分类: 恶意软件

新型 IoT 僵尸网络 Linux.ProxyM 通过感染 Linux 设备发送钓鱼邮件、开展 DDoS 攻击活动

HackerNews.cc  9 月 22 日消息,网络安全公司 Doctor Web 研究人员近期发现黑客利用新型物联网( IoT )僵尸网络 Linux.ProxyM 肆意发送钓鱼邮件,旨在感染更多 Linux 设备、开展 DDoS 匿名攻击活动。 调查显示,该僵尸网络自 2017 年 5 月以来一直处于活跃状态,其感染 Linux.ProxyM 的设备数量已多达 1 万台左右。然而,值得注意的是,僵尸网络 Linux.ProxyM 所分发的恶意软件能够在任何 Linux 设备(包括路由器、机顶盒与其他设备)上运行、还可规避安全检测。 目前,安全专家针对基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 与 SPARC 架构的设备识别出两款 Linux.ProxyM 木马。一旦 Linux.ProxyM 木马感染上述其中一台设备,它都能够连接至命令与控制(C&C)服务器,并下载两个互联网节点域名。如果用户在第一个节点提供登录凭证,那么跳转至第二个节点时将通过 C&C 服务器发送一个包含 SMTP 服务器地址命令,用于访问用户登录凭据、电子邮件地址和邮件内容。此外,相关数据显示,每台受感染的设备平均每天可以发送 400 封这样的钓鱼邮件。 研究人员表示,虽然尚不清楚受感染设备总计数量,也不了解黑客真正的攻击意图,但目前巴西、美国、俄罗斯、印度等国普遍受到影响。现今,由于物联网攻击活动一直都是网络犯罪分子的目标焦点,因此研究人员推测,黑客在未来还将继续扩展 Linux 木马所执行的功能范围,从而肆意开展 DDoS 攻击活动。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

间谍软件 FinSpy 新变种借助多国互联网服务提供商(ISP)进行 MitM 攻击传播

HackerNews.cc  9 月 21 日消息,网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商(ISP)涉嫌分发间谍软件 FinSpy 新变种。研究人员推测,攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击,以传播恶意软件 FinSpy 新变种,并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。 近期,研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析,怀疑 FinSpy 可能不是通过本地网络,而是利用 ISP 进行 MitM 攻击传播。消息指出,此前维基解密泄露的文件曾透露,销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包,已知的两国受害者恰好都使用着同一个互联网服务提供商(ISP),但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制: 研究人员表示,FinSpy 新变种在很大程度上得到了优化,即利用自定义代码虚拟化保护部分组件,从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外,整个代码均具备反拆卸功能,致使研究人员的分析更加困难。经调查显示,这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而,黑客除通过 ISP 开展 MitM 攻击外,还利用恶意软件此前的机制于其他五个国家进行分发。目前,ESET 在告知开发公司 Gamma 后立即也通知了受害国家,以避免将用户置于危险之中。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

联邦快递证实:旗下运输公司 TNT Express 受 NotPetya 影响损失约 3 亿美元

据外媒报道,联邦快递在其最新报告中披露,旗下运输公司 TNT Express 遭勒索病毒 NotPetya 网络攻击后对该公司本年最后一个季度将造成大约 3 亿美元的损失。 据悉,TNT Express 欧洲分部在受到网络攻击后导致运营中断。该公司此前曾警告称,此次事件很可能造成巨额财务损失。联邦快递首席财务官 Alan Graf 表示:“ 网络攻击对 TNT Express 的影响以及联邦陆运(FedEx Ground)业务低于预期的结果将降低我们的利润。我们正在执行减轻这些问题对全年影响的计划。” 联邦快递主席兼首席执行官 Fred Smith 表示,飓风哈维和网络攻击的影响对该公司带来了重大的运营挑战。由于此前网络攻击导致数据泄露或丢失,可能无法恢复受影响的所有系统。该公司表示:“ TNT Express 的全球业务在 6 月 27 日 NotPetya 网络攻击后受到重大影响,大部分 TNT Express 服务在逐渐恢复,但 TNT Express 的收入和利润仍然低于此前水平。” 稿源:cnBeta,封面源自网络;

流行 Steam 扩展 Inventory Helper 被发现监视用户一举一动

据外媒报道,流行的 Google Chrome 浏览器扩展 Steam Inventory Helper 近期被发现是间谍软件,旨在监视用户在浏览器上的一举一动。 根据官方商店的统计,该扩展被超过 96 万用户使用。然而,对该扩展的代码分析发现,它会监视你产生的每一个 HTTP 请求,如果条件满足就将请求摘要发送到其服务器上。 此外,该扩展还会监视你何时访问一个网站,从何处来的,又何时离开,何时移动鼠标,何时输入和按键,点击了什么。如果点击了一个链接那么这个链接就会发送到后台脚本。对此,研究人员建议安装该扩展的用户建议尽可能快的卸载。 稿源:solidot奇客,封面源自网络;

以色列安全团队研发新技术:通过具备红外功能的安全摄像头窃取数据信息

HackerNews.cc  9 月 19 日消息,以色列内盖夫本-古里安大学的研究团队近期开发出一项新型技术,将恶意软件 IR-Jumper 安装在与安全监控摄像机/软件进行交互的计算机上,即可通过具备红外功能的安全摄像头窃取目标用户数据信息。 研究人员表示,该款恶意软件主要在感染目标计算机后收集数据并将其分解为二进制数值,然后通过操控设备的 API 使摄像头的红外 LED 灯闪烁,从而利用这个机制传输信息。只要攻击者在红外二极管闪烁的范围内,就可通过闪烁记录重组信息。 值得注意的是,攻击者可在数十米至百米的距离内与摄像头通信,且数据可以以 20 bit/s 的速率从目标设备传出、以超过 100 bit/s 的速率传输至攻击者设备。另外,攻击者还可使用自身设备的红外二极管发送闪烁指令,远程操控受感染目标设备。 调查显示,由于红外线的发射对于人眼来说不可察觉,因此用户不会看到任何配备红外二极管的安全摄像头出现网络受损现象。与此同时,该款恶意软件还可 “ 部署 ” 在连接互联网的设备上,实现规避安全软件检测、窃取目标设备重要信息的功能。 更多详细内容可阅读 bleepingcomputer.com. 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 Android 恶意软件 Red Alert 2.0 已感染逾 60 款银行与社交媒体应用

据外媒 9 月 19 日报道,网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0,允许黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫。目前,Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过,与其他 Android 木马不同的是,该恶意软件是由开发人员从零开始编写。 如果目标设备的 C&C 服务器被关闭时,该恶意软件可以通过 Twitter 保存所有数据信息。然而,当设备无法连接到硬编码的 C2 时,它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示,这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示,虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件,但他们日前仍在为其新添更多功能,包括远程操控受感染设备。目前,该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店,因此为保障用户系统安全,研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

清理软件 CCleaner 已遭黑客入侵感染恶意后门

无论 PC 电脑还是手机,系统和各种应用软件都会产生不少垃圾数据,必须经常清理,其中在电脑上,Piriform 出品的 CCleaner 无疑是最干练、最高效的清理工具,全球安装量已超 1.3 亿,而且已经被大名鼎鼎的安全公司 Avast 收购。但是,CCleaner 最近却捅了个篓子,公司服务器在 8 月份的时候被黑客入侵,导致安装文件被感染,大量用户莫名其妙中招。 据悉,黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具,会在用户后台偷偷连接未授权网页,下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。另外,黑客还会尝试窃取用户本机隐私信息。 Avast 直到 9 月 12 日才发现异常,当天就发布了干净的 CCleaner v5.34,三天后又升级了 CCleaner Cloud,建议使用这款软件的用户赶紧升级最新版本。 目前还不清楚有多少受害者,安全机构估计至少 200 万用户被感染。在 Avast 眼皮子底下干出这事儿,而且半个多月才被发现,真有点难以置信。 稿源:cnBeta、威锋网,封面源自网络;

Python PyPI 被发现含有 10 款恶意代码安装包

据外媒 9 月 15 日报道,斯洛伐克国家安全局( NBU )研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包,旨在感染目标主机系统、窃取用户敏感信息。 调查显示,攻击者主要使用一种被称为 “误植域名” 的技术,即在上传类似合法程序安装包至索引时( 例如:“ urlib ” 而并非 “ urllib ” ),PyPI 存储库不会执行任何类型的安全检查或审计,因此攻击者在线传播这些模块并不困难。另外,攻击者还会将恶意代码植入软件安装脚本,以便快速感染目标用户系统。 研究人员表示,由于这些软件安装包的恶意代码基本相同,因此它们的功能大同小异。不过,尽管在安装脚本 setup.py 时将会被植入恶意代码,但它们对于主机系统来说相对无害。此外,恶意代码只收集受感染主机的使用信息,例如伪造安装包的名称、版本、用户名以及计算机主机名。据悉,NBU 安全研究人员于上周联系 PyPI 管理员后,他们立即删除了这些含有恶意代码的安装包。其中存在恶意代码的软件安装包包括: – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3) 安全研究人员表示,恶意代码主要与 Python 2.x 一起使用,而运行在 Python 3.x 应用程序时将会发生错误。这些恶意软件安装包于 2017 年 6 – 9 月一直处于活跃状态,目前也有证据表明,多个恶意安装包已被开发人员使用。对此,安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外,还建议他们在下载 Python 安装包时避免使用 “ pip ”(一个 Python 包安装程序),因为 pip 不支持加密签名。 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 BankBot 感染 Google 商店 160 款应用程序,阿联酋金融机构成为黑客首选攻击目标

趋势科技(Trend Micro)研究人员于 9 月 13 日发布安全报告,指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示,该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动,其中 10 家受害组织来自阿联酋地区。 恶意软件 BankBot 于今年 1 月浮出水面,其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外,BankBot 还可劫持与拦截用户 SMS 信息,从而绕过基于短信的双重身份验证。 近期,研究人员再次发现 5 款受感染的新型应用程序,其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示,最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而,一旦安装并运行 BankBot 后,它将自动检查受感染设备上是否存在银行应用安装包。倘若存在,BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后,C&C 服务器还会向受感染应用发送恶意链接,从而下载包含用于覆盖页面的恶意文件库,以便攻击者后续使用。 图1. BankBot 下载覆盖网页 值得注意的是,研究人员发现该款恶意软件在针对阿联酋银行应用程序时,表现略有不同。BankBot 并非直接显示虚假的覆盖页面,而是请求用户输入电话号码等信息。随后,C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面,他们将会被提示输入银行具体信息。即使用户提供的信息正确,也会弹出一个 “ 错误页面 ” ,致使受害者必须再次输入信息进行确认。显然,BankBot 的开发人员想要再次核实受害者银行凭证,以便快速正确登录用户账号、窃取资金。 图2.伪造阿联酋银行应用程序屏幕 目前,BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围,对此,研究人员提醒用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限,以防黑客恶意攻击。 附:趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;