分类: 今日推送

大规模 EvilTraffic 恶意广告活动感染数万 WordPress CMS 网站

外媒 1 月 22 日消息,CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍,参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。该文件夹包含以下内容: ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件,; 它最初只有 “  .suspected ” 扩展名,只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录,其中包含一系列文件。 下图显示了这种结构的一个例子: EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据,hitcpm.com 排名世界第 132 位,全球互联网用户访问量约为 0.2367% 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据: 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发,例如: ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置,如 DNS,设置,主页等,以便尽可能多地将流量重定向到调度器站点。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

内鬼作祟:俄罗斯南部加油站设备感染恶意软件 ,黑客非法牟利数亿卢布

外媒 1 月 21 日消息,俄罗斯联邦安全局( FSB )发现黑客组织正在实施一项加油站设备的欺诈计划,旨在利用电子加油机上安装的恶意程序,达到在抽送汽油时每加仑减少 3 % 至 7 % 的目的,从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者,并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道, FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ,指控其开发了多个恶意软件程序,并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中,Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外,据 FSB 猜测,欺诈计划可能已为其带来 “ 数亿卢布 (1 人民币相当于 8.99 俄罗斯卢布)”的收益。 FSB 透露,恶意软件不仅可以在加油机上显示虚假数据,允许加油站员工为顾客抽送汽油时每加仑减少 3% 至 7% ,并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是,Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此,远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见: 早在 2014 年,纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年,研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称,遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击,通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源:ThreatPost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

荷兰政府官员出国使用超安全“ 哑 ”手机以防止黑客

荷兰政府官员在到其他国家时,将自己的智能手机留在家里,而是转而使用一台没有互联网连接,缺乏对应用程序支持的老式手机。这种超安全 “ 哑 ” 手机由 Sectra Tiger 公司开发,提供通话和文本等基本通信功能,而数据传输只能在注册和安全的网络中进行。 Sectra Tiger 的官方网站显示,政府官员可以使用三种这样的安全电话,所有这些电话都经过专门设计以阻止网络攻击。其中,Tiger/R 看起来像智能手机,它基于三星自己的 Android 智能手机开发,配备了受限级别的安全语音和文本功能以及基于硬件的加密,它可以防止窃听,并大大降低恶意应用程序和篡改的漏洞。Sectra Tiger/R 可以增强组织的灵活性和灵活性,因为一旦出现政治动荡和社会动态,用户能够迅速采取行动并且没有窃听风险。 另一方面,Tiger/S 7401 看起来更像是一部老派的诺基亚手机,而且它已经被开发来抵御来自任何来源的攻击。这款型号符合荷兰和欧盟的加密分类等级,并正在等待北约秘书处的批准使用。 类似荷兰政府官员这样在使用手机方面注重安全性是非常重要的,因为某些行动电话的确存在安全隐患,无论是从黑客、恶意应用程序或者制造商方面而言,都可能导致比如资料被窃取、通话被录音、信息被拷贝等情况。 消息来源:cnBeta,封面源自网络;

沉重代价:Aetna 因低技术含量错误将要支付 1700 万美元和解金

据外媒报道,现如今,当我们听到数据泄露时最先想到的会是黑客攻破数据库然后将私人信息公布到网上,或某家公司没有采取适合的安全措施进而导致其客户信息被放到网上。但并不是所有的数据泄露都跟黑客攻击或 IT 部门失职有关,有时候该类似事件还可能发生在低技术含量的包装中。 上周,美国保险公司 Aetna 同意为泄露了上千名 HIV 病人医疗信息支付 1700 万和解金。获悉,造成此次泄露的原因则是这家公司在向病人寄出的信件中使用了过大的透明窗口,见下图: 此次事故影响到了来自 23 个州的艾滋病病人。 一般情况下,这种信件是会留一块透明窗口用于显示收件人的地址,然而 Aetna 此番因窗口过大导致收件人的个人健康信息也被暴露在外。 去年 7 月 28 日,这家医疗保险公司向填写了 HIV 处方药表格的客户发出了 1.2 万封左右的信件,不过 Aetna 并没有使用内部邮件部门而是把送件服务外包给了第三方。 对此,宾夕法尼亚艾滋病法律项目和法律行动中立立即要求 Aetna 停发信件。与此同时,Aetna 则开始为那些已经受到影响的人提供帮助。即便如此,上面两家公司还是代表 11875 名受影响客户向宾夕法尼亚东部地区美国地方法院提起了集团诉讼。最终,Aetna 同意支付 17,161,200 美元的和解金。 不过最终是否和解成功则还有待法院作出最终裁决。 稿源:cnBeta;封面源自网络;

美对俄新一轮制裁效果显现:微软限制向 200 多家企业出售软件

伴随着美俄关系的日益紧张,在美国出台的新一轮制裁效果已经显现。援引莫斯科路透社消息,微软在俄罗斯境内的两大官方经销商开始对软件的销售对象和区域进行限制。从俄罗斯经销商圈内获得的消息,微软在俄罗斯境内的两大官方经销商已经响应美国的新一轮制裁,限制向 200 多家俄罗斯企业出售微软软件。 新制裁中不仅对微软产品的销售对象进行了限制,而且对于俄罗斯企业的购买方式以及使用期限都有严苛限制,从而确保微软能够及时收到款项。 微软在俄罗斯的经销商 Merlion 在去年 11 月 29 日发布通知,自该日起新规正式生效,只有收到全额付款之后才会履行职责。 对于俄罗斯的防卫部门,只有当合作伙伴在软件许可激活后的 30 天之内付款,订单才能被履行。而对于能源部门的客户,需要在 60 天之内(此前为 90 天)确认付款。 另外一家经销商 RRC 在通知中称,对于受到制裁的俄罗斯公司,他们购买微软商品的订单将受到 “ 严格限制 ”。 微软在一份声明中称:“ 微软坚定致力于遵守法律要求,在全球拥有一套健全的程序帮助确保我们的合作伙伴也遵守法规。” 稿源:cnBeta,封面源自网络;

北欧联合银行全员禁止比特币 因市场“ 无监管 ”

据媒体报道,北欧最大的银行已经告诉其员工,不要交易比特币和其他加密货币。这可能导致欧洲银行联合会评估其对数字货币的官方立场。北欧联合银行发言人 Afroditi Kellberg 通过电话说,该行将于 2 月 28 日实施这一禁令,之前该行董事会同意采取这一立场,因为加密货币市场“无监管的性质”。截至第三季度末,该行约有 3.15 万名员工。 北欧联合银行在其电子邮件中表示,其政策 “ 包括对现有持币人员的过渡性规定,并允许某些例外 ”。已经拥有比特币的员工 “ 被允许保留现有持仓 ”。 北欧第二大银行丹麦丹斯克银行说,不鼓励员工交易比特币,但尚未决定是否需要全面禁止。丹斯克银行发言人 Kenni Leth 在一封电子邮件中表示:“ 我们对加密货币持怀疑态度,并建议我们的员工不要交易,但我们并没有实施实际的禁令。我们正在分析情况,时间会告诉我们是否会有正式的禁令。” 丹斯克银行不向客户提供加密货币交易。“由于各种加密货币不成熟、缺乏透明度,我们决定在我们的平台上不提供这种证券交易,” Leth 说。 北欧联合银行在电邮中表示,对客户的政策与对员工不一样,但也要强调不推荐客户投资于此。 稿源:cnBeta、新浪美股,封面源自网络;

微软向 ID2020 机构注资 100 万 基于区块链推进数字身份认证网络

去年,微软联合服务巨头埃森哲( Accenture )借助区块链技术创建了数字身份认证网络;今天这家科技巨头再次宣布联合 ID2020 联盟进一步开发安全数字认证系统。 ID2020 项目是一个公私合作联盟,致力于联合各国政府,科技巨头和非政府组织采取统一行动,在 2020 年之前为所有人提供合法身份证明。 除了以联合创始成员身份加入 ID2020 联盟之外,微软还向这家非盈利机构投资了 100 万美元。借助后者的资源,微软计划在未来将身份认证系统部署到政府和机构中。 ID2020 项目旨在帮助人们确定身份,帮助个人和难民获得基本的服务,包括在新居住地上获得医疗保健和教育服务。同时也将数字化传统的纸质出生证明和教育证书。该数字身份系统本质上就是使用认证信息在电脑上认证用户,而不再需要实际的人工审核。 稿源:cnBeta,封面源自网络;

英特尔称其安全补丁存在缺陷要求用户停止安装 正测试新版

本周一,英特尔公司要求电脑生产商们停止使用英特尔为解决其芯片存在的安全隐患而发布的一系列有缺陷的补丁,英特尔表示正在研发新的补丁以解决自身芯片的安全问题。英特尔发表声明,要求电脑生产商和数据中心管理者停止使用目前其为 Meltdown 和 Spectre 安全漏洞提供的安全补丁,这两个安全漏洞据称将能使黑客从装有英特尔处理器的电脑中偷取用户敏感数据。 该补丁是英特尔花费数月研制出来的,但可能导致电脑比平常时发生更频繁的重启。 现在,英特尔要求消费者们测试其最新版本的补丁,已于上周末发布。英特尔表示其已经找到了导致老款处理器重启问题的根本原因。英特尔数据中心业务高管孙纳颐(Navin Shenoy)在一篇发布在该公司网站上的帖子中说道:“我们要求我们的产业合作伙伴们测试最新发布的安全补丁,以最快向普通消费者发布此更新。” 在今年 1 月 3 日,英特尔确认其芯片受 Spectre 和 Meltdown 安全漏洞影响。其中受 Meltdown 漏洞影响的公司除英特尔外还有软银集团旗下的 ARM Holdings。而 Spectre 则影响了所有现代计算设备,也包括了英特尔和 AMD 的芯片。 随着英特尔开始发布针对此安全漏洞的补丁,一系列问题又产生了。在 1 月 11 日,英特尔承认该补丁可能使老款处理器发生更频繁的重启问题。 稿源:cnbeta.com,封面源自网络

挪威医疗卫生机构计算机系统遭到入侵,超过 290 万居民信息或将泄露

据外媒报道,位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵,可能会影响到约 290 万人(占挪威人口的 56% )的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴,并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露,他们检测到来自 Health South-East RHF 的异常流量,从而发现了入侵行为。研究人员认为在地下网络犯罪中,医疗数据是一种有价值的商品,恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为,Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的,因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉,Health South-East RHF 为全国约 290 万人提供医疗服务,超出挪威全体居民数目的一半。因此,若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英国少年黑客冒充美国中情局前局长,探听针对阿富汗和伊朗的情报活动计划

《每日电讯报》援引庭审消息称,英国少年黑客 Kane Gamble 冒充美国中情局前局长,接触到了美国在阿富汗和伊朗的情报活动计划。 《卫报》此前报道称,该黑客承认企图侵入中情局前局长布伦南和吉他美国高官的计算机。他的目标是美国前总统奥巴马的副国家安全顾问海恩斯( Avril Haines )和科技顾问霍尔德伦( John Holdren )。18 岁的 Kane Gamble 承认了对自己的 10 项指控,“ 包括企图擅自获取信息 ” 和 “ 擅自修改计算机资料 ”。 据最新消息,时年 15 岁 的 Gamble 借助 “ 社会工程 ” 手段侵入了布伦南的计算机。报纸称,他嘲笑了受害者们,将他们的个人信息挂上网,对他们进行消息轰炸,打电话,给他们的计算机载入色情作品,并远程操控他们的 iPad 和电视。 该报指出,Gamble 先假装通信运营商 Verizon 的工作人员侵入了布伦南在该公司网站上的账号,然后他又冒充布伦南本人。起初他没能进入中情局前局长的计算机,因为他没能答出关于后者第一只宠物名字的安全问题。但他后来让处理器更改了 PIN 码和安全问题。 Gamble 通过同样的办法进入了布伦南的其他账号,并获取了他的所有电子邮件和联系人。 此外,黑客还使联邦调查局的技术支持部门相信,他就是时任副局长朱利亚诺( Mark Giuliano ),并因此进入了联邦调查局的数据库。 该报援引皇家律师约翰∙劳埃德∙琼斯的话称:“ 他接触到了一些非常机密的问题,其中涉及在阿富汗和伊朗的军事和情报行动。” 据该报消息,Gamble 曾于 2016 年 2 月侵入了美国司法部网络,接触到 2 万名联邦调查局雇员的信息和很多案件,其中包括 2010 年 4 月的 “ 深水地平线 ” ( Deepwater Horizon)钻油平台爆炸案。该报称,联邦调查局和美国特勤局为 Gamble 所见的内容感到不安,以至于立即要求英国警方逮捕该少年。 稿源:俄罗斯卫星通讯社,封面源自网络;