分类: 恶意软件

新型病毒 DoubleAgent 曝光:攻击电脑前预先入侵防病毒软件

安全专家近日发现了新型恶意程序,利用防病毒软件来攻击计算机。来自 Cybellum 的安全专家发现了这种新型病毒,并将这种攻击手段命名为 DoubleAgent。 DoubleAgent 通过注入代码从而修改防病毒软件,进而获得完整权限来接管受害者电脑。 DoubleAgent 利用了存在于 Microsoft Application Verifier 的一个 15 年漏洞,从 XP 到 Windows 10 所有 Windows 版本都受到了影响。Microsoft Application Verifier 通常用于寻找 Windows 应用中的 BUG。 安全专家已经找到了他们的攻击方式,因此他们能够劫持软件并做任何他们想要做的事情。在 DoubleAgent 成功攻击防病毒软件之后,攻击者还能进行远程关闭防病毒软件,从而在受害者不知情的情况下安装恶意程序。 根据研究人员表示,McAfee , Kaspersky , Norton 和 Avast 软件都存在安全漏洞。病毒公司 Malwarebytes 已经提供了安全防部,而趋势科技计划在近期内发布更新。 稿源:cnBeta, 封面源自网络

Check Point 监控发现中国黑客利用假基站传播安卓银行木马

Check Point 软件技术公司的安全研究人员发现中国黑客进一步加强了 Smishing(短信诈骗)  攻击水平,肆意使用假基站发送伪造短信传播安卓银行恶意软件“ Swearing Trojan ”。 smishing (短信诈骗)是指用类似于网络钓鱼的社会工程学技术实施犯罪行为的一种形式,名字来源于 SMs phishing(短信息服务诈骗)。(有道翻译) 据报道,犯罪分子将短信的来源伪装成中国移动和中国联通两大运营商,然后通过安装在移动基站上的设备发送虚假信息,诱导用户下载恶意应用程序到智能手机,窃取受害者敏感信息。用户一旦下载安装恶意应用程序,恶意软件 Swearing Trojan 会立即向受害者的联系人自动发送网络诈骗短信传播恶意软件。 调查表明,为避免任何恶意行为的检测,Swearing Trojan 不连接任何远程命令和控制( C&C )服务器。相反,它使用短信或电子邮件方式将盗窃数据发送给黑客,不仅提供了良好的通信覆盖,还阻止了恶意行为的追踪。目前,该恶意软件主要针对中国用户,但 Check Point 研究人员表示,倘若其他地区攻击者采取该恶意软件行为可能会在全球范围内迅速蔓延。 原作者:Swati Khandelwal, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究显示:新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

近期,Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码,与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接,引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在,被称为“ 通用模块化的网络间谍工具包 ”,允许黑客利用恶意代码进行操作 。2015 年,世界知名安全公司 ESET 首次对其进行详细分析,根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示,该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散,攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明,恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译,并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示,它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程,并将其替换为恶意代码。随后,该恶意软件联系 C&C 服务器,向其发送受感染计算机的信息。一旦初始阶段完成,它将指挥控制其服务器,并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能,还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是,由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态,研究人员没能获取可用插件信息。 据研究人员称,Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施,而且在同一端口上联系 C&C 域,并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构,但它们之间还是存在着加密和传递机制的差异。 据专家称,现在评估 Acronym 在 Potao 行动里的发展状况还为时过早,但它确实与其存在着潜在联系。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新 MajikPOS 恶意软件瞄准北美和加拿大用户

近日,趋势科技发现了一种新的 PoS 机 恶意软件,命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码,目标主要针对北美和加拿大的业务。 专家表示,虽然 MajikPOS 与其他 PoS 恶意软件的功能相同,但其模块化的执行方法却是极其独特的。2013 年 1 月底,研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同,它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架”编写而成,并建立加密通信通道以规避检测。 MajikPOS 可通过攻击虚拟网络计算( VNC )和远程桌面协议( RDP )猜测密码,访问 PoS 系统。在某些情况下,网络罪犯分子利用 FTP 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上,恶意代码便会连接到 C&C 服务器并接收具有三个条目的配置文件,以供稍后使用。 进一步研究发现,Magic Panel 服务器的注册人还注册了一些用于销售被盗信用卡数据的网站。Trend Micro 补充说:其中一些网站早在 2017 年 2 月就在名为“ MagicDumps ”的用户上进行了宣传,他们主要根据位置更新了垃圾网站的论坛 – 主要是美国和加拿大。 专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡,然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型勒索软件以星际迷航人物命名,使用数字货币 Monero 付款

看来一些网络犯罪分子正在针对星际迷航粉丝发动攻击,Avast 恶意软件研究员 Jakub Kroustek 发现一款新的勒索软件变种,以星际迷航当中人物 Kirk 的名字命名,这款勒索软件用 Python 编写的。被伪装为称为低轨道离子炮应用程序,后者是一款网络压力测试应用程序。 一旦执行,Kirk 将生成一个 AES 密码,用于加密受害者的文件,随后通过嵌入式 RSA-4096 加密密钥进行加密。接下来,受害者电脑将显示“ LOIC 正在为您的系统初始化…”这可能需要一些时间。在这一点上,Kirk 勒索软件默默地加密文件。据报告,恶意软件会影响 625 种文件类型,包括广泛使用的文件类型,例如 .mp3,.docx,.zip,.jpeg 和 .wma 等。此过程完成后,就会显示赎金通知。 典型的勒索软件通常会要求以比特币或 MoneyPak 作为付款,以解锁文件。然而,Kirk 勒索软件要求受害者以 Monero 付钱,它是类似于比特币的另一种安全加密货币。在前两天,它将要求受害者支付 50 Monero,相当于大约 1265 美元。它将每隔几天重复一次,如果在第 31 天没有付款,解密密钥将被永久删除。 犯罪分子承诺受害者在以 Monero 付款后,将名为 Spock 软件发送给受害者。到目前为止,没有任何方法来免费解密,也没有任何人受到这个勒索软件影响的报告。 稿源:cnBeta;封面源自网络

“超级恶意软件”窃取英特尔 SGX 隔离内存领域的加密密钥

来自格拉茨科技大学的科学家团队揭示了一种新方法,可以从英特尔  SGX (软件防护扩展)enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令,它允许用户级代码分配专用区域的内存,称为 enclaves 。与正常的内存处理方法截然不同,它不仅受到了保护,也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明,恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示,恶意软件能够通过监视 RSA 模块签名过程,利用高速缓存的访问模式来恢复 RSA 密钥,防止 enclaves 在读取或操纵内存时,遭受硬件的攻击。为了保护包围区代码的完整性,加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配,CPU 将拒绝运行 enclaves 。 稿源:digitalmunition.me ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌捣毁最大 Android 恶意软件家族之一 Chamois(羚羊)

据外媒报道,日前,谷歌捣毁了一个巨大的 Android 恶意软件家族 Chamois。据这家公司披露,这些恶意软件已经感染了上百万台设备。 Chamois 是一个对 Android 设备展开大范围广告欺诈的恶意软件。谷歌安全软件工程师 Bernhard Grill、Megan Ruthven、Xin Zhao 在官博上指出,他们是在常规广告流量质量评估中发现了 Chamois。 工程师对那些基于 Chamois 开发而出的恶意软件展开了分析,他们发现这些软件能够通过数种途径避开检测并尝试欺诈用户,于是决定采用 Verify Apps 来屏蔽掉来自 Chamois 家族的恶意软件并将那些试图利用恶意软件破坏谷歌广告系统的人踢出去。 据了解,Chamois 恶意软件看起来并不会出现在设备的软件列表中,更别提去卸载,这时候 Verify Apps 就起到了作用。通过这套工具,用户可以检测到设备内可能对其存有危害的软件并将其删除。谷歌称,Chamois 是Android 生态系统迄今为止遇到过的最大的恶意软件家族之一,它能够通过多条途径传播。 Chamois 拥有大量令其特殊的功能,如它的代码会在 4 个不同的阶段使用不同的文件格式进行执行。这种多阶段的处理方式使得它变得更加复杂,而这意味着它们更难被发现。另外,Chamois 家族软件还能通过模糊化和反分析技术来躲开检测。此外,它们还能使用一套定制、加密的方式来储存配置文件。 谷歌方面表示,为了更好地了解 Chamois,他们对 10 万行复杂的代码展开了分析。不过目前,谷歌并未透露遭 Chamois 恶意软件感染的软件名字。 稿源:cnBeta,封面源自网络

2016 年约有 61% 的组织遭受勒索软件攻击

根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76% ,再到今年的 79% 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明:在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术,早已攻破互联网巨头谷歌和雅虎的防护,并进行数据盗取,从而导致公司安全支出的激增。目前, CyberEdge的 研究人员认为:员工的低安全意识,导致组织更加容易受到攻击。 原作者: FRANCISCO MEMORIA,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新恶意软件 “ELF_IMEIJ” 利用 AVTech 监控产品收集网络数据

趋势科技发现了一个新的 Linux 恶意软件 ELF_IMEIJ ,该恶意软件针对监视技术公司 AVTech 的设备,并利用了一个 2016 年发现但尚未修复的 CGI 漏洞收集网络活动数据。 该漏洞由安全研究机构 Search-Lab 发现并于 2016 年 10 月报告给 AVTech ,但该漏洞至今还没有修复。这一新的 Linux 恶意软件会通过 39999 端口感染 AVTech 的云 IP 摄像机、CCTV 设备和网络录像机,并收集系统信息和网络活动数据,之后将执行恶意 shell 命令启动分布式拒绝服务( DDoS )攻击或终止自身。 下面是 ELF_IMEIJ.A 和 Mirai 恶意软件的对比 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

两家企业拥有的 38 部 Android 手机被预装了恶意程序

移动安全公司 Check Point Software Technologie 报告,两家企业拥有的 38 部 Android 手机被发现预装了恶意应用。报告中没有披露企业的名字,但可以确定的是恶意应用不是厂商提供的官方固件的一部分,而是在供应链的某一处加入进去的。其中六部手机的恶意程序拥有系统权限,被安装在 ROM 中,如果不刷机的话是无法移除掉的。 该公司的研究人员称,即使用户万分小心,也可能会在不知情下被恶意程序感染。大部分恶意应用主要是收集信息和展示广告,其中一个应用是勒索软件。这些 Android 手机属于众多品牌,包括三星和 LG 的多款手机,小米 4 和红米、中兴 x500、Oppo N3、vivo X6 plus、Nexus 5 和 5x、联想 S90 和 A850。研究人员称,他们并不清楚攻击者是否专门针对这两家公司,或者是更广泛的行动的一部分。 稿源:cnbeta,有删改,封面来源于网络