分类: 恶意软件

黑客利用疫情传播 Emotet 恶意程序 日本地区最猖獗

网络诈骗者往往会抓住时下热点,欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中,就有诈骗者利用澳大利亚山火进行虚假众筹,以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒,因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的,这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件,那么计算机就会被感染。 根据初步调查这种恶意行为在日本最为猖獗,诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet(连续4个月位排行第4的恶意软件)的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置,这鼓励受害者打开文档,如果打开该文档,则尝试在其计算机上下载Emotet。 也有报道称,诈骗者正在使用带有恶意链接的网络钓鱼电子邮件,乍一看似乎将用户定向到疾病控制与预防中心(CDC)的官方网站,而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。   (稿源:cnBeta,封面源自网络。)  

美政府披露所谓朝鲜黑客使用的七款恶意软件

上周五,美国五角大楼、联邦调查局和国土安全部,联合发布了有关朝鲜发起的黑客攻击事件的技术细节。其中谈到了七种恶意软件,涉及网络钓鱼和远程访问,以及所谓的非法活动、窃取资金和逃避制裁。在 @CNMF_VirusAlert 发布的推特帖子中,还附上了有关详情的链接。 链接到 VirusTotal 的帖子,公布了有关散列密码、文件名和其它技术详情,可帮助防御者识别其内部网络威胁。 美国土安全部下设网络安全和基础设施安全局(IEA)的咨询顾问称,行动背后有着 Hidden Cobra 的身影,美方怀疑该黑客组织与朝鲜政府有关。 本次曝光的七款恶意软件,有六个都被上传到了 VirusTotal,包括: Bistromath:功能齐全的远程访问木马和植入程序,可执行系统调查、文件上传和下载、处理和命令执行,以及对麦克风、剪贴板和屏幕的监视。 Slickshoes:一种信标植入手段,可加载但不执行,能够辅助 Bistromath 实现诸多功能。 Hotcroissant:一种功能齐全的信标植入手段,可实现上文列出的诸多相同功能。 Artfulpie:可从硬编码的网址执行 DLL 文件的下载,在内存中加载和执行植入程序。 Buttetline:另一种功能完备的植入手段,使用伪造的 HTTPS 方案和经过修改的 RC4 加密密码来保持隐身状态。 Crowdedflounder:一个 Windows 可执行文件,旨在将远程访问木马解压到计算机内存中并执行。 Cyberscoop 指出:上周五的行动,标志着美国网络司令部首次认定了朝方的黑客行动。促成这一点的其中一个原因,是攻击的复杂性已变得越来越高。 包括路透社在内的多家新闻机构,均援引过去年八月的联合国报告,预估朝方黑客针对金融机构和加密货币交易攻击的获利高达 20 亿美元。   (稿源:cnBeta,封面源自网络。)

Android 恶意软件 xHelper 的删除方法

xHelper 是一种 Android 恶意软件,安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序,即使在用户恢复出厂设置以后,该恶意软件还是会重新感染,从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁,在近日发布的一篇博客文章中,该团队表示,尽管仍未弄清楚该恶意软件如何自行重新安装,但他们确实已经发现了有关其操作方式的足够信息,以便永久删除它,并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露,xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录,xHelper 可以将其 Android 应用程序包(Android application package,APK)隐藏在磁盘上。与应用程序不同,即使在恢复出厂设置后,其目录和文件仍保留在 Android 移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道,“Google Play 未感染恶意软件。但是,Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外,有些东西可能还会将 Google Play 用作烟幕,从而将其伪装为恶意软件的安装来源,而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是,以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序,不过该应用程序可免费使用。 具体删除步骤如下: 从Google PLAY 安装文件管理器,该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描,以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的,但是要在“应用程序”信息中查找的名称是 fireway,xhelper 和“设置”(仅在显示两个设置应用程序的情况下)。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到,记下最后修改日期。 专业提示:在文件管理器中按日期排序 在 ASTRO 的文件管理器中,您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容(除了核心目录,如 Download): 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   (稿源:开源中国,封面源自网络。)

谷歌移除 500 多款恶意扩展

在思科Duo Security团队和安全研究员贾米拉·卡亚(Jamila Kaya)两个多月的深入调查之后,谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告(malvertising)。 这些扩展程序注入的恶意代码会在特定条件下激活,并将用户重定向到特定的页面。在某些情况下,重定向地址可能是Macys,DELL或BestBuy等合法网站上的会员链接;而在其他情况下可能是恶意站点,例如恶意软件的下载站点或者网络钓鱼页面。 根据Duo Security团队和Jamila Kaya分享的报告,这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的,她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。 利用CRXcavator(一种用于分析Chrome扩展程序的服务),Kaya发现了最初的扩展程序集群,它们在几乎相同的代码库上运行,但是使用了各种通用名称,而鲜有关于其真实用途的信息。 Kaya告诉我们:“仅靠我个人,就确定了十几个采用该共享模式的扩展程序。与Duo联络后,我们能够使用CRXcavator的数据库对其进行快速指纹识别,并发现整个网络”。根据Duo的说法,首批扩展程序的安装总数超过了170万名Chrome用户。 Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序,随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展,但数量可能超过数百万。   (稿源:cnBeta,封面源自网络。)

别掉入奥斯卡提名影片免费下载的陷阱 它们都是恶意软件

据外媒报道,日前,网络安全公司卡巴斯基的专家们发现,有数百个网站承诺免费提供今年最受好评的电影的下载服务,但实际上所有的下载都是恶意软件。另外还有20多个钓鱼网站欺骗用户输入他们的信用卡号码和其他敏感信息。 《小丑》是眼下最常被用来引诱受害者的电影:研究人员发现了304个以这部电影为标题的恶意文件。一战影片《1917》、《爱尔兰人》、《好莱坞往事》则分别有215个、179个文件、150个恶意文件。据卡巴斯基报道,韩国电影《寄生虫》则没有与之相关的恶意文件。 对此,卡巴斯基建议用户检查合法来源的下载文件扩展名、检查网站的真实性、查明电影何时在影院或流媒体服务上上映、使用可靠的病毒保护服务并不要去点击可疑链接。 附这一届奥斯卡最佳影片提名作品: 《1917》 《极速车王》 《乔乔的异想世界》 《小丑》 《小妇人》 《婚姻故事》 《好莱坞往事》 《寄生虫》 《爱尔兰人》   (稿源:cnBeta,封面源自网络。)

微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。 该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。 根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。 它收集的数据类型包括: 环境变量 运行过程 / etc / hosts 优名 npmrc文件 其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。 事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为: 2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。 2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。 2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。 2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。 2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。     (稿源:开源中国,封面源自网络。)

美政府为低收入家庭提供手机被植入恶意程序 且无法清除

为美国低收入家庭提供的智能手机近日被发现存在恶意程序,更严重的是无法在不影响手机正常工作的情况下,清除该恶意程序。援引Malwarebytes Labs本周三公布的博文,详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头,并由Assurance Wireless提供的一款廉价Android手机。 博文中称,这款低端Android手机上存在两款恶意程序,而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除,但是需要繁琐的步骤并需要阻止未来的版本更新;而另一个恶意程序将其自身硬编码到设置应用中,意味着如果将其删除会导致手机无法使用。 Assurance Wireless的母公司Sprint在随后提交的声明中,表示这两款程序并不应该归类为恶意程序。公司在本周五提交的声明中写道:“我们已经发现了这个问题,并接触了设备厂商Unimax来了解根本原因。但是经过我们的初步测试,我们认为媒体描述的这两款应用程序是恶意程序。”   (稿源:cnBeta,封面源自网络。)  

报告显示 WannaCry 依然是最让人头疼的勒索软件

Precise Security公布的一份新报告显示,WannaCry在去年勒索软件感染排行榜当中位居第一。Precise Security称,超过23.5%的设备最终被勒索软件锁定,其中垃圾邮件和网络钓鱼邮件仍然是去年最常见的感染源。不少于67%的勒索软件感染是通过电子邮件传递的,缺乏网络安全培训和薄弱的密码和访问管理是导致电脑在攻击后被加密的主要原因。 这份报告显示,针对政府机构,医疗保健,能源部门和教育的勒索软件攻击数量继续增加。一些简单的勒索软件以难以逆转的方式锁定系统,但更高级的恶意软件利用了一种称为加密病毒勒索的技术进行攻击。 WannaCry勒索软件爆发发生在2017年5月,当时第一批Windows电脑通过一个名为EternalBlue的NSA漏洞被感染。微软很快发布了补丁来阻止这一漏洞,包括不受支持的Windows XP操作系统,但目前仍有许多用户在使用没有打过补丁的设备。 与其他勒索软件感染一样,WannaCry对存储在设备上的文件进行加密,并要求用户支付解密密钥的费用。WannaCry攻击者要求受害者以比特币支付,据统计,它在全球造成了约40亿美元的损失。 WannaCry制造了一系列引人注目的受害者,包括英国的NHS系统,其设备运行的是未修补的Windows,主要是Windows XP。修补设备并保持安全软件完全更新,是阻止WannaCry攻击的最简单方法,同时不要打开来自不受信任来源的消息和文件。   (稿源:cnBeta,封面源自网络。)

谷歌 Chrome 恶意扩展窃取了价值 16000 美元的加密货币

一份报告显示,一个恶意的谷歌Chrome扩展程序成功进入Chrome网络商店,盗取了价值至少1.6万美元的加密货币。该扩展名为“ Ledge Secure”,声称可以用作Google Chrome浏览器中的一种加密货币钱包,从而以某种方式成功突破了Google的过滤器,最终被Chrome网络商店上架以供用户下载。 至少有一个用户确认安装了扩展程序后,自己的加密货币被盗了,目前尚不知道最终受害者的具体人数。Decrypt报告说,该扩展程序扫描了该设备,并将种子短语发送给该扩展程序的作者,这几乎可以使恶意行为者窃取任何加密货币。以Twitter用户“ hackedzec”为例,这个扩展造成600 ZEC币的损失,价值约16000美元。 法国Ledger公司在Twitter上证实了这个扩展不是一个合法的插件,并建议用户避免在自己的设备上安装它。目前此恶意扩展工作细节尚未透露,谷歌已经从Chrome网店中删除了这个扩展,建议所有安装它的人尽快检查钱包,确保没有密码被盗。   (稿源:cnBeta,封面源自网络。)

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接