網路世界再傳重大資安警訊，代號為Oyster（亦被稱為Broomstick和CleanUpLoader）的惡意後門程式，正透過精心策劃的網路釣魚和散播手法，鎖定全球金融行業的專業人士進行攻擊。這場始於2025年11月中旬的攻擊浪潮，是更廣泛威脅（自2024年11月活躍）的一部分，展示了網路犯罪集團持續且高度適應性的威脅能力。

網路安全專家 CyberProof 的一份最新報告顯示，網路犯罪者誘騙使用者下載偽裝成熱門辦公室軟體（例如Microsoft Teams和 Google Meet）的惡意軟體，這場危險的攻擊活動主要針對金融業人士，危險在於專家所說的搜尋引擎優化（SEO）投毒和惡意廣告。簡單來說，搜尋引擎優化投毒是指攻擊者操縱搜尋結果，使虛假、危險的網站出現在搜尋結果的頂部，而惡意廣告則是指利用網路廣告傳播惡意軟體。 進一步調查顯示，攻擊者不斷變換攻擊手法。例如，2025年7月，CyberProof的研究人員發現Oyster病毒透過偽裝成其他熱門IT工具（特別是PuTTY和WinSCP）的廣告進行傳播，這表明攻擊者傾向於攻擊用戶經常搜尋的工具。 為了使文件看起來更正式，一些偽造的安裝程序（例如MSTeamsSetup.exe）使用了來自多家公司的證書進行代碼簽名 (code-signed with certificates)，包括 LES LOGICIELS SYSTAMEX INC.、Reach First Inc. 和 SN ADVANCED SEWERAGE SOLUTIONS LTD.。研究人員指出，這些證書中的大多數後來都被吊銷了。 為了保護自己，請記住始終直接從官方開發者網站或受信任的應用程式商店下載軟體，避免點擊搜尋結果或彈出式廣告進行下載，因為 Oyster 後門正是透過這些方式傳播的。

Oyster後門程式的傳播過程始於受害者點擊惡意廣告或經由SEO投毒優化後的搜尋結果，進而被導向虛假的下載頁面。一旦使用者被誘導運行偽裝的安裝程式（如MSTeamsSetup.exe），惡意程式便會將一個名為AlphaSecurity.dll的檔案植入系統資料夾中。為確保其持續運行，惡意安裝程式還會創建一個名為「AlphaSecurity」的排程任務，設定每18分鐘自動執行一次該惡意檔案，確保後門即使在電腦重新啟動後也能保持活躍，這對目標系統構成嚴重的長期威脅。

安全專家對Oyster的威脅等級評估極高，因為它不僅僅是一個簡單的後門程式。研究發現，Oyster後門與多個由人為操作的勒索軟體集團（例如知名的Rhysida）之間存在關聯。這表明犯罪集團利用Oyster作為進入企業網路的隱藏入口，隨後部署勒索軟體進行大規模攻擊，造成更巨大的財務和聲譽損失。CyberProof的研究人員推測，鑑於其與專業勒索軟體集團的聯繫，這一威脅集群很可能在2026年內持續活躍。

面對這類複雜且高針對性的攻擊，金融機構與個人用戶都必須提高警覺，並採取嚴格的資安預防措施。除了基本的防毒軟體和系統更新外，關鍵在於養成安全的下載習慣：對於任何常用的IT工具或辦公室軟體，都應主動前往官方網站或經官方認證的應用程式商店進行驗證和下載。對於在搜尋結果頂部出現的廣告連結或突兀的彈出式廣告，應保持高度懷疑，切勿輕易點擊，這是防禦包括Oyster在內的多種後門與勒索軟體攻擊的最有效方法。這場針對金融界的數位戰役，要求企業和員工持續強化資安意識，才能有效抵禦不斷演變的網路威脅。