锁定脸书企业粉丝专页或是广告管理员的攻击行动已出现数起，但过往这种类型的事故多半发生在国外，如今有研究人员揭露专门锁定台湾用户而来的攻击行动。

思科旗下的威胁情报团队Talos指出，他们发现自今年7月开始，有人针对台湾的脸书企业用户及广告帐号，发动相关攻击，攻击者以侵犯版权为由，假冒企业的法律部门，寄送带有伪装成PDF文件附件的钓鱼信，意图引诱用户下载及运行恶意程序。

在这波攻击行动里，对方滥用Google的Appspot[.]com网域名称，以及短网址服务、云端文件共享服务Dropbox，借此回避网络资安系统的侦测，而能成功将窃资软件LummaC2（Lumma Stealer）、Rhadamanthys，发送到受害电脑。

再者，过程中黑客也运用多种回避杀毒软件侦测及沙箱分析机制的手法，例如：代码混淆、Shell Code加密处理，以及将文件膨胀至超过700 MB等。

针对这起攻击行动发生的过程，研究人员提及，这些钓鱼邮件夹带恶意软件下载链接，而邮件内容及伪装成PDF文件的诱饵，都使用了正体中文，显然是针对这种语言的用户而来。

而且，台湾用户明显就是目标。例如，研究人员提及两封钓鱼信里，黑客佯称台湾知名的工业机械制造商及电子商城，表明他们的法律代表已向脸书站方通报，收信者使用了未经授权的图片及视频，要求必须在24小时里移除侵权的内容，并在未经书面授权同意的情况下停止进一步使用，他们将采取法律行动并要求赔偿。研究人员通过这些钓鱼信，确认黑客使用相同的范本，仅更改公司名称、法律部门信息、公司地址及网站。

而对于攻击者的身分，研究人员提及，黑客通过密码保护的压缩档，挟带未知的封装式PostScript图档（EPS），他们也在恶意程序分析平台VirusTotal找到内含相同EPS档的压缩档，循线找到具备相同文件的越南语网站，但无法进一步确认攻击者就是来自越南。

但从钓鱼信和诱饵文件名称当中，我们看到夹杂不少中国用语，不排除攻击者可能来自中国。