https://twcert2024.informationsecurity.com.tw/

新聞

駭侵者詐騙網站管理員,以含惡意 BazaLoader DDoS 軟體的工具清理網站

2021 / 08 / 31
編輯部
駭侵者詐騙網站管理員,以含惡意 BazaLoader DDoS 軟體的工具清理網站
近來有駭侵者對多個網站管理員寄發詐騙訊息,假稱其網站程式碼內含有惡意 DDoS(分散式服務阻斷攻擊,Distributed Denial of Service) 程式碼,需用其特製工具清除,否則將對其提告;網站管理員如果不疑有他,利用此假工具清理其網站,就會被植入 BazaLoader DDoS 惡意軟體。

網站開發者 Brian Johnson 指出,他有兩名客戶在最近收到可疑的法律通知信,指稱其所營運的網站遭到駭侵者植入 DDoS 惡意軟體,並對 Intuit、Hubspot 等大型網路服務業者發動 DDoS 攻擊。該信件威脅網站營運者,若不在時限之內,利用信中隨附連結的清理工具,清除其網站內的惡意程式碼,就將面臨後續的司法控告。

該威脅信件中,還附有一個 Google 文件的連結;詐騙者指稱該連結內有目標網站發動 DDoS 攻擊的「證明」,以及指定採用的「清理程式」。

資安專家分析該「清理程式」,發現該清理程式內含一個名為 Bazaloader 的 DDoS 惡意軟體;收到威脅信件的網站管理者,如果真的安裝使用該程式,其網站伺服器反而會被植入 BazaLoader DDoS 惡意軟體,並且從駭侵者設立的控制伺服器中下載如 Cobalt Strike 之類的惡意軟體模組,成為其僵屍網路的一部分。

資安專家也說,除了以網站遭 DDoS 程式感染之外,這類駭侵者也會以其他的理由來詐騙網站管理者,例如假稱該網站內含有侵害著作權的影音或圖片等等,要求網站管理員以其工具進行侵權檔案掃瞄與移除,進而詐騙網站管理員下載安裝同樣的 BazaLoader DDoS 惡意軟體。

本文轉載自TWCERT/CC。