加拿大出现升级版 ATM 红外卡槽盗刷器 “Shimmers”,执法部门提醒全球银行机构加强防范

网络安全专家 Brian Krebs 于今年 7 月发布一份报告,指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 近期,加拿大安全专家发现黑客正利用一款名为 “Shimmers” 的升级版红外插入卡槽器开展新一轮攻击活动,旨在窃取目标用户基于芯片的信用卡和借记卡数据。 据悉,Coquitlam RCMP 经济犯罪部门的研究人员在一次例行的日常检查中发现一款测试卡正插在 ATM 机终端运行。随后,当他们将该终端打开时,看到 4 款超薄的塑料芯片,经检测发现均附带非法获取的信用卡或借记卡数据。研究人员表示,如果这些数据被成功窃取,其极有可能被用于伪造信用卡或借记卡后获取用户资金。 调查显示,Shimmers 已经被用来攻击位于零售商店和其他公共区域的 POS 设备,且都是通过存储在芯片背面磁条上的纯文本数据实现。另一方面,Shimmers 在信用卡芯片与 ATM 机上的芯片读取器之间存在一个夹层,使其可以在芯片上记录数据并由底层机器读取。 虽然此类攻击目前只在加拿大检测发现,但执法部门正警示全球的金融机构加强安全防御措施。此外,ATM 巨头 NCR 公司曾在一份警告中写道:“黑客攻击 ATM 设备是利用了一个原理,即部分金融机构没有实现 EMV 芯片卡标准,从而导致黑客在钻取漏洞后可以窃取用户大量资金。” 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩议员透露:朝鲜黑客窃取军舰机密蓝图,或将威胁国家军事安全

据外媒报道,韩国国会的反对派议员 Kyeong Dae-soo 10 月 30 日透露,朝鲜黑客极有可能于去年 4 月入侵大宇造船和海洋工程公司(DSME)数据库后窃取了约 4 万份文件,其中包括韩国军事机密记录,以及国家各武器军舰蓝图。 路透社援引 Kyeong Dae-soo 声明报道,这一事件由韩国国防部发现,其调查人员在分析后几乎肯定朝鲜黑客就是 DSME 被黑事件的幕后黑手,因为此次所使用的攻击手法与过去朝鲜黑客发动的网络攻击极其相似。然而,大宇造船公司的发言人表示,公司正在确认 Kyeong 的讲话细节。 此外,朝鲜于本月早些时候还被指控窃取韩国大量军事机密,其中包括 “华盛顿-首尔” 的军事行动计划,目的是 “斩首” 金** 的独裁政权。上周,英国当局还指责朝鲜策划了一场今年早些时候席卷全球的勒索软件 WannaCry 攻击事件,不过,朝鲜政府目前否认这些指控。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:网络犯罪团伙 Silence 采用黑客技术展开钓鱼攻击,俄罗斯等国 10 大银行成首要攻击目标

HackerNews.cc 11 月 1 日消息,卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称,该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前,该组织已从全球各银行窃取逾 10 亿美元资金。 调查显示,此类攻击活动最早可追溯至今年 9 月,其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息,以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。 诱导邮件部分内容 卡巴斯基表示,鱼叉式网络钓鱼攻击活动仍然是感染目标系统最为流行的一种方式。并且,由于此次攻击活动主要是通过受损的基础设施分发 .chm 恶意附件。因此,该黑客手段似乎是一种非常有效的传播方式,至少目前在金融机构中是这样。另外,Silence 还利用合法的管理工具运行恶意程序,从而规避目标系统雷达监测。 据悉,研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help (CHM)分发恶意邮件,因为 CHM 具备交互性质,可以任意运行 JavaScript 代码。对此,受害用户一旦打开 CHM 附件后,将被嵌入包含 JavaScript 代码的 .htm 文件(“start.htm”),其目标是将受害者重定向至外部恶意链接,并在自动运行有效负载后执行下一阶段操作。 start.htm 嵌入文件的一部分 随后,C&C 服务器将解压并执行恶意软件 dropper 程序,其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称,负载模块中包括一款屏幕监视器,它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起,从而创建了受害者活动的伪视频流。 C&C 服务器连接程序 虽然研究人员并未公布黑客组织 Silence 窃取信息的证据,但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势,因为这是网络犯罪分子在攻击中取得成功的表现。目前,卡巴斯基实验室仍在继续监控此类攻击活动,并强烈建议各金融企业加强自身系统防御体系,以抵御黑客攻击活动。 附:卡巴斯基实验室原文报告《Silence – a new Trojan attacking financial organizations》 原作者: Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

马来西亚通信与网络运营供应商 4600 万用户敏感记录在线泄露

HackerNews.cc 10 月 31 日消息,研究人员近期发现马来西亚通信与网络运营供应商的大量数据在线泄露,超过 4600 万移动用户的敏感记录于暗网出售,其泄露数据包括用户姓名、预付费和后付费电话号码、地址、客户详细信息,以及 SIM 卡数据。 调查显示,暗网中所出售的数据还包括马来西亚医务委员会(MMC)、马来西亚医学协会(MMA)和马来西亚牙科协会(MDA)等超过八万条受损记录。此外,据马来西亚在线新闻网站 Lowyat.net 透露,这是网站第一次就数据泄露事件进行详细报道,其马来西亚约 3200 万人口,这意味着泄露的数据可能属于具有多个手机号码的用户,也可能是国外游客,亦或访问本国老人的境外人群。 目前,研究人员尚不清楚这些大量数据是如何被泄露并于暗网出售,也不了解暗网对于这些数据的单条售价是多少。据称,用户数据可能已被地下论坛发布,也可能已被成功交易。不过,研究人员已将所有从暗网收集到的被盗数据样本移交至马来西亚通信与多媒体委员会(MCMC)。随后,他们将继续展开深入调查。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球流行的开源密码恢复工具 Hashcat 推出 4.0.0 版本,可支持 256 位密码的破解

据外媒报道,开发人员近期推出密码恢复工具最新版本 Hashcat 4.0.0,可用于支持 256 位密码的破解。 Hashcat 是当前最流行的密码恢复工具,被标为全球最快的密码破解软件,其适用于 Windows、Linux 与 OS X 系统,并分布在 CPU 或基于 GPU 的应用程序中。 调查显示,该版本的实现耗时数月,几乎每个 OpenCL 内核程序都经过了重新编写。除支持 256 位密码破解外,Hashcat 4.0.0 还包括一项自检功能,用于启动时检测断开的 OpenCL 运行时间,这是第一次在 Hashcat 工具中添加此类特性。 知情人士透露,在这个版本中,Hashcat 尝试在启动时使用已知的密码破解已知的哈希排列。如果未能破解一个简单哈希值话,那就可用来测试系统是否正确设置。另外,Hashcat 4.0.0 添加的 Hash-mode 2501 = WPA/WPA2 PMK 模式,允许研究人员针对 hccapx 运行 PMK 列表。 然而,为了预先计算 PMK 列表,开发团队建议使用来自 hcxtools 的 wlanhcx2psk,因为它是捕获 WLAN 流量并将其转换为 hashcat 格式的一种解决方案。此外,Hashcat 4.0.0 还改进了 macOS 系统的支持,以便加速破解系统的密码与 Salt 哈希值。 新版本的工具还添加了以下算法的实现: ○ Added hash-mode 2500 = WPA/WPA2 (SHA256-AES-CMAC) ○ Added hash-mode 2501 = WPA/WPA2 PMK 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

荷兰新法规赋予政府拦截与分析互联网流量权限,Mozilla 或将不再信任当地 CA

HackerNews.cc 10 月 30 日消息,荷兰政府近期推出一项新法律法规–信息和安全服务法案(Wet op de inlichtingen-en veiligheidsdiensten),旨在赋予当局拦截与分析互联网流量的权限。尽管其他国家也有类似的法律,但该法律的特殊之处在于当局有权通过 “伪造密钥” 技术进行秘密攻击,从而获取网络犯罪分子加密通信数据。据悉,该法案将于 2018 年 1 月生效。 然而,Mozilla 工程师担心荷兰当局会在该法案生效后通过当地政府运营的认证机构(CA)签发不信任证书,允许他们创建 SSL 代理并在网络监视行动中,对所有用户实施 “中间人”(MitM)攻击。对此,Mozilla 正讨论取消对国营荷兰 TLS / HTTPS 提供商的支持。如果该计划得到批准,Mozilla Firefox 将不会再信任由荷兰认证机构签发的所有证书,并试图通过拦截显示 SSL 证书错误,以便吸引用户注意某些恶意攻击。 研究人员 Chris van Pelt 表示,如果政府继续在国家主要互联网传输节点上运行 CA 签发的证书,那么未来将会对所有 Mozilla 用户的安全造成损害。对此,Mozilla 与荷兰其他主要的浏览器厂商将逐步取消 HTTPS 提供商的支持,尽管这个过渡阶段极其缓慢。 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

模糊水印“打码”照片并不安全:法国黑客复原 QR 码后获 1000 美元比特币钱包

据外媒报道,比特币企业家 Roger Ver 在法国电台接受采访时发布了一份有关比特币钱包的私人密钥和 QR 码作为观众奖品,并表示节目在播出后第一位访问该账户的人员可以转账并保留这笔奖金。当时,Ver 并不知道法国法律禁止电台播放账户私钥和 QR 码。因此,电台在未获取法院权限播出时模糊了 QR 码相关细节。 但是,这一消息还是立即引发了法国黑客与比特币爱好者的兴趣,他们开始寻找各种途径还原账户 QR 码,以获取这项观众奖金。不久,两名法国研究人员 Michel Sassano 和 Clement Storck 在率先复原了这个模糊的 QR 码后转走了比特币钱包中的 1000 美元。Michel Sassano 表示,他们共计耗费了 16 个小时对这个模糊的图像进行了逆向工程,并试图将模糊的点与 QR 码的标准格式联系起来,从而恢复了这份模糊的 QR 码图像。 由此可见,在社交网络上发布模糊的二维码或条形码图片是不安全的,因此研究人员建议用户在分享数据时,应使用完全的颜色块处理敏感细节,从而防止网络犯罪分子利用黑客工具获取其敏感信息。 详细分析报告:传送门 原文作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全报告:勒索软件 Matrix 卷土重来,掀起新一轮攻击浪潮

据外媒 10 月 29 日报道,网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来,旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年,但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时,发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初,研究人员以为这是勒索软件研发失败的情景,而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 (CVE-2016-0189)与 Flash 漏洞(CVE-2015-8651)传播恶意代码。 调查显示,当目标设备感染勒索软件 Matrix 时,其恶意代码将会加密受害机器上的所有文件,并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外,该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函,要求受害用户缴纳赎金后才可解密文件。 目前,由于研究人员尚不了解黑客此次攻击的真正意图,因此他们仍在继续展开调查。另外,他们建议用户要想保护自身系统免遭攻击,则需要将计算机上的所有软件更新至最新版本,同时加强系统安全、及时备份设备重要数据。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

暗网市场 Basetools 遭入侵,黑客以“将数据移交美国 FBI、国土安全部”为由勒索 5 万美金

据外媒报道,安全研究人员近期发现暗网市场 Basetools 遭黑客入侵并在线泄露了其数据库部分信息。黑客随后威胁暗网市场管理员支付 5 万美元赎金,否则就将其运营者身份以及相关数据移交至美国联邦调查局(FBI)、国土安全部(DHS)、司法部( DoJ)和其他机构。 Basetools 是一所地下交易市场,经常在俄语网络犯罪论坛发布广告,允许暗网供应商出售垃圾邮件工具、信用卡数据、黑客账户,以及其他东西。据称,该暗网市场号称拥有超过 15 万的用户,并提供逾 2 万种销售工具,以及 7*24 的服务支持。 安全专家表示,黑客在入侵 Basetools 数据库后兜售了一些工具,包括后门、shell 和 C-Panel 账户的登录凭证、托管在黑客攻击服务器上的垃圾邮件,以及此前其他互联网平台泄露的用户数据。消息显示,由于担心被泄露的工具可能会被其他网络犯罪分子用来发动恶意攻击,运营者在黑客泄露数据后已立即将网站下线。 虽然网络犯罪分子和敌对的暗网市场互相攻击并不是一种新现象,但此类攻击在多数情况下都是由经济动机推动。据研究人员介绍,AlphaBay 和 Hansa 两大最受欢迎的暗网市场于前段时间被查处关闭,从而导致网络犯罪事件于近期陷入了混乱和分散状况。 原文作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客正通过新型技术分发银行木马 Ursnif 感染日本金融行业

HackerNews.cc  10 月 28 日消息,网络安全公司 IBM 研究团队 X-Force 近期发现黑客正通过新型技术肆意分发银行木马 Ursnif,旨在感染日本金融行业、窃取目标用户敏感信息。据称,黑客主要通过网页注入攻击和页面重定向等操作展开网络钓鱼活动。 银行木马 Ursnif(又名:Gozi)首次于 2007 年在英国的一起网络银行诈骗中发现。随后,该恶意软件源代码于 2010 年意外泄露,并被其他黑客重新利用、创建木马,比如 Vawtrak 和 Neverquest。据悉,除北美、澳大利亚和日本之外,黑客此前还一直瞄准西班牙、波兰、保加利亚和捷克共和国的银行开展网络攻击活动。 知情人士透露,为了能在日本大规模分发 Ursnif 有效负载,其黑客以日本金融服务与信用卡支付通知为主题伪造电子邮件,从而分发恶意软件感染目标企业。研究人员表示,该邮件中包含一份 JavaScript 文件(.zip)。一旦用户点击打开,其系统将重定向至另一恶意页面,从而启动 PowerShell 脚本后从远程服务器上获取有效负载,并与 Ursnif 一起感染用户。 值得注意的是,黑客似乎已经将攻击活动的范围扩展到用户本地网络邮件、云存储、加密货币交易平台和电子商务网站等。另外,黑客在近期的恶意软件 Ursnif 的分发时还使用了一种宏规避技术,即用户在关闭恶意文件后,它会再次启动 PowerShell 脚本获取有效负载。研究人员表示,这种技术可以帮助恶意软件规避安全措施检测。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门继续追查幕后黑手真实身份。此外,研究人员强烈建议受影响的金融行业,其员工不要随意点击未经检验的电子邮件、加强系统防御体系,以便抵御黑客网络钓鱼攻击活动。 原文作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。