资安业者趋势科技与日本警界、学界、资安学界联手调查，他们要缉捕通过搜索引擎优化（SEO）散布的恶意软件家族，此次公私协防对象涵盖香川大学、神奈川县警察总部、千叶县警察总部、日本网络犯罪控制中心（JC3）等多个组织，并指出黑客疑似彼此共用基础设施，从而尽可能提高搜索引擎优化下毒（SEO Poisoning）攻击的成功概率。

根据上述机构的观察，最近几年冒牌电子商务网站数量暴增，2023年JC3获报的网站数量有47,278个，相较于2022年的28,818个，多出超过六成。攻击者先对合法网站下手，植入SEO恶意软件，而这些软件会影响搜索引擎的查找结果，导致使用者搜索会看到黑客广告的内容，并被引导到冒牌电子商务网站。

他们后续总共找出6个SEO恶意软件家族进行调查，分析227,828个假电子商务网站、1,242个C2服务器，结果发现，其中有3组人马仅使用单一、专属的恶意软件犯案，但有1组人马相当不同，因为他们同时运用多种恶意软件家族，从事攻击行动。

恶意软件GootLoader锁定澳洲，针对爱猫人士而来

在散布恶意软件的手法当中，搜索引擎优化下毒（SEO Poisoning）可说是相当常见，通常攻击者会假借提供常见的应用程序及游戏，或是破解软件、盗版软件的名义，引诱Google搜索的用户上当，但如今，有人专门针对喜好特定动物的人士而来。

资安业者Sophos揭露最新一波恶意程序GootLoader的攻击行动，本来攻击者就会通过搜索引擎优化中毒的手法，来取得受害电脑的初始入侵管道，这次也不例外，但这波攻击有所不同，黑客锁定的对象，竟是询问在澳洲养孟加拉猫是否合法的用户。这种专门针对特定地区爱猫人士的情况，其实并不常见。

根据研究人员的调查，3月底他们在MDR用户环境当中，察觉新的GootLoader变种开始积极活动的迹象，循线调查发现，攻击者通过搜索引擎优化中毒手法，借由Google搜索将用户导向特定网络论坛，而用户询问的问题，是有关在澳洲养孟加拉猫是否需要执照（Do you need a license to own a Bengal cat in Australia），一旦他们运行搜索，检索结果列出的第一项网址，就是黑客放置的恶意广告。

下载GitHub电脑版请小心！攻击者通过多个管道散播假冒此工具的恶意软件Fickle Stealer

近期新的窃资软件（Infostealer）不断出现，并采取多阶段攻击的手段，而能够绕过窗口操作系统及端点防护软件的侦测，并挖掘各式机敏数据，发送给攻击者。

例如，今年5月资安业者Trellix发现的Fickle Stealer，就是典型的例子。这款恶意程序以Rust打造而成，攻击者通过多种媒介进行散布，从而在浏览器及多种应用程序收集帐密数据、上网记录、信用卡数据等个资，特别的是，该恶意软件通过PowerShell脚本绕过用户帐户控制（UAC），并具备能回避杀毒软件侦测的机制，甚至能在东窗事发后显示错误消息掩饰，并自我删除。

值得一提的是，黑客将其伪装成Windows版GitHub应用程序，并带有无效签章。他们使用GitHub, Inc的名义进行签章，而第二签章则是署名为Microsoft Public RSA Time Stamping Authority，攻击者这么做的目的，显然是企图让此恶意程序的来源看起来合法。

攻击者积极利用ZIP文件串接手法，意图隐藏恶意软件

道高一尺，魔高一丈，攻击者持续使用新的手段逃避资安防护，引起研究人员关注。资安公司Perception Point警示，近期兴起的ZIP文件串接手法（ZIP Concatenation）正在被攻击者积极利用，用于规避安全检测。资安研究人员揭露近期利用该技术的攻击事件，钓鱼邮件中附有名为SHIPPING_INV_PL_BL_pdf.rar的压缩文件，诱导受害者下载并打开。

这种攻击手法将多个ZIP文件串接成单一文件，使恶意软件得以隐藏在文件结构中增加隐蔽性，由于不同解压缩工具的显示差异，使部分恶意内容不易被察觉，而对用户构成更大的威胁。

以上述的压缩文件为例，用户若以7-Zip打开会看到无害的PDF文件，但如果使用WinRAR或是Windows文件总管打开，黑客刻意隐匿的恶意文件就会现身。

其他攻击与威胁

◆因第三方供应商遭受MOVEit事故波及，Amazon证实数据外泄

◆恶意NPM套件锁定Roblox开发者而来，意图进行供应链攻击

◆勒索软件Ymir伙同窃资软件RustyStealer，攻击受害组织

◆中国黑客Earth Estries滥用窗口操作系统内置杀毒组件，持续于受害环境活动

◆安卓恶意软件SpyNote假冒杀毒软件，暗中在后台取得多项权限

【漏洞与修补】

马自达车载系统软件漏洞，可允许黑客运行任意代码

趋势科技漏洞悬赏项目ZDI的研究人员发现，日本车厂马自达（Mazda）的车载系统Connect Connectivity Master Unit（CMU）有多项漏洞，可让黑客运行代码，最严重者可影响车辆安全，受影响车款包括最受欢迎的Mazda 3，涵盖2014至2021年式的车款。

研究人员发现到的6项漏洞，多半源自处理输入指令时「消毒」（sanitization）不够充分，让接近设备的攻击者可以连上USB设备，像是将iPod或外置硬盘连接CMU展开攻击。成功滥用这些漏洞可让攻击者以root的权限运行任意程序，造成阻断服务攻击，或让系统无法作用，甚至影响行车安全。

值得注意的是，ZDI指出，这些漏洞目前尚未修补，他们也没有公布通报的过程，以及业者回应经过。

近期资安日报

【11月11日】6.1万台D-Link网络存储设备存在重大层级命令注入漏洞

【11月8日】德国提出刑法修正草案，确立资安漏洞研究的合法地位

【11月7日】恶意程序框架Winos 4.0锁定中国游戏玩家而来