關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.03.18
事件與威脅/資訊安全
資訊竊取型惡意程式與假冒軟體平台攻擊
  1. 前言

近期資訊安全威脅顯示,攻擊者逐步放棄高技術門檻的漏洞利用,轉而採用結合社交工程與平台信任濫用的攻擊策略。其中,以資訊竊取型惡意程式(Infostealer)為核心的攻擊活動顯著增加,並透過假冒合法軟體、濫用開發者平台與社群媒體進行大規模散布。

本報告針對兩起近期具代表性的攻擊活動進行整合分析,包括 Storm-2561 假冒 VPN 軟體攻擊與 Vidar 2.0 透過 GitHub 與 Reddit 傳播事件,說明其攻擊手法、運作模式與整體威脅趨勢。

  1. 假冒企業軟體之攻擊模式:Storm-2561 與 Hyrax Infostealer

Storm-2561 攻擊活動主要鎖定企業使用者,透過偽造知名 VPN 廠商(如 Fortinet、Ivanti)官方網站,誘使使用者下載惡意安裝程式。攻擊者利用搜尋引擎優化(SEO poisoning)技術,使偽造網站出現在搜尋結果前列,當使用者搜尋 VPN 下載資源時,極易誤入攻擊者控制的網站。

該攻擊流程設計高度完整。使用者下載的安裝檔通常以壓縮檔或合法格式呈現,並在執行過程中透過 DLL sideloading 技術載入惡意模組。最終,系統會部署名為 Hyrax 的資訊竊取型惡意程式。此惡意程式主要針對企業敏感資訊,包括 VPN 憑證、連線設定與本地存儲的帳密資料。

值得注意的是,攻擊者會在惡意程式執行後顯示錯誤訊息,並引導使用者下載「正版」軟體,使受害者誤以為安裝失敗,而忽略已經發生的資料外洩行為。此外,惡意檔案可能具備數位簽章,進一步降低使用者與安全機制的警覺性。

此攻擊模式反映出攻擊者已能有效模擬企業軟體供應鏈環境,並利用使用者對品牌與官方網站的信任完成入侵。

  1. 社群平台誘導攻擊:Vidar 2.0 Infostealer

另一類攻擊則鎖定一般使用者與開發者社群,透過 GitHub、Reddit 等平台散布惡意程式。攻擊者將 Vidar 2.0 Infostealer 偽裝為免費遊戲作弊工具(game cheats),並透過社群貼文與專案頁面吸引使用者下載。

這類攻擊成功的關鍵在於對使用者行為與心理的精準掌握。攻擊者利用使用者對免費資源的需求,並刻意提供詳細說明與操作指引,使惡意專案看起來具備高度可信度。在某些案例中,甚至會附上執行教學,指示使用者關閉防毒軟體或執行特定命令,以確保惡意程式順利執行。

Vidar 2.0 本身為成熟的 Malware-as-a-Service(MaaS)工具,其功能涵蓋瀏覽器憑證竊取、加密貨幣錢包資料存取、通訊應用帳號竊取(如 Discord、Telegram)以及雲端服務憑證(如 Azure、FTP)擷取。此外,該惡意程式會透過 PowerShell 等系統工具進行下載與執行,並建立持續性機制,同時具備反分析能力,例如虛擬機偵測,以避免被安全研究人員分析。

此類攻擊顯示,社群平台與開源開發平台已成為惡意程式散布的重要媒介,攻擊者能利用平台本身的可信度與使用者互動機制,快速擴大感染範圍。

  1. 攻擊模式整合分析

綜合兩起事件,可觀察到資訊竊取型攻擊呈現以下幾項關鍵特徵。首先,攻擊者大量利用數位信任機制。無論是企業軟體品牌、搜尋引擎結果、GitHub repository 或社群論壇,這些平台本身所建立的信任關係,均被攻擊者轉化為攻擊入口。攻擊不再依賴突破防禦,而是誘使使用者主動執行惡意程式。

其次,攻擊手法顯著轉向以使用者行為為核心。過去以漏洞利用為主的攻擊模式,逐漸被社交工程與心理誘導所取代。使用者在不知情的情況下關閉防護機制或執行惡意指令,使攻擊成功率大幅提升。

第三,資訊竊取已成為主要攻擊目標。相較於勒索軟體直接造成服務中斷,Infostealer 更著重於隱蔽地蒐集憑證與敏感資料,並用於後續攻擊,例如帳號接管、橫向移動或進一步的供應鏈入侵。

此外,攻擊活動呈現高度模組化與服務化特性。Vidar 2.0 等 MaaS 工具使攻擊者能快速部署攻擊基礎設施,而 Hyrax 類型的惡意程式則專注於特定場景(如 VPN 憑證竊取),形成分工明確的攻擊生態系。

  1. 整體威脅趨勢

本次分析顯示,當前資訊安全威脅正朝向三個方向發展。第一,攻擊面已由傳統系統轉向「信任鏈」。搜尋引擎、開源平台與社群媒體均成為攻擊鏈的一部分,使防禦邊界更加模糊。

第二,攻擊成功關鍵由技術能力轉變為行為操控。攻擊者透過精準設計的誘導流程,使使用者在不知情的情況下完成攻擊鏈中的關鍵步驟。

第三,資訊竊取型惡意程式已成為主流威脅。其低噪音、高隱蔽與高價值的特性,使其成為網路犯罪組織的重要工具。

  1. 結論

Storm-2561 與 Vidar 2.0 攻擊案例顯示,現代網路攻擊已從單純技術對抗轉變為結合「平台信任」、「使用者行為」與「惡意軟體服務化」的複合型威脅模式。攻擊者透過假冒合法軟體與濫用主流平台,成功繞過傳統安全防護機制,並以資訊竊取為核心目標,建立長期且可擴展的攻擊基礎。

此類威脅的影響範圍不僅限於個人使用者,更可能透過憑證外洩與帳號接管進一步擴散至企業內部系統與供應鏈環境。未來資訊安全防護需從單一技術控制,轉向整體信任機制與使用者行為風險的管理,方能有效應對此類新型態攻擊。

 

資料來源:

https://hackread.com/storm-2561-fake-fortinet-ivanti-vpn-sites-hyrax-infostealer/
https://hackread.com/vidar-2-0-infostealer-fake-game-cheats-github-reddit/

駭客組織 Storm-2561 透過搜尋引擎中毒(SEO Poisoning)架設虛假 Fortinet 與 Ivanti VPN 官網,散播 Hyrax 資訊竊取程式以獵取企業憑證。