Microsoft死機風波未平　有黑客趁機攻擊用戶電腦

早前（19日）發生的CrowdStrike軟件故障事件席捲全球，香港亦有諸如機場、超市等地方受到故障影響，香港電腦保安事故協調中心（HKCERT）發現有報道指不法分子不斷演變其攻擊手法，包括使用假冒的CrowdStrike恢復手冊、等手法攻擊用戶電腦，可能導致敏感數據洩露、系統崩潰和數據丟失。此外，HKCERT表示，如遭受惡意軟件攻擊，亦有應對方式，以減少遭到的損失。

HKCERT表示，觀察到黑客在此次事件中利用了多種攻擊手法來傳播惡意軟件，首先是假冒修復手冊，一種新的惡意軟件透過包含巨集的 Word 文件傳播。這些文件假裝是 Microsoft 修復指南來欺騙人們打開它們。一旦打開，巨集會激活並開始竊取像密碼這樣的敏感信息。這些被竊取的信息隨後被發送到攻擊者的伺服器。

其次黑客還會假冒補救方案，通過網絡釣魚網站和假冒的內聯網門戶來散播假冒的CrowdStrike熱修復程序。假冒的熱修復程序傳送了一個惡意軟件加載器，然後放置了一個可以被黑客控制的遠程訪問工具在受感染的系統上。另外黑客還會假冒CrowdStrike更新，網絡釣魚電子郵件包含一個鏈接，下載一個ZIP檔案包含了名為「Crowdstrike.exe」的可執行檔。受害人執行後，一個「數據抹除器」會被提取到「%Temp%」文件夾下並啟動，從而摧毀設備上的數據。

HKCERT建議，如果遭到惡意軟件攻擊用戶應立即斷開網絡以防止惡意軟件進一步傳播、進行全面的系統掃描以識別並刪除任何惡意軟件、從備份（例如外部硬碟）以還原遺失或受損的資料及安裝防毒軟件以防範未來的攻擊。