研究：脸书的CDN曾被利用来散布木马程式

">

研究发现过去两周脸书的内容递送网络（Content Delivery Networks, CDN）遭一个恶意组织用来储存并散布银行木马程式。

代号为MalwareHunter的研究人员发现，骇客将木马程式档案上传到脸书群组或其他公开服务上，取得其连结后透过网钓邮件寄发给受害者。这些信声称来自当地警方，当中包含一个连向脸书CDN的连结，诱使不知情的用户点选。研究人员表示，骇客之所以选择以脸书CDN，是因为多数安全产品都信任它，比起使用陌生的网址，这种连结较不会被封锁。

骇客先将木马程式上传到脸书群组或其他公开服务，取得连结后再伪造警方发送网钓邮件，其中包含连向脸书CDN的连结，诱使用户点选，经过复杂的过程最终在被害人的电脑上安装木马程式。

点选之后就展开一个相当复杂的恶意程式下载过程。使用者会先下载一个RAR或ZIP压缩档，解开后有一个捷径档，点下后就会呼叫用户电脑上的应用程式执行PowerShell script。由于使用的是本机应用程式，因此可以避开一般防毒产品的扫瞄。之后再经过一连串的连锁下载过程，最后，一个银行木马程式就会下载到用户电脑上。

ESET将之命名为Win32/Spy.Banker.ADYV。研究人员认为，这只木马仅针对巴西用户而来，在复杂的软件安装过程中，它背后的骇客团体会分析受害者的所在国家，如果发现并非巴西，就会停止感染过程。

恶意电子邮件中嵌入的1pixel x 1 pixel的微小图形档来监控信件开启，MalwareHunter根据它所载自的goo.gl连结分析，这只Spy.Banker透过电子邮件散布流传甚广，光是在9月2日当天就至少有20万人读过电子邮件，其他2波攻击也有7、8万人读取。他指出，从恶意程式下载的复杂技俩来看，甚至已经超越一些国家资助的骇客攻击行动。

脸书资安长Alex Stamos在获得通知后表示该公司将对此进行了解。

Win32/Spy.Banker木马曾在7月在网络上流窜，ESET判断两者都是出自相同骇客组织，可能也涉及2015年和2016年其他几波攻击。事实上，研究人员相信，脸书CDN攻击的骇客组织，可能也曾利用Dropbox及Google云端服务做过类似的勾当。