分类: 恶意软件

Android 银行木马源码已被公开,全球用户面临更多威胁

安全公司 Doctor Web 警告称,Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内,Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来,犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后,木马会尝试诱骗用户授予其管理权限,并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制(C&C)服务器,并可以执行以下操作: 发送短信; 拦截 SMS 消息; 请求管理员权限; 发送 USSD 请求; 获取所有联系人列表电话号码; 向所有联系人列表发送指定文本的 SMS 消息; 通过 GPS 卫星跟踪设备、获取地理定位; 显示网络钓鱼对话框; 窃取敏感信息,如银行详细信息和信用卡数据。 木马监控着三十多个网上银行应用程序和支付系统软件,如 Facebook、Instagram、WhatsApp、YouTube 、谷歌 Play 商店等。一旦发现目标程序启动,它会自动在屏幕上加载网络钓鱼表单,等待受害者输入银行帐户及密码,从而窃取信用卡信息。木马还可以截取银行发送的通知短信,悄无声息转走余额。用户在应用商店下载 APK 时必须谨慎小心,以防感染木马。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新 Mac 恶意软件使用“古老”代码针对研究机构进行间谍活动

安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。 Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的详细信息:IPv6 和 IPv4 地址、网络名称、使用的端口等,“ afpscan ”脚本还试图连接其他设备。 有趣的是,恶意软件使用了很多“古老”的代码来执行这些命令。比如,恶意软件使用了 libjpeg 开源代码,该代码最后一次更新是在 1998 年。 古老的系统调用函数: SGGetChannelDeviceList SGSetChannelDevice SGSetChannelDeviceInput SGInitialize SGSetDataRef SGNewChannel QTNewGWorld SGSetGWorld SGSetChannelBounds SGSetChannelUsage SGSetDataProc SGStartRecord SGGetChannelSampleDescription 尽管恶意软件使用了很多老式且不复杂的技术,但是却实现了现代间谍软件的常用功能。该恶意软件的代码最新可追溯到 2015 年 1 月,但直达今年才被发现。 在过去几年中,有许多关于国外黑客入侵、窃取美国和欧洲科学研究的报道。虽然该恶意软件明确针对生物科技研究机构从事间谍活动,但就从 C&C 服务器 IP 地址:99.153.29.240 、动态 DNS 地址 eidk.hopto.org 以及代码上来看,还没有证据表明恶意软件与特定的黑客组织有关联。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

iOS 10 新漏洞曝光:一条短信可让 iPhone 死机

现在手机收到的骚扰短信比以前少很多了,但是收到骚扰短信仍是件令人很苦恼。尤其是,如果收到某些特殊字符组成的短信,你的 iPhone 可能会立刻崩溃。YouTube 频道 EverythingApplePro 称,只要向使用 iOS 10系统的 iPhone 手机发送一个白旗表情符号+一个“ 0 ”+一个彩虹表情符号组成的文本,这部手机就会短暂死机。 事实上,无论对方是否打开这条信息,手机都会在收到这条短信后立刻死机。 好在要制作和发送这样的短信并不容易,需要专门编辑,所以不必过于担心。除此之外,即便已经因此死机,手机也会最终恢复正常或者重启。 稿源:cnbeta,有删改,封面来源:百度搜索

黑客组织 Carbanak 使用 Google 服务监控恶意软件 C&C 通信,隐蔽性更高

臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测,近日安全公司 Forcepoint 发现,黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量,减少被发现的几率。 该恶意软件归属于黑客组织 Carbanak (也称为 Anunak )。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。   Forcepoint 安全实验室发现,犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象,其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本( VBScript )。当用户打开文档时,他们将看到一个图像,该图像旨在隐藏文件中嵌入的 OLE 对象,并诱使受害者双击打开它。 越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件,而不是现在烂大街的宏功能。 研究人员还发现了一个“ ggldr ”脚本模块,该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户,系统都会动态创建一个唯一的 Google Sheets spreadsheet,以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系,C&C 会回应不存在该用户信息。接下来,恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求,为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时,C&C 会回应这些详细信息。 由于很多企业机构都使用 Google 服务,所以一般都不会拦截合法的 Google 流量,从而大大增加攻击者成功建立 C&C 通信渠道的可能性。   稿源:HackerNews.cc 翻译整理,封面:securityaffairs 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

RIG 工具包利用旧版本软件漏洞,无需点击即可传播勒索软件 Cerber

安全公司 Heimdal Security 的专家称,新恶意广告活动利用 “RIG 漏洞利用工具”针对浏览器旧版本软件漏洞传播勒索软件 Cerber ,此过程无需用户任何点击。 攻击者首先会在利用网站漏洞注入恶意脚本,当受害者浏览合法网站时,无需点击任何链接网站会自动跳转至攻击者的网站,并利用 RIG Exploit kit 扫描设备是否存在旧版本的应用程序:Flash Player,、Silverlight、IE、Edge ,之后利用软件漏洞安装勒索软件 Cerber 。 RIG 漏洞利用工具涉及的漏洞: CVE-2015-8651 CVE-2015-5122 CVE-2016-4117 CVE-2016-1019 CVE-2016-7200 CVE-2016-7201 CVE-2016-3298 CVE-2016-0034 虽然许多互联网用户仍然选择忽略软件更新,但往往网络犯罪分子就是利用软件漏洞进行破坏。广大网民应及时更新软件,避免受到损失。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Ploutus 新变种出现:可影响中国在内至少 80 个国家 ATM 设备

安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ,恶意软件已感染了拉丁美洲的 ATM 系统。 2013 年恶意软件 Ploutus 首次在墨西哥被发现,是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件,操作 ATM 系统窃取现金。 FireEye 实验室分析变种代码后发现,新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM 平台目前被至少 80 个国家 40 多个不同厂商使用,潜在影响范围或将扩大。 ATM 软件供应商 KAL 公司的 “Kalignite ATM” 软件平台,基于 XFS 标准、适用于 Windows 10,Windows 8,Windows 7 和 XP ,系统功能丰富可满足所有类型的 ATM 自助服务。 KAL 公司的软件也被中国金融机构广泛使用,国内客户列表包含:中国工商银行、中国建设银行、交通银行、深圳发展银行、兴业银行( CIB )、中国光大银行、平安银行等。 新恶意软件 Ploutus-D 版本改进点有: 它适用于 Kalignite 多供应商 ATM 平台。 它可以运行在 Windows 10,Windows 8,Windows 7 和 XP 操作系统的 ATM 上。 它被配置为控制 Diebold ATM。 它有一个不同于 Ploutus 的 GUI 界面。 它配备一个启动器,尝试识别和杀死安全监控进程,以避免检测。 它采用了更强大的 .NET 混淆器。 Ploutus 和 新版本 Ploutus-D 之间的共性有: 主要目的是清空 ATM,不需要插入 ATM 卡。 攻击者必须使用外部键盘连接 ATM 并与恶意软件进行交互。 激活码都是由攻击者自己生成,且有效期只有 24 小时。 两者都是在 .NET 中创建的。 可以作为 Windows 服务或独立应用程序运行。 恶意软件会将自己添加到“ Userinit ”注册表项中,以便在每次重新启动都可执行,密钥位于: \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit。 攻击者必须将键盘连接到 ATM USB 或者 PS/2 接口与启动器进行交互。一旦启动器安装完成,便可通过外部键盘的“ F 组合键”发出指令。 Ploutus-D 可以允许攻击者在几分钟内窃取数千美元,作案时间相当短从而降低在窃取钱财时被捕的风险。不过,要打开 ATM 以露出 USB 或者 PS/2 接口还是有些难度的,是撬开 ATM 还是在机箱上钻洞呢? 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

英国最大 NHS 信托医院感染恶意软件,电脑设备被迫离线

据外媒报道,上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统,导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS (英国国家医疗服务)信托机构,负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施,而此前关于勒索软件大爆发的消息或有误传。目前病人的护理并没有受到影响,官方也已发布相关声明指出: 本月 13 日,Barts Health 意识到遭受了网络攻击、紧急启动调查程序,并使一些机器离线作为预防措施。当前确认 Cerner Millennium 患者管理系统和用于放射治疗的临床系统不受影响。相关部门也已制定应急方案尽一切努力确保患者护理不受影响。 Check Point 的北欧威胁预防负责人 Aatish Pattni 表示,电脑设备感染恶意软件可能是来自员工不小心点击电子邮件中的错误链接造成,又或者是黑客的针对性网络攻击导致。 英国国家医疗服务( NHS )医院很少感染恶意软件,但并不等于没有。Barts 本身也曾经是恶意软件的受害者,2008 年 11 月,Barts 三家医院的 PC 系统感染 MyTob 蠕虫被迫离线,甚至短暂扰乱了救护车路由器与医院管理系统的运行。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

洛杉矶学院感染勒索软件被迫支付近三万美金

洛杉矶山谷学院( LAVC )感染勒索软件,IT 系统网络无法使用。七天后,学院无奈只得支付 28000 美元赎金解密文件、恢复正常教学秩序。 事件发生在新年之夜,洛杉矶山谷学院的网络、财务系统、电子邮件和语音邮件系统都遭到破坏,1800 名学生和员工无法正常学习和工作。黑客给了学院一周时间去支付赎金,并威胁不支付赎金将删除解密密钥。然而,遗憾的是,该学院像之前大多数受害者一样没有备份数据。最终在多方的压力下,洛杉矶学院只能同意支付赎金,以便迅速恢复系统和数据、开展教学。 据学校高层透露,他们之所以支付赎金重要的一点是,赎金成本比删除未知的勒索软件病毒以恢复数据和其他服务的成本低得多。不过,这种缴纳赎金的事情还是需要慎重考虑。最近亦有外媒报导 勒索软件 KillDisk 勒索 21.8 万美元巨额赎金,付款后却无法恢复文件的情况。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

当心“教育部”电子邮件,校长中招感染勒索软件需付七万赎金

英国欺诈与网络犯罪举报中心“ Action Fraud ”向教育部门发出勒索软件警告:欺诈分子正冒充政府官员,诱骗教育机构工作人员安装勒索软件,加密文件并勒索 8000 英镑( 6.7 万人民币)赎金。 欺诈分子打电话声称来自教育部“ Department of Education ”并索要个人、校长或财务管理员的电子邮件和电话号码。 之后,欺诈分子解释称需要直向校长接发送表格文件,这些文件是用来指导心理健康评估的相关工作,由于文件包含敏感信息,所以不能直接发送到学校公共邮箱。邮件附件的压缩包中含有伪装成 EXCEL 和 Word 的勒索软件,成功感染电脑的勒索软件会加密文件并索要高达 8000 英镑的赎金。欺诈分子还会冒充公司、养老金部门、电信提供商进行此类诈骗。 防范措施: ○ 英国“教育部”名称为“ Department for Education ”而不是“ Department of Education ”,工作人员应保持严谨的态度进行查证,提高警惕。 ○ 不要点击任何不可信或者是异常邮件 ○ 定期备份重要数据 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新勒索软件 FireCrypt 另类特性可实现 DDoS 攻击

MalwareHunterTeam 的安全研究人员发现,勒索软件变种 FireCrypt 自带了某些新功能,允许攻击者发动小规模的 DDoS 攻击。 勒索功能 一旦,恶意 EXE 文件被触发,FireCrypt 将杀死计算机的任务管理器( taskmgr.exe )并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名。加密完成后会索要 500 美元赎金。FireCrypt 和勒索软件 Deadly 源代码很相似,都使用源代码的电子邮件和比特币地址,很有可能是 Deadly 的升级版。 DDoS 功能 FireCrypt 源码中含一个硬编码的 URL 地址,勒索软件会不断地连接该 URL 下载相应内容并存储在 %Temp% 磁盘文件名下,同时命名为 [random_chars]-[connect_number].html 。 该 URL 为巴基斯坦电信管理局的官网地址,勒索软件作者称该功能为“ DDoSer ”并希望借此发动 DDoS 攻击,不过感染设备至少要达到上万台才能达到攻击效果。 目前,还没有安全公司发布解密工具。如果受害者不希望支付 500 美元赎金迅速解密文件,则需耐心等待解密工具公布并保留好被加密文件的副本。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。