Microsoft宕机|黑客发布假CrowdStrike修复档 遥距盗窃电脑资讯

撰文: 孔繁栩
出版:更新:

Microsoft微软Windows作业系统本月19日在全球多地出现服务故障,香港国际机场及多间超市等大受影响。香港互联网安全事故协调中心(HKCERT) 今日(24日)表示,有黑客发布假冒的CrowdStrike 恢复手册,使用者下载恶意软件后,黑客可以远端进入受感染系统,导致敏感资料泄露、系统崩溃和资料丢失。

机场有电子屏幕出现故障蓝色画面。(梁鹏威摄)

香港电脑保安事故协调中心表示,不法分子不断演变其攻击手法,包括使用假冒的 CrowdStrike 恢复手册、假冒的补救方案及软件更新来传送未识别的恶意软件,可能导致敏感资料泄露、系统崩溃和资料丢失。

HKCERT 观察到黑客在此次事件中利用以下攻击手法来传播恶意软件:

假冒修复手册

一种新的恶意软件透过包含巨集的 Word 文件传播。这些文件假装是 Microsoft 修复指南来欺骗人们开启它们。一旦开启,巨集会启用并开始窃取像密码这样的敏感讯息。这些被窃取的讯息随后被传送到攻击者的伺服器。

+8

假冒补救方案

通过互联网钓鱼网站和假冒的内联网门户来散播假冒的 CrowdStrike 热修复程序。假冒的热修复程序传送了一个恶意软件载入器,然后放置了一个可以被黑客控制的远端访问工具在受感染的系统上。

假冒 CrowdStrike 更新

互联网钓鱼电子邮件包含一个连结,下载一个 ZIP 档案包含了名为 “Crowdstrike.exe” 的可执行档。受害人执行后,一个 “资料抹除器” 会被提取到 “%Temp%” 文件夹下并启动,从而摧毁装置上的资料。

+8

HKCERT 呼吁公众对恶意软件攻击提高警惕,建议使用者:

.依从官方网站提供的修复方法进行系统修复(例如由 CrowdStrike 提供的修复方法)
.从可信任来源取得软件修补程式更新(例如由微软提供的修复工具)
.开启从互联网下载的档案前,先使用防毒软件进行扫描
.在 IT 装置遇到技术问题时,应咨询 IT 专业人员的专业意见
.不应点选任何不明来历的连结,包括来自不明电邮内和搜寻引擎的广告等
.在浏览器上设定反钓鱼网站功能以助阻挡钓鱼攻击
.使用“CyberDefender 守网者”的“防骗视伏器”,通过检查电邮地址、网址和IP地址等,来辨识诈骗及互联网陷阱

若公众遭遇恶意软件攻击,HKCERT 建议使用者应该:
.立即断开互联网以防止恶意软件进一步传播
.进行全面的系统扫描以识别并删除任何恶意软件
.从备份(例如外部硬盘)以还原遗失或受损的资料
.安装防毒软件以防范未来的攻击