分类: 恶意软件

部分 Mac 设备感染 FruitFly 恶意监控软件

据福布斯报道,针对 Mac 设备的恶意软件爆发现象不常见。然而,一旦出现,便会立即引起人们关注。前美国国家安全局员工、现就职于网络安全公司 Synack 研究人员 Patrick Wardle 表示,部分 Mac 用户遭到 FruitFly 恶意监控软件入侵。 据统计,约有 400 台左右的设备感染这一恶意软件,但由于他只找出部分用于控制恶意软件服务器,因此这一数字还将继续上升。通过追查黑客曾利用过的域名备案,Patrick Wardle 发现了 FruitFly 的受害者,而这些域名都是被黑客盗用的。他可以由此查出受害者 IP 地址,据透露其中 90% 的设备位于美国境内,而他也可以看到受害者 Mac 设备的电脑名称,所以甚至可以具体指出是哪一台 Mac 设备感染了 FruitFly。 Patrick Wardle 认为,监视是 FruitFly 的主要目的,通过入侵用户的网络摄像头来进行窥视并截图。与普通网络犯罪类型不同,它没有弹出广告、键盘记录器或是勒索软件。当用户在 Mac 设备上活动时会提醒黑客,并且它也可以模拟鼠标点击和键盘事件。 此外,这似乎是一款老式的恶意软件,因为在其代码中有对 Mac OS X Yosemite 更新的引用,而这一系统最初发布于 2014 年。这也意味着在此之前这一恶意软件就已经存在了。目前,苹果尚未就这一报道做出回应。 稿源:cnBeta,封面源自网络

神秘僵尸网络 Stantinko 潜伏 5 年感染逾 50 万系统设备

安全公司 ESET 研究人员警示,僵尸网络 Stantinko 于过去五年内一直处于雷达控制状态,其成功感染逾五十万台计算机设备,并允许攻击者在受感染主机上执行任意操作。自 2012 年以来,僵尸网络 Stantinko 为大规模恶意软件活动提供动力,其主要针对俄罗斯与乌克兰等国家。由于该僵尸网络具备加密代码及迅速适应能力,方可规避安全软件检测。 Stantinko 是一款模块化后门,其中包括加载程序执行 C&C 服务器并直接在内存中发送任何 Windows 可执行文件。由于插件系统较为灵敏,攻击者可在受感染系统上执行任意代码。 调查显示,为检测受感染用户设备,攻击者使用应用程序 FileTour 作为初始感染媒介,能够在受害者设备上安装各种程序,同时启动僵尸网络 Stantinko 进行传播。Stantinko 不仅会安装浏览器扩展、执行广告注入与点击欺诈,还能在 Windows 服务中执行任意操作(例如:后门攻击、Google 搜索以及强制操控 Joomla 与 WordPress 管理员面板等)。 研究人员表示,僵尸网络在攻击后将会安装两款恶意 Windows 服务,每款均具备重新安装其他程序的能力,因此用户必须同时删除这两款程序才能完全去除恶意软件。目前,僵尸网络幕后黑手正试图通过多款恶意活动访问 Joomla 与 WordPress 网站管理帐户,并在暗网转售帐户登录凭证,或是通过与 Facebook 交互插件进行社交网络欺诈。 虽然这一僵尸网络对用户来说影响并不广泛,但它仍是极大的威胁,因为它为网络犯罪分子提供了充足的欺诈收入来源。此外,功能齐全的 Stantinko 后门还能允许攻击者监视所有受害设备。 原作者:Ionut Arghire,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 公布 2017 年 6 月全球十大最受 “ 欢迎 ” 恶意软件

安全公司 Check Point 最新报告《 全球恶意软件威胁影响指数 》在线公布 6 月十大最受 “ 欢迎 ” 的恶意软件。广告恶意软件 RoughTed 因影响全球 28% 组织机构名列榜首。以下是全球十大最受“欢迎”恶意软件列表: 1、广告恶意软件 RoughTed:大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接,不仅可以攻击任意类型的平台与操作系统,还可绕过广告拦截器与指纹识别功能,提高了黑客攻击的成功率。 图一:RoughTed 受攻击地区分布 2、浏览器劫持软件 Fireball:是一款功能齐全的恶意软件下载程序,允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 3、内存驻留蠕虫 Slammer:主要针对 Microsoft SQL 2000 通过快速传播实现拒绝服务攻击。 4、勒索软件 Cryptowall:最初是一款加密软件,经过扩展后成为当下最知名的勒索软件之一,主要特色是 AES 加密与 To r匿名网络 C&C 通信,其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 5、HackerDefender Rootkit:用于隐藏 Windows 用户设备文件、进程与注册表项,还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下,无法采用传统手段找到隐藏后门。 图二:全球威胁风险指数(绿色:低风险;红色:高风险风险;白色:数据不足) 6、勒索软件 Jaff:自 2017 年 5 月开始由 Necrus 僵尸网络传播。 7、Conficker 蠕虫:允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C&C 服务器接收指令。 8、多用途机器人 Nivdort:又名 Bayrob,用于收集密码、修改系统设置、下载其他恶意软件,通常利用垃圾邮件进行大规模传播,收件人地址以二进制编码确保唯一性。 9、银行木马 Zeus:通过捕获浏览器中间人(Man-in-the-Browser,MitB)按键记录与样式窃取银行账户信息。 10、漏洞工具包 Rig ek:于 2014 年首次推出,提供 Flash、Java、Silverlight 与 Internet Explorer 漏洞,致使感染链重定向至目标登录页面。 调查显示,Fireball 恶意软件 5、6 月全球影响范围从 20% 下降至 5%;Slammer 则影响全球 4% 组织机构;而 RoughTed 体现了网络犯罪分子采用广泛攻击媒介与目标,影响感染链各个阶段。与 RoughTed 相反,Fireball 接管目标浏览器并使之成为僵尸网络,用于安装其他恶意软件、窃取有价值证书等各种操作;Slammer 则是一款可导致拒绝服务攻击的内存驻留蠕虫。 据悉,各大组织于今年 5、6 月的重点防御对象是 WannaCry、Petya 等勒索软件。然而,本月影响指数则反映了攻击媒介呈广泛分布趋势。在此,安全专家提醒各组织机构加强安全基础架构建设,充分掌握网络犯罪分子可能使用的所有策略与手段,并采用多层次网络安全防御方法有效规避零日恶意软件新变种。 稿源:Check Point,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究报告:恶意软件即服务为黑客提供更多网络犯罪平台

近年来,随着网络犯罪分子以组织化形式存在,黑客攻击手段已越来越多的被用于商业化发展。即网络犯罪分子可通过租用扩展黑客工具与技术(漏洞套件、勒索软件)构建威胁发动攻击,将其演变成大型企业攻击活动。调查显示,恶意软件即服务(MaaS)的普及滥用日益增加,为网络犯罪分子提供了包括勒索软件即服务(RaaS)、DDoS 即服务、网络钓鱼即服务等在内的一系列服务攻击模式。近期,两组研究人员发现两起类似服务攻击活动。 恶意软件 Ovidiy Stealer7 攻击活动 Proofpoint 安全研究人员发现恶意软件 Ovidiy Stealer7 在以俄语为主的暗网论坛中低至 7 美元出售,即便是技术小白也能轻松窃取目标设备信息。 Ovidiy Stealer 于今年 6 月开始在暗网销售,有开发团队定期更新。分析显示,该恶意软件目前具有多个版本,主要攻击包括英国、荷兰、印度与俄罗斯在内的用户设备。 研究人员发现,虽然恶意软件 Ovidiy Stealer7 单一可定制的版本价格低廉,但目标系统可执行文件仍然能够被攻击者加密并难以检测与分析。此外,恶意软件的窃取功能攻击多个应用程序与浏览器(包括 Google Chrome、Opera、FileZilla、Amigo、Kometa、Torch与Orbitum),不过网络犯罪分子也可购买仅在单个浏览器上运行的版本。目前,恶意软件正通过恶意电子邮件附件、下载恶意链接、虚假软件或各文件托管网站上的工具分发传播。 网络钓鱼攻击平台 Hackshit Netskope Threat 研究人员发现的另一种新 Phishing-as-a-Service(PhaaS)平台 Hackshit,为初学网络犯罪分子提供了低成本的 “ 自动化解决方案 ”,允许窃取用户登录凭据及其他敏感信息。 Hackshit 允许网络犯罪分子为多个目标站点(包括 Yahoo、Facebook与Google Gmail)生成独特网络钓鱼页面。 另外,Hackshit 还能够利用 Let’s Encrypt 颁发的 SSL 证书为 Web 服务器提供免费 SSL / TLS凭证,使假冒网站看起来更为逼真。 原作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

据外媒 7 月 14 日报道,网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件,系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。 NemucodAES 是 Nemucod 木马下载器的新变种,早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件,攻击者不仅可用于实施欺诈,还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。 调查显示,垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知,以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求,从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密,将被要求缴纳约 1,500 美元赎金。不过,由于恶意 JavaScript 文件极易检测识别,因此用户系统的安全软件将会自动筛选过滤,以防系统下载勒索软件。 Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动,似乎仅限于检查并输出命令与控制流量,与其他恶意软件相关的典型欺诈流量相比截然不同。目前,研究人员尚不清楚攻击者的真正意图。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新 PoS 端恶意软件 LockPoS 利用僵尸网络肆意传播

据外媒 7 月 13 日报道,Arbor Networks Security 安全研究人员发现一款新 PoS 端恶意软件 LockPoS ,它能够利用僵尸网络 Flokibot 针对巴西用户使用的命令与控制(C&C)基础设施展开攻击活动。 Flokibot 是一款银行木马程序。自 2016 年 9 月起就已在暗网中出售。这款恶意软件由网络犯罪分子根据 2011 年泄露的 GameOver Zeus (宙斯病毒)源代码研发。 研究人员表示,LockPoS 最后一次编译于今年 6 月,并使用恶意木马 dropper 直接注入 explorer.exe 进程中肆意传播。值得注意的是,LockPoS 必须手动加载执行,然后通过从自身提取的多个组件继续下载以充当第二阶段加载器。紧接着,恶意代码将进行解密、解压与加载最终版本的 LockPoS payload。 恶意软件 LockPoS 通过 HTTP 与 C&C 服务器进行通信。一旦感染目标系统,就会向服务器发送用户名、计算机名、bot ID、bot 版本(1.0.0.6)、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。监控数据显示恶意软件 LockPoS 通过 Flokibot 僵尸网络侧重攻击巴西用户系统设备。目前,研究人员尚未调查清楚 LockPoS 是否与其他恶意软件攻击者有关、是否会在暗网中进行出售。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

远程访问木马 Adwind 卷土重来,威胁多国航空航天工控系统

据外媒 7 月 11 日报道,趋势科技( Trend Micro )安全专家发现远程访问木马 Adwind 卷土重来,威胁瑞士、奥地利、乌克兰、美国等国航空航天工控系统。 Adwind 是一款采用 Java 编写的跨平台远程访问木马,曝光于 2012 年初,能够使受感染的 Windows、Mac、Linux 与 Android 等主流操作系统设备沦为肉鸡,用于 DDoS、暴力攻击在内的非法活动。 研究人员于 2017 年 6 月观察到 Adwind 感染数量持续上升,较上月增长 107%。此次攻击目标主要为航空航天企业,瑞士、乌克兰、奥地利与美国堪称重灾区。 调查显示,Adwind 可实现包括登录凭据、键盘记录与截屏窃取以及数据采集、渗透在内的多种功能。此次攻击活动分为两个阶段: 第一阶段( 6 月 7 日),攻击者通过链接使受害者跳转至采用 .NET 编写、具有监控功能的间谍软件; 第二阶段( 6 月 14 日),黑客使用不同域名托管恶意软件与 C&C 服务器。 两起攻击均冒充地中海游艇经纪人协会(MYBA)宪章委员会主席发送垃圾邮件。一旦用户设备遭受感染,恶意代码将收集受害者相关信息,包括已安装的防病毒与防火墙应用程序列表。 考虑到 Adwind 主要攻击向量源自垃圾邮件,用户必须仔细验证邮件来源,谨慎检查包含文档或链接的陌生邮件,及时更新系统与防病毒产品版本。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Petya 勒索软件肆意传播彻底暴露了来自“软件更新”的威胁

在计算机安全建议列表中,用户系统 “ 软件更新 ” 的重要性仅次于 “ 不使用 ‘ password ’ 作密码 ”。不久前,Petya 事件致使全球成千上万的网络系统瘫痪,甚至威胁到银行、企业、交通运输与电力公司基础设施。事实证明,软件自动更新本身就是这一病原载体。网络安全分析师警示,Petya 并非黑客通过劫持软件自身免疫系统传播病毒的唯一或最后一起事件。 安全公司 ESET 与思科 Talos 研究人员上周发表了一份关于黑客入侵乌克兰小型软件公司 MeDoc 网络系统的详细分析报告,指出 80% 的乌克兰企业都在使用该公司出售的一款财务软件。据悉,黑客早在今年 4 月就已开始向软件更新注入恶意代码,传播 MeDoc 软件后门版本。6 月下旬,黑客向软件更新注入 Petya 并从初始 MeDoc 网络入口肆意传播,中断制药巨头 Merck、航运公司 Maersk、乌克兰电力公司 Kyivenergo 与 Ukrenergo 等网络系统。 后门乘法 令人感到不安的不仅包括以数字瘟疫为表征的持续威胁,还包括那些在不自知情况下传播恶意软件的更新。迪拜 Comae Technologies 创始人 Matt Suiche 表示:“ 我想知道是否有类似软件公司遭受攻击,它们极有可能是类似攻击事件的根源。” ESET 还指出,除了 MeDoc 软件,黑客还采用其他手段感染大量乌克兰计算机。调查显示,他们先攻击一家不知名的软件公司并利用其 VPN 连接将勒索软件植入少数目标,随后再将 MeDoc 作为恶意软件传递工具。 约翰霍普金斯大学(John Hopkins University)教授马修·格林(Matthew Green)表示,黑客将软件更新转化为系统漏洞的主要原因可能是 “ 白名单 ” 作为安全措施的现象日益频繁,严格限制了计算机上的安装程序,促使黑客从自行安装恶意软件转为对白名单程序进行劫持。随着企业薄弱环节遭受勒索软件攻击而中止服务,供应商不幸成为后续攻击目标。然而,现有防御措施却极为有限。 目前,开发人员为防止软件更新遭受破坏普遍采取的一项基本安全措施是代码签名,要求使用不可伪造的加密密钥对添加到应用程序的任何新代码进行签名。而 MeDoc 公司系统并未实施代码签名,这将允许任何可拦截软件更新的黑客充当 “ 中间人 ” 并将其改为后门。但即便实施签名,也不意味万无一失,因为有些黑客已深入公司网络,即有机会窃取密钥并针对恶意更新进行签名,或直接将后门添加至可执行程序源代码。 虚假疫苗 据悉,研究人员应阻止用户更新、修补软件或禁用自动更新软件,因为像 Google 与微软这样的大公司面临产品多样化的趋势。此外,通过劫持更新方式传播恶意软件的另一潜在威胁可能就是各企业的过度反应。前 ACLU 技术专家 Chris Soghoian 表示:“ 让消费者质疑安全更新的后果可能更为严重。” 代码签名无疑会使软件更新复杂化。为了破坏代码,黑客需要对目标公司具有更深层的访问权限。这意味着从 Google Play Store 或 Apple App Store 下载或更新的签名软件相对更加安全,但这并不等于 App Store 不存在安全隐患。在高度敏感的网络环境中,即使是 “ 可信 ” 应用程序也不应完全信任。即系统管理员需要对网络系统进行详细划分,限制被列入白名单的软件权限并对文件进行及时备份,积极应对任何勒索软件爆发事件。 原作者:Andy Greenberg,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Android 间谍软件监视 40 余款流行应用

安全公司 Palo Alto Networks 研究人员报告指出一种主要流行针对中国用户的恶意 Android 木马 SpyDealer,该恶意程序设计窃取 40 余款流行应用的数据。目前,虽然研究人员已通知 Google ,但该恶意程序并非通过 Google Play 商店传播。 研究人员表示,有证据显示 SpyDealer 能通过被入侵的无线网络感染中国 Android 用户。一旦感染,它会利用商业 root 工具 Baidu Easy Root 获取设备的 root 权限,滥用  Android Accessibility Service 功能从应用且其敏感信息,大量收集用户信息,包括 IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的 Wi-Fi 信息。 此外,SpyDealer 能自动响应特定号码,通过  UDP、TCP 和 SMS 渠道远程控制设备,用麦克风和摄像头记录附近视频、音频、拍照和屏幕截图。还能从 40 多款流行应用中提取个人信息,这些应用包括微信、Facebook、WhatsApp、飞信、人人等社交软件。SpyDealer 最早版本现身于 2015 年,目前仍然在活跃更新,最新版本于五月释出。 稿源:Solidot奇客,封面源自网络

卡巴斯基证实:Petya 勒索软件原作者在线免费发布解密密钥

据外媒 7 月 7 日报道,早期版本的 Petya 勒索软件开发人员 Janus 在线免费发布了解密密钥,旨在关闭 Petya 项目、恢复受害者已被感染的加密文件。 调查显示,Janus 并未参与针对乌克兰的最新攻击,此次勒索软件系由未知黑客盗版并加以传播利用的。安全公司 MalwareByte 发布声明,指出由于勒索软件 Petya 肆意传播,Janus 决定关闭 Petya 项目,并在线发布该勒索软件解密密钥,允许以前遭受 Petya 攻击的所有受害者恢复文件。 卡巴斯基(KasperskyLab)研究人员证实,Janus 发布的解密密钥可恢复被早期版本的 Petya 勒索软件 与 GoldenEye 勒索软件感染的加密文件。GoldenEye 是 Janus 于 2016 年创建的一款基于 Petya 代码的勒索软件,由某未知名黑客于 2017 年盗取编译应用程序并进行修改与传播。 研究人员推测,早期版本的 Petya 源代码从未在线公开泄漏过,若黑客能够重新进行编译,或间接证明 Janus 以某种方式与当前爆发的攻击活动相关(这是他的工作或他已将代码出售给另一名攻击者)。目前专家证实,黑客在大规模的 NotPetya 攻击中使用了基于 GoldenEye 代码的被盗版本勒索赎金。但不同于以前的版本,NotPetya 变体未实现解密文件功能。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。