iOS系統一向給用戶安全、穩定的印象,但在現今惡意程式日益猖獗下iOS用戶也難免中招。近日,威鋒網技術團隊(WeipTech)根據用戶對Apple iOS可疑外掛程式的舉報進行分析,發現有超過225,000個有效Apple帳戶及其密碼被竊取及儲存在某伺服器上。
網路安全公司Palo Alto Networks與WeipTech已在公眾網絡識別了32個最新iOS惡意程式樣本,並對其進行分析以判斷發起者的最終意圖,最後將這些惡意程式命名為「KeyRaider」。Palo Alto Networks Unit 42威脅研究分析員Claud Xiao表示:「Palo Alto Networks認為,這是目前為止由惡意程式引起的最大型Apple帳戶被盜事件。」
影響18國家用戶
KeyRaider已經成功竊取超過225,000個有效Apple帳戶,以及數千份憑証、密鑰和購買收據等。KeyRaider攻擊最早是由i_82發現,他是揚州大學的一名學生,亦是WeipTech的成員。WeipTech是中國民間的技術組織,成員包括中國最大的Apple愛好者網站之一威鋒網(Weiphone)的會員。在發現KeyRaider攻擊前,WeipTech亦曾向Palo Alto提供其他iOS和OS X的惡意軟件報告包括AppBuyer和WireLurker。
根據Claud Xiao指出,KeyRaider以破解的iOS設備為目標,透過中國的第三方Cydia數據源進行分發。而且,已有跡象顯示該威脅已經影響到了來自中國、法國、日本、英國、美國、加拿大、德國、澳洲、以色列、意大利、西班牙及韓國18個國家的用戶。
盜用付費應用程式
該惡意程式通過MobileSubstrate連接系統,通過攔截設備上的iTunes流量來盜取Apple帳戶的用戶名、密碼以及設備GUID。KeyRaider可竊取Apple推送通知服務憑証和密鑰,竊取後再對外分享App Store購買資訊,導致iPhone和iPad的本地和遠程解鎖功能癱瘓。KeyRaider更將竊取到的數據上傳至駭客的指揮控制(C2)伺服器,但該伺服器本身有外洩用戶資料的漏洞。
此種攻擊的目的將允許使用兩種越獄外掛程式的用戶無需實際支付官方App Store,便可以下載及購買應用程式。越獄外掛程式實際上是一種程式包,讓用戶能夠執行一些正常情況下在iOS不可能執行的指令。
這兩種類外掛程式會擷取應用程式的購買請求,下載被盜帳戶資料或C2伺服器上的購買收據,然後模仿iTunes的程序登入Apple的伺服器購買用戶要求的應用程式或其他項目。該外掛程式已被下載超過20,000次,這意味著約20,000名用戶正在濫用225,000個被盜憑證。部份受害者表示,他們被盜的Apple帳戶會顯示異常的App購買紀錄,亦有受害者表示他們因外洩的帳戶資料而遭到勒索。Palo Alto Networks與WeipTech已推出相關防衛服務,以檢測KeyRaider惡意程式並識別被盜用的憑證。
沒有留言:
發佈留言