾发展资安重要关键之一。萧美琴强调,资安人才培育是企业防护的重要层面,对于政府与产业间的合作至关重要。
她呼吁企业与政府携手合作,共同打造资安产业的发展,并指出:「资安产业的发展,除了政策支持,还需要公私部门的合作与协力。」萧美琴表示,通过产官学研与社群力量的结合,台湾资安社群能够迈向全球,成为不可或缺的重要拼图。
Google揭露AI抓漏项目Big Sleep
Google揭露AI抓漏项目Big Sleep,并宣称借此在10月找到SQLite的堆栈缓冲区下溢漏洞,不管是SQLite现有的测试基础设施,或是OSS-Fuzz都没有发现该漏洞,相信这是AI代理工具于广泛使用的实际软件中,发现未知内存漏洞的第一个公开案例。SQLite开发者则在收到Google通知的当天,便修补了该漏洞。
Big Sleep是由Project Zero团队今年6月发表的Naptime项目(Project Naptime)衍生而来。Naptime旨在评估大型语言模型(LLM)于安全漏洞研究中的潜力,它开发了一个框架,让LLM能够模仿人类安全专家发现并展示安全漏洞的系统性方法,并经过Meta CyberSecEval2基准测试的验证;而Big Sleep则是Project Zero与DeepMind的研究成果,它采用Naptime框架,并将LLM的应用从纯粹的基准测试扩展到真实世界的漏洞发现。
Google表示,与开放式漏洞研究相比,现有的大型语言模型更适合变种分析。提供一个起点,如先前漏洞的细节,能减少研究的模糊性,并基于「先前有一个漏洞,可能还有类似的漏洞存在」这样具体的理论进行探索。
近期资安日报
【11月1日】中国黑客锁定各家厂牌的网络设备下手,挖掘零时差漏洞并用于攻击行动
【10月30日】窃资软件RedLine遭到执法单位查封
【10月29日】中国黑客开发专偷云端数据的恶意软件工具包并用于实际攻击行动
