分类: 今日推送

FTC 就 Facebook 隐私泄露惩罚问题未能达成一致意见

据外媒报道,来自《纽约时报》的一篇新报道称,FTC难以就针对Facebook隐私泄露的惩罚问题达成一致,该委员会成员还特别在意是否让这家公司的CE马克·扎克伯格承担个人责任。 据报道,Facebook因严重侵犯公众隐私而面临FTC的巨额罚款,这家社交网络公司表示将拨出30亿美元用于支付这笔罚款,另外它还可能会被要求在公司内部设立专注隐私工作的新职位。鉴于Facebook上季度的营收有151亿美元,30亿美元对其来说只是小菜一碟。 《纽约时报》的报道指出,FTC主席Joseph Simons已让委员会的三名共和党成员准备批准一项协议,然而其余两名民主党成员则坚持采取更加严厉的惩罚。不过据报道,Simons试图避开党派路线的决定,而这可能会引发政治后果或潜在诉讼。此外,被视为软弱回应的做法还可能会削弱公众对FTC的监管信心,特别是在欧洲实施了更为严格的监管规定之后。   (稿源:cnBeta,封面源自网络。)

FBI 发布 2018 年《互联网犯罪报告》 经济损失增幅巨大

据外媒SlashGear报道,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。该文件显示了向FBI报告的犯罪统计数据,以及互联网上犯下的罪行总数。 2018年,这一年的经济损失估计几乎是2017年的两倍,这是追踪这些统计数据开始以来的最大增幅。 根据IC3,2018年因网络犯罪造成的总经济损失约为27亿美元。2017年的总额约为14.2亿美元,而2016年的总额约为14.5亿美元。2015年的损失有史以来首次突破10亿美元大关,而2014年的损失约为8亿美元。 IC3在过去五年的报告中收到的投诉数量似乎相当缓慢 – 但肯定不会下降。虽然损失迅速增加,但报告从2014年的26.9万起增加到2015年的28.8万起。2016年,IC3的投诉约为29.9万起,2017年高达30.2万起,2018年为35.2万起。 许多现代骗局仍然使用电子邮件 “薪资转移”骗局是一个很好的例子,表明受害者很少或根本不知道他们是犯罪的受害者,直到为时已晚。IC3在2018年仅接到100个关于这个特定骗局的电话,但损失估计达到1亿美元。 Payroll Diversion从钓鱼邮件开始,从不知情或容易被欺骗的员工那里获取员工登录信息。诈骗者使用所述登录信息将工资单从一个直接存款位置重定向到另一个直接存款位置,将收入发送到单独的帐户。这种骗局显然最适合教育、医疗保健和商业航空运输业的员工。 如果IC3的估计是正确的,那么2018年的Business Email Compromise损失将超过12亿美元。 年龄排名 无论您的年龄多大,您都可能成为网络犯罪的受害者。根据这份报告,年龄越大的人更有可能成为网络犯罪的受害者。 排名靠前的州   在美国境内,加利福尼亚州是2018年受害人数最多的州。紧随其后的是德克萨斯州和佛罗里达州,其次是纽约州、宾夕法尼亚州、弗吉尼亚州、伊利诺斯州。2018年,科罗拉多州和佐治亚州的受害者人数在4000-9999之间,其他所有州的人数都减少了。 经济损失最多的州依次是加利福尼亚州、德克萨斯州、佛罗里达州、纽约州、北卡罗来纳州、俄亥俄州、伊利诺伊州、密歇根州、新泽西州和马萨诸塞州。该名单上的前5个州中的每一个在2018年的经济损失都超过1亿美元。 请注意北卡罗来纳州的受害者人数并未排在前十位,但是经济损失的金额相当高。 您将在下面看到2018年《互联网犯罪》报告的一系列其他统计数据。这些部分显示了不同的犯罪类型和损失数额等。注意虚拟货币出现多次。       (稿源:cnBeta,封面源自网络。)  

微软疑淡化邮件服务被黑事件 知情者:实际情况更严重

据美国科技媒体Motherboard报道,微软证实,公司邮件服务的一些用户可能会成为黑客攻击目标。根据微软的声明,黑客曾入侵微软一个客户支持帐户,然后获取与客户邮件帐户有关的信息,比如邮件主题和沟通对象信息等。但Motherboard认为,实际情况似乎比声明所说更严重。 一位知情人士曾亲眼见过攻击,并在微软发表声明前描述此事,他还向Motherboard提供截图。按照这位知情人士的说法,黑客可以从大量Outlook、MSN、Hotmail邮件帐户获取邮件内容。随后微软向Motherboard确认,说黑客的确可以获取客户的邮件内容。 3月份,在微软公开确认攻击之前,消息人士曾经告诉Motherboard,黑客就可以通过一个客户支持门户进入任意邮件帐户,但企业级帐户除外。也就是说,企业付费之后获得的企业帐户不会受到影响,只有普通消费者帐户受到威胁。消息人士还介绍了攻击是怎样进行的,比如如何利用微软客户支持工具。周日时,消息人士再次谈到细节,提供进一步信息和截图,告诉Motherboard黑客可以获取哪些信息。 按微软原来的说法,黑客无法获取邮件内容或者附件。消息人士却认为,黑客可以完全获取邮件内容。周日时,消息人士再次提供一张截图,里面有“邮件正文”标签,还有消息人士编辑过的邮件正文。消息人士说,黑客使用的微软支持帐户属于高权限用户,它能接触的内容比其它员工多。 将截图交给微软,微软证实说它已经向部分用户发送通知,告诉他们邮件内容也受到影响。微软还说,只有一小部分用户受到影响,当中约有6%的用户其邮件内容存在泄露风险,不过微软没有透露具体总数字。 微软在声明中表示:“通过禁用存在风险的凭证,阻止作恶者入侵,我们已经解决问题,只有消费级帐户的极少一部分受到影响。”   (稿源:,稿件以及封面源自网络。)

2018 年信息安全相关大事件(国际篇)

纵观 2018 年网络安全事件,网络犯罪分子攻击手段变幻莫测,除了零日漏洞的利用外,勒索软件、恶意挖矿大行其道,区块链领域险象环生,暗网数据泄露更是层出不穷,而且攻击渠道日益变幻,IoT 设备、工业网亦成为不法黑客的攻击重点,以上这些皆都为整个网络空间安全环境带来全新挑战。 知道创宇 404 实验室通过监控、分析全球威胁活动信息,积极参与各类安全事件应急响应,并结合 2018 年全年国内外各个安全研究机构、安全厂商披露的重大网络攻击事件,基于这些重大攻击事件的攻击技术、危害程度等,评选出 2018 年信息安全相关大事件。 0x00 国际篇   1. Memcache DDoS 攻击 2018 年 3 月 1 日,Github 遭受遭 1.35TB 大小的 DDoS 攻击,随后的几天,NETSCOUT Arbor 再次确认了一起由 Memcache DDoS 造成的高达 1.7 Tbps 的反射放大 DDoS 攻击。在 2018 年上半年虚拟货币价值飙升、黑灰产转向至挖矿领域、反射放大攻击持续下降的情况下,利用 Memcache DDoS 造成如此大流量的攻击,其威力可见一斑。 2. Cisco 路由器被攻击事件 2018 年 1 月,Cisco 官方发布了一个有关 Cisco ASA 防火墙 webvpn 远程代码执行漏洞的公告。2018 年 3 月,Cisco 官方发布了 Cisco Smart Install 远程命令执行漏洞的安全公告。这两个漏洞都是未授权的远程命令执行漏洞,攻击者无需登录凭证等信息即可成功实施攻击。2018 年 4 月 6 日,一个名为 “JHT” 的黑客组织攻击了包括俄罗斯和伊朗在内的多个国家网络基础设施,遭受攻击的 Cisco 设备的配置文件会显示为美国国旗,所以该事件又被称为”美国国旗”事件。  3. 供应链攻击 供应链攻击一直以隐蔽、高效著称。2018 年供应链攻击在不同层面都有发生、发生原因也不尽相同。有火绒安全最先曝光的针对驱动人生公司进行的攻击,有由于 NodeJS 库作者随意给相关库权限导致被攻击者植入后门的攻击,也有感染易语言模块并使用“微信支付”进行勒索的勒索病毒。供应链中任何薄弱的地方都有可能导致供应链攻击的发生。  4. GPON 远程命令执行漏洞 2018 年 4 月 30 日,vpnMentor 公布了 GPON 路由器的两个高危漏洞,绕过验证漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。结合这两个漏洞,只需要发送一次请求就可以在 GPON 路由器上执行任意命令。在该漏洞披露后的十天内,该漏洞就已经被多个僵尸网络家族整合、利用、在公网上以蠕虫的方式传播。  5. Java 反序列化漏洞 2018 年的 Java 反序列化漏洞还在持续爆发,在知道创宇 404 实验室 2018 年应急的漏洞中,受此影响最严重的是 WebLogic,该软件是美国 Oracle 公司出品的一个 Application Server。2018 年知道创宇 404 实验室应急 5 个 WebLogic 的反序列化漏洞。由于 Java 反序列化漏洞可以实现执行任意命令的攻击效果,是黑客用来传播病毒,挖矿程序等恶意软件的攻击方法之一。 6. Drupal 远程代码执行漏洞(Drupalgeddon2) Drupal 是使用 PHP 编写的开源内容管理框架,Drupal 社区是全球最大的开源社区之一,全球有 100 万个网站正在使用 Drupal,今年 3 月份,Drupal 安全团队披露了一个非常关键的(21/25 NIST等级)漏洞,被称为 Drupalgeddon 2(CVE-2018-7600),此漏洞允许未经身份验证的攻击者进行远程命令执行操作。 7. 数据泄漏事件 2018 年多起大型数据泄漏事件被曝光,2018 年 6 月 12 日,知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018 年 8 月 28 日,暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018 年 11 月 30 日,某公司发布公告称,旗下某酒店数据库遭入侵,最多约 5 亿客人信息被泄漏。2018 年 12 月,一推特用户发文称国内超 2 亿用户的简历信息遭到泄漏。除此之外,facebook 向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多,黑市及加密数字货币的发展,暗网威胁必定会持续增长,知道创宇 404 安全研究团队会持续通过技术手段来测绘暗网,提供威胁情报,追踪和对抗来自暗网的威胁。  8. EOS平台远程命令执行漏洞 2018 年 5 月末,360 公司 Vulcan(伏尔甘)团队发现 EOS 平台的一系列高危漏洞,部分漏洞可以在 EOS 节点上远程执行任意代码。这也就意味着攻击者可以利用这个漏洞直接控制和接管 EOS 上运行的所有节点。从漏洞危害等方面来说,称该漏洞为“史诗级”名副其实。  9. 多个区块链项目 RPC 接口安全问题 2018 年 3 月 20 日,慢雾区和 BLOCKCHAIN SECURITY LAB 揭秘了以太坊黑色情人节事件(以太坊偷渡漏洞)相关攻击细节。2018 年 8 月 1 日,知道创宇 404 实验室在前者的基础上结合蜜罐数据,补充了后偷渡时代多种利用以太坊RPC接口盗币的利用方式:离线攻击、重放攻击和爆破攻击。2018 年 08 月 20 日,知道创宇 404 实验室再次补充了一种攻击形式:“拾荒攻击”。RPC 接口并非以太坊独创,其在区块链项目中多有应用。2018 年 12 月 1 日,腾讯安全联合实验室对 NEO RPC 接口安全问题提出预警。区块链项目 RPC 接口在方便交易的同时,也带来了极大的安全隐患。 10. 区块链智能合约相关漏洞 区块链安全漏洞很多都出现在智能合约上。昊天塔(HaoTian)”是知道创宇 404 区块链安全研究团队独立开发的用于监控、扫描、分析、审计区块链智能合约安全自动化平台。将智能合约各种审计过程中遇到的问题总结成漏洞模型,并汇总为《知道创宇以太坊合约审计 CheckList》。涵盖了超过 29 种会在以太坊审计过程中会遇到的问题,其中部分问题更是会影响到 74.49% 已公开源码的合约。、 随着 2017 年年末的一款名为 CryptoKitties (以太猫)的区块链游戏爆火,智能合约 DApp 成了 2018 年区块链发展的主旋律。2018 年 4 月 22 日,攻击者利用 BEC 智能合约转账函数中的一处乘法溢出漏洞,清空了 BEC 的所有合约代币。2018 年 7 月 24 日,外国的一位安全研究者利用 Fomo3D 的 Airdrop 特性加上随机数漏洞,让 Fomo3D 损失了空投池中所有的代币。2018 年 8 月 22 日,Fomo3D 第一轮大奖被开出,攻击者利用以太坊底层的交易顺序问题获得了超过 10000 枚以太币,这个漏洞的曝光也标志着对交易顺序依赖的智能合约正式的死亡。包括以太坊 DApp 和 EOS DApp 在内,从实际的安全漏洞到业务安全问题,智能合约安全漏洞直接威胁着代币安全,这也标志着智能合约会经受着更大挑战。    

2018 年信息安全相关大事件(国内篇)

回顾 2018 年,网络犯罪分子通过不断升级攻击手段,进一步提高攻击成功率并加速感染设备的数量。凭借拓展攻击渠道和变换手段,发动 TB 级别 DDoS 攻击、瞄准区块链各节点、入侵 IoT 设备,都为现阶段的网络安全防护蒙上一层阴影。在网络安全环境和形势的持续变化中,如何切实有效的制定安全策略,构建出由内而外的安全生态体系,形成各环节协同高效的主动防护能力,变得至关重要。 知道创宇 404 实验室通过监控、分析全球威胁活动信息,积极参与各类安全事件应急响应,并结合 2018 年全年国内外各个安全研究机构、安全厂商披露的重大网络攻击事件,基于这些重大攻击事件的攻击技术、危害程度等,评选出 2018 年信息安全相关大事件。  0x02 国内具体安全事件排名    1. 驱动人生供应链事件 2018 年 12 月 14 日下午,一款通过“驱动人生”升级通道进行传播的木马突然爆发,在短短两个小时的时间内就感染了十万台电脑。通过后续调查发现,这是一起精心策划的供应链入侵事件。  2. 数据泄漏事件 2018 年 6 月 12 日,知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018 年 8 月 28 日,暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018 年 12 月,一推特用户发文称国内超 2 亿用户的简历信息遭到泄漏。除此之外,facebook 向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多,黑市及加密数字货币的发展,暗网威胁必定会持续增长,知道创宇 404 安全研究团队会持续通过技术手段来测绘暗网,提供威胁情报,追踪和对抗来自暗网的威胁。  3. 勒索病毒继续在内网肆虐 2018 年勒索病毒在永恒之蓝漏洞的助力下继续在内网肆虐。2018 年 11 月,知道创宇 404 实验室捕获到一款名为 Lucky 的勒索病毒。在对病毒加密算法进行分析后,知道创宇 404 安全研究团队发布了该勒索病毒的解密工具 (https://github.com/knownsec/Decrypt-ransomware)。  4. 虚拟货币交易所被攻击等事件 2018 年上半年是区块链行业飞速发展的时期。区块链行业发展速度与安全建设速度的不对等造成安全事件频发。除区块链本身的问题外,虚拟货币交易所等也是黑客攻击的主要目标之一。入侵交易所、通过交易所漏洞间接影响币价等攻击方式都是黑客常用的攻击手法。在这些攻击背后,往往都会造成巨大的损失。  5. Weblogic 组件多个远程命令执行漏洞 2018 年知道创宇 404 实验室应急了 5 个 WebLogic 的反序列化漏洞(CVE-2018-2628/2893/3245/3191/3252)。由于 Java 反序列化漏洞可以实现执行任意命令的攻击效果,这些漏洞都成为了黑客传播病毒,挖矿程序等恶意软件的攻击方法之一。  6. “应用克隆”攻击 2018 年 1 月 9 日,腾讯安全玄武实验室和知道创宇 404 实验室联合披露攻击威胁模型“应用克隆”。值得一提的是,几乎所有的移动应用都适用该攻击威胁模型。在该攻击威胁模型下,攻击者可以“克隆”用户账户,实现窃取隐私信息、盗取账号和资金等操作。  7. ZipperDown 通用漏洞 2018 年 5 月,盘古实验室在对 IOS 应用安全审计过程中发现了一类通用安全漏洞,可能影响 10% 的IOS 应用。该漏洞被取名为 ZipperDown。根据盘古实验室披露的信息,微博、陌陌、网易云音乐、QQ 音乐、快手等流行应用受影响。  8. 智能门锁安全需要被重视 随着物联网的发展,智能门锁应运而生,智能门锁的安全性却一直颇受争议。2018 年 5 月 26 日,第九届中国(永康)国际门业博览会上王海丽女士就通过特斯拉线圈打开了八家品牌商的智能门锁。除此之外,通过手机/指纹等方式开锁也引入了新的攻击面,重放等方式的攻击大放异彩。智能门锁厂家对智能门锁本身安全的不重视也让智能门锁漏洞被曝光后不修复或未完全修复成为了常态。  9. WEB 应用程序 0day 攻击事件 2018 年 6 月 13 日,知道创宇 404 积极防御团队通过知道创宇旗下云防御产品“创宇盾”防御拦截并捕获到一个针对某著名区块链交易所网站的攻击,通过分析,发现攻击者利用的正式 ECShop 2.x 版本的 0day 漏洞攻击。于 2018 年 6 月 14 日,提交到知道创宇 Seebug 漏洞平台并收录。 2018 年 12 月 10 日,ThinkPHP 官方发布《ThinkPHP 5.\*版本安全更新》,修复了一个远程代码执行漏洞。经过知道创宇 404 实验室积极防御团队排查相关日志,该漏洞尚处于 0day 阶段时就已经被用于攻击多个虚拟货币类、金融类网站。在漏洞详情披露后的一周时间内,该漏洞就已经被僵尸网络整合到恶意样本并通过蠕虫的方式在网络空间传播。 在2018年区块链虚拟货币价格高涨的刺激下 网络黑产利用 0day 攻击虚拟货币/金融类网站日益增多。  10. xiongmai 摄像头漏洞影响数百万摄像头 2018 年多个厂商/型号的摄像头被披露出多个漏洞。在知道创宇 404 实验室应急的漏洞中,影响设备数量最多的要属 Xiongmai IP 摄像头。通过 ZoomEye 搜索引擎能得到 200 万的 Xiongmai 设备暴露在公网上,但是通过枚举 Cloud ID,能访问到约 900 万 Xiongmai 设备。并且该设备还存在着硬编码凭证和远程代码执行漏洞,如果这些设备被用来传播僵尸网络,将会给网络空间造成巨大的危害。    

开源显卡驱动 Nouveau 被 Chrome 列入黑名单

据 phoronix报道,由于多次被反馈存在 bug ,Google 决定直接在 Chromium/Chrome 71 将 Nouveau 列入黑名单,Nouveau 的用户在浏览器中将默认不启用 GPU 加速。 Nouveau 是一个为 Nvidia 显卡撰写的开源驱动项目,由一群开发者通过逆向工程技术还原 Nvidia 的专有 Linux 驱动所构建。去年8月,有用户提交了一个编号为 876523 的 Chromium bug: 在 Ubuntu 系统上 Chrome 分页标签与网址栏会被多个黑色矩形部分或全部覆盖,这些黑色矩形也会在出现在浏览器的其他位置, 发生时多数还伴随着 CPU 使用率上升,系统温度升高,并造成 Chrome 大量占用内存,甚至造成电脑卡死。 之后有不少用户在讨论区反馈了相同的问题,由于该 bug 出现在 WebGL 使用 GPU 加速的时候,他们猜测出现该问题的主要原因是使用过时的 Mesa 版本。 Google 开发团队随后在此问题下方进行了回复,表示由于收到了太多关于 Nouveau 的 bug 反馈,他们没有足够的资源来调查和修复错误,他们的优先事项是保持浏览器的安全性和稳定性,因此决定将 Nouveau 列入黑名单。 此举自然引起了 Nouveau 用户的不满,他们认为 Google 这种直接判死刑的行为太过强硬且破坏信任关系,并怀疑开发团队对 Nouveau 存在敌意。 相关链接 Chrome 的详细介绍:点击查看 Chrome 的下载地址:点击下载     稿源:开源中国,封面源自网络;

Skype 已修复漏洞公开:不解锁也能访问手机数据

近日安全专家发现了新的Skype漏洞,允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响,允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现,后者又向微软报告了这个漏洞。 Kunushevci表示该漏洞可以在不解锁手机的情况下,接通Skype来电之后能够访问照片、查看联系人、发送短信,甚至可以点击发送信息的URL链接打开网页。他在去年10月份向微软报告了这个问题,虽然微软官方并未发布关于该漏洞的声明,但是在Skype最新版本中已经修复该漏洞。 演示视频:https://player.youku.com/embed/XNDAwMDM2MjkzNg==   稿源:cnBeta,封面源自网络;

微软登录系统存在漏洞:用户 Office 帐号受影响

据美国科技媒体 TechCrunch 报道,当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之,就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置,给了他接管该子域名的可乘之机。   他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。在 TechCrunch 于发布前获悉的一篇文章中,Nk 表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。 这本身不是什么大问题,但 Nk 还发现,当用户通过微软的 Live 登录系统登录他们的帐号后,微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。 举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。 但是指示微软登录系统将帐号指令发送至 Nk 接管的子域名的恶意 URL ——若为恶意攻击者控制的话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意 URL 看上去完全正常——因为用户仍然通过微软的系统进行登录,并且该 URL 中的 “wreply” 参数也没有疑点,因为它确实是 Office 的一个子域名。 换句话说,恶意攻击者可以轻而易举地访问任何人的 Office 帐号——甚至企业和集团帐号,包括他们的邮件、文档和其他文件等,而且合法用户几乎无法辨识。 Nk 在 Paulos Yibelo 的帮助下已向微软报告了该漏洞,后者已经将漏洞修复,并为 Nk 的工作支付了漏洞赏金。     稿源:cnBeta,封面源自网络;

微软发布 KB4461585 更新:修复 Outlook 2010 崩溃问题

上周本站曾报道部分 Windows 10 用户在安装 Windows 10 更新 KB4461529 后,导致 Outlook 2010 崩溃无法正常使用。而今天微软再发布了 KB4461585 更新,修复了上述 BUG,用户也可以通过 Microsoft Download Center 进行手动下载安装。 访问: 微软中国官方商城 – 首页 KB4461529 是微软发布的关键安全漏洞补丁,主要修复了 Office 生产力套件中所存在的漏洞,在未经修复的电脑上一旦用户打开黑客特制的文件之后可以允许黑客执行任意远程代码。但在升级之后,用户反馈称导致 64 位 Outlook 崩溃无法使用。   稿源:cnBeta.COM,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;