内容转载

= ̄ω ̄= 内容转载

假冒 Corona 杀毒软件宣称能提供新冠病毒防护

据外媒报道,网络犯罪从不会休眠,而现在全世界都在关注着这种新冠病毒疫情,于是前者想着利用后者来为自己牟利。这一次则是一个叫做Corona Antivirus的假冒Windows杀毒软件。Malwarebytes和MalwareHunter在两个不同的网站都发现了这个假冒应用。 该应用网站写道:“我们来自哈佛大学的科学家一直在研究一种特殊的AI开发技术,通过使用Windows应用来对抗这种(新冠)病毒。当应用运行时,你的电脑会主动保护你免受冠状病毒(Cov)的攻击。” 该网站提供了一个被感染的安装器,据Malwarebytes披露,它不会在一台被攻击的机器上丢下BlackNET RAT,而设备则会自动添加到BlackNET僵尸网络中。 恶意软件感染自身具有一系列功能,包括作为僵尸网络的一部分发起DDOS攻击、截屏、窃取Firefox cookie等敏感信息、保存密码和比特币钱包以及运行一个键盘记录器来监控系统上的活动等。 Malwarebytes表示:“在此期间,在家和上网都要注意安全。我们在过去几周看到的诈骗数量表明,罪犯会利用任何情况。我们建议您随时更新您的计算机,并在下载新程序时格外小心。当心即时通知和其他消息,即使它们看起来像是来自朋友。”   (稿源:cnBeta,封面源自网络。)

疫情期间 世界卫生组织网站遭受了两倍多的网络攻击

路透社报道称,随着新冠病毒引发的 COVID-19 疾病的全球大流行,世界卫生组织也在本月遭受了多倍的网络攻击。WHO 首席信息安全官 Flavio Aggio 表示:“黑客的身份尚不清楚,但他们本次并未得逞”。即便如此,安全专家还是将源头指向了某个被称作 DarHotel 的高级网络间谍黑客。 Flavio 警告称:疫情爆发以来,冠状病毒已在全球范围内导致了 1.5 万多人的死亡,同时针对抗击疫情的世界卫生组织及其合作机构的攻击企图也出现了激增。 网络安全专家兼纽约黑石法律集团律师 Alexander Urbelis 指出,其在 3 月 13 日前后监测到了针对 WHO 的恶意活动。 当时他正在对一群黑客保持持续的关注,结果发现他们激活了一个山寨 WHO 内部电子邮件系统的恶意网站,于是很快意识到了黑客组织的攻击企图。 尽管 Urbelis 表示自己不清楚谁该为此事负责,但据另外两位消息人士透露,其怀疑幕后是一个名叫 DarkHotel 的高级黑客。自 2007 年以来,他就一直在从事网络间谍活动。   (稿源:cnBeta,封面源自网络。)

三月补丁导致 Windows 10 安全软件漏过部分文件的扫描

近日的反病毒软件测试结果表明,Windows 10 操作系统预装的 Windows Defender,已能够与业内领先的第三方安全供应商相当。尴尬的是,如果你的系统已经打上了三月的补丁,那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称,微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称,无论是选择快速或完整扫描,Windows Defender 都有可能在期间跳过对某些文件的检查,就像是在配置文件中已经将之列入了排除项一样。 与此同时,行动中心也会在遇到该问题时,向用户推送一条错误消息。其写道:“由于排除或网络扫描设置的原因,扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关,且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是,无论你用的是哪个版本的 Windows Defender 反病毒软件客户端,它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义,结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项,但扫描结束后,还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时,微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象,以及到底有多少设备受到了影响。 对于用户来说,或许可以尝试其它方法来确保安全,或等到微软在 4 月 14 日发布下一批安全更新时再修复。   (稿源:cnBeta,封面源自网络。)

俄罗斯联邦安全局被爆雇佣外包商启动物联网 DDoS 攻击项目 Fronton

俄罗斯黑客组织“数字革命”(Digital Revolution)近日宣布,成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商,并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档,并邀请安全专家对这些报告截图进行了分析,基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档,是由FSB内部部门No. 64829(也称之为FSB信息安全中心)采购的。而外包商则是InformInvestGroup CJSC,这家公司和俄罗斯政府内部建立着紧密的合作,并创建了物联网入侵工具。 根据BBC的报道,InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC,而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳,该项目已经在2017年至2018年实施。该文档大量参考并从Mirai(一种物联网病毒,在2016年年底用于构建大型物联网僵尸网络)中汲取了灵感,用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络,供FSB使用。根据规范,Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后,该设备将在僵尸网络中被奴役。   (稿源:cnBeta,封面源自网络。)

安全专家表示随着冠状病毒危机恶化黑客攻击正在增加

当用户尝试避免感染真正的病毒时,黑客正在尝试使用恶意软件感染用户设备或获取用户个人信息。安全专家说,一般而言,黑客攻击的企图越来越频繁,而发展最快的策略之一就是利用冠状病毒危机作为诡计。 安全公司Zscaler表示,自今年年初以来,针对其监控系统的黑客威胁每月增加15%,而到今年3月为止,这一数字已跃升20%。越来越多的黑客通过承诺提供信息或保护来引诱受害者免受COVID-19病毒的侵害。COVID-19是一种新型冠状病毒引起的疾病,现已演变成全球大流行,全球有214000多起病例,8700人死亡。 Zscaler表示:攻击的两个主要类别使用“冠状病毒”或“ COVID-19”一词来吸引大量目标。 3月份,该公司发现了近2万起网络钓鱼攻击事件,这些攻击将用户引导到欺诈性网站,并试图诱骗用户输入敏感信息,例如密码或信用卡号。它还发现了7000多个事件,诱骗受害者下载恶意软件,所有这些事件都提到了这次健康危机。 美国国家网络安全联盟(National Cyber Security Alliance)敦促互联网用户在访问网站或下载与COVID-19相关的应用时要谨慎。用户应该始终警惕要求用户提供个人信息的不请自来的电子邮件。   (稿源:cnBeta,封面源自网络。)

FireEye:多数勒索软件会选择在 IT 人员不上班时发动攻击

根据网络安全公司 FireEye 发布的最新报告:为了最大程度地提高攻击效率,绝大多数勒索软件都会选择在正常上班时间之外采取行动,以避免被 IT 人员发现并扫除。在 FireEye 调查的案例中,76% 的勒索软件是在周末、或者上午 8 点 ~ 下午 6 点之外的时间段完成部署的。 FireEye 表示:通常情况下,IT 人员不会在上述时间段内上班,因此响应效率会变得更慢。在某些情况下,比如传统节假日或周末,一些企业根本不会安排任何 IT 人员值班。 数据还显示,在大约 75% 的事件中,从恶意活动到勒索软件的部署,至少会间隔三天左右的时间。这意味着,若是 IT 部门的响应足够迅速,就有很大的可能性避免感染。 不过这家网络安全公司预计,未来勒索软件感染的数量将继续增加。更糟糕的是,威胁行为发起者会不断升级赎金要求,甚至将勒索软件攻击与其它策略结合起来,比如针对关键业务系统和窃取数据。 如上文所示,破局的关键,是能否在恶意软件的部署和破坏之间介入。若信息技术专家能够及时发现并消除威胁(或让系统具有防止受到威胁的能力),便可转移大部分与勒索软件相关的应对成本。   (稿源:cnBeta,封面源自网络。)

Intel 处理器曝新漏洞 打补丁性能骤降 77%

幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。 LVI的全称是Load Value Injection,大致就是载入值注入的意思,由安全研究机构BitDefender首先发现,并在今年2月10日汇报给Intel。 它影响Intel Sandy Bridge二代酷睿以来的绝大部分产品,只有Cascade Lake二代可扩展至强、Coffee Lake九代酷睿Comet Lake十代酷睿部分免疫,Ice Lake十代酷睿完全免疫。 该漏洞可以让攻击者绕过Intel SGX软件保护扩展机制,从处理器中窃取敏感信息,类似幽灵漏洞,不过Intel、BitDefender都认为它只有理论攻击的可能,暂不具备实质性威胁。 Intel表示,受影响产品只有关闭超线程才能规避此漏洞,不过同时Intel也更新了SGX平台软件、SDK开发包,以避免潜在的安全威胁,简单说就是在受影响指令前增加了一道LFENCE指令保护墙。 Intel以往的安全补丁经常会影响性能,但幅度都不是很大,这次又会怎样呢? Phoronix找了一颗至强E3-1275 v6(Kaby Lake),在Linux环境下进行了测试,包括未打补丁、分支预测前载入LFENCE、RET指令前载入LFENCE、载入后执行LFENCE、同时载入LFENCE/RET/分支预测。 结果发现,分支预测和RET指令前载入LFENCE影响不大,性能只损失3%、8%左右,但后两种情况损失惨重,幅度高达77%。 这不是一夜回到解放前,直接就打回原始社会了…… 不过幸运的是,LVI漏洞对普通消费者可以说几乎毫无影响,因为主流PC根本用不到SGX,企业用户倒是因为经常使用SGX、虚拟化而必须重视起来。 同样幸运的是,要想利用这个漏洞极为复杂,理论上可以通过JavaScript发起攻击,但难度极大。   (稿源:cnBeta,封面源自网络。)

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发,各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持,用户将不得不支付 100 美元的赎金,以解锁他们的 Android 智能机。 据悉,这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码,CovidLock 还会自动设置一个密码,以迫使用户就范。 DomainTools 分析称,受害者必须支付相当于 100 美元的 BTC 赎金才能解锁他们的智能手机,否则将窃取照片、联系人之类的敏感信息,甚至在网络上泄露一部分细节。 截图文字显示 —— 你的手机已被加密,请在 48 小时内支付 100 美元的 BTC,否则包括联系人、照片、视频等在内的所有内容将被删除,所有社交媒体账户会被公开、且本机存储将被完全抹除。 此外攻击者警告称 —— 你的 GPS 已被监视,我们已知晓你的位置。如尝试进行任何愚蠢的操作,手机将触发自毁。 好消息是,通过逆向工程,DomainTools 已经搞定了这款勒索软件的解锁密钥,此外研究团队正密切关注攻击者的 BTC 钱包,更多细节将很快公布。 对于普通用户来说,谨记远离任何不信任的应用来源,并仔细检查手机已安装的每款 App 的权限设置。   (稿源:cnBeta,封面源自网络。)

卡巴斯基曝光两款 Android 恶意软件 可控制用户 Facebook 账户

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件,警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限,并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是,两款恶意软件会协同工作,并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限,使得网络犯罪分子能够提取 Facebook 的 cookie,并将之上传到受控服务器。 卡巴斯基指出,通常情况下,仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施,以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器,使得攻击者能够绕过安全措施,从而实现对设备的几乎完全控制,以染指受害者的社交媒体账户。 庆幸的是,只有少数人受到 Cookiethief 的威胁。但估计过不了多久,类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示:通过结合这两种方法,攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁,迄今为止的受害者只有 1000 人左右,但这一数字仍可能进一步增长,尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注,但 cookie 信息其实无处不在。作为处理个人信息的一种方法,其旨在收集线上的有关数据。 最后,卡巴斯基建议用户应养成良好的习惯,始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除,以充分抵御此类攻击。   (稿源:cnBeta,封面源自网络。)

一波未平一波又起:公主邮轮承认公司存在数据泄露问题

据外媒报道,在两艘邮轮爆发了新冠病毒后被迫在全球范围内停止运营的Princess Cruises(公主邮轮)目前已证实存在数据泄露问题。据信,这份发布在其网站上的通知实际上是在3月初发布的。该份通知称,公司在2019年4月至7月的4个月时间内发现了大量未经授权的电子邮件账号登入,其中一些包含了职工、邮轮工作人员和客人的个人信息。 Princess Cruises指出,姓名、地址、社会安全号码和政府证件如护照号码和驾驶执照号码以及财务和健康信息都可能被窃取。但这家公司表示,潜在的影响数据并不是针对每位客人。 另外这家公司表示,他们是在2019年5月发现了这一网络可疑活动。目前并不清楚为何该它花费了近一年时间才披露这一漏洞。对此,该公司发言人没有立即回应置评请求。 拥有Princess品牌的嘉年华邮轮公司(Carnival)本周股价下跌了逾30%,此前这家公司宣布将暂停旗下18艘邮轮的营运。该公司在日本和最近的美加州分别发生了两起涉及载有数十名新冠病毒感染者的事件。 此外,Princess Cruises也没有说明是在哪个司法管辖区报告了这一数据泄露事件。如果是在欧洲,则会因违反欧洲数据保护规定而会被处以高达其年营业额4%的罚款处罚。   (稿源:cnBeta,封面源自网络。)