分类: 恶意软件

中国电信(江苏)校园门户提供的“天翼校园客户端”被植入后门,可用于挖矿生产加密货币

虽然虚拟货币受到各种限制约束,但其中蕴含的财富依然让太多人趋之若鹜,甚至做出一些不齿之事,尤其是散播病毒,让中毒者的电脑为自己挖矿。近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的 “天翼校园客户端” 也被植入后门病毒,可接受黑客远程指令,利用中毒电脑刷广告流量,挖矿生产 “门罗币”。 安装包运行后,后门病毒即被植入电脑,随即访问远程 C&C 服务器存放的广告配置文件,然后构造隐藏 IE 浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。安装包整体逻辑如下图所示: 客户端安装后,安装目录中会释放 speedtest.dll 文件,扮演病毒“母体”角色,执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。 解密后的广告刷量模块被执行后,它会创建一个隐藏的 IE 窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。该病毒下载的广告链接有 400 多个。由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。 通过分析病毒的挖矿模块发现,天翼校园客户端挖的是“门罗币”。这是一种模仿“比特币”出现的数字虚拟币,一枚价格接近 500 元。当病毒开始“挖矿”时,用户能观察到计算机 CPU 资源占用飙升,电脑性能变差,发热量上升,电脑风扇此时会高速运行,电脑噪音也会随之增加。 排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。分析结果令人震惊,安全厂商们普遍认为大型互联网公司签名的程序是安全的,但中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。 稿源:cnBeta、快科技,封面源自网络;

安全报告:勒索软件 Matrix 卷土重来,掀起新一轮攻击浪潮

据外媒 10 月 29 日报道,网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来,旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年,但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时,发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初,研究人员以为这是勒索软件研发失败的情景,而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 (CVE-2016-0189)与 Flash 漏洞(CVE-2015-8651)传播恶意代码。 调查显示,当目标设备感染勒索软件 Matrix 时,其恶意代码将会加密受害机器上的所有文件,并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外,该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函,要求受害用户缴纳赎金后才可解密文件。 目前,由于研究人员尚不了解黑客此次攻击的真正意图,因此他们仍在继续展开调查。另外,他们建议用户要想保护自身系统免遭攻击,则需要将计算机上的所有软件更新至最新版本,同时加强系统安全、及时备份设备重要数据。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NotPetya 恶意软件导致默克关闭 HPV 疫苗的生产线

今年上半年爆发的 NotPetya 恶意程序一度导致制药巨头默克停产 HPV 疫苗 Gardasil,迫使该公司借用美国疾病预防控制中心的库存以满足需求。这一消息是默克在其递交到美国证券交易委员会(SEC)的 8-k 季度公报中披露的。 默克在文件中称,它因为 NotPetya 恶意程序感染而遭受严重经济损失,导致第三季度销售和收入减少了数亿美元。默克称网络攻击相关的市场销售损失约 1.35 亿美元,因为恶意程序导致的疫苗停产而导致第三季度销售额减少约 2.4 亿美元。 稿源:solidot奇客,封面源自网络

黑客正通过新型技术分发银行木马 Ursnif 感染日本金融行业

HackerNews.cc  10 月 28 日消息,网络安全公司 IBM 研究团队 X-Force 近期发现黑客正通过新型技术肆意分发银行木马 Ursnif,旨在感染日本金融行业、窃取目标用户敏感信息。据称,黑客主要通过网页注入攻击和页面重定向等操作展开网络钓鱼活动。 银行木马 Ursnif(又名:Gozi)首次于 2007 年在英国的一起网络银行诈骗中发现。随后,该恶意软件源代码于 2010 年意外泄露,并被其他黑客重新利用、创建木马,比如 Vawtrak 和 Neverquest。据悉,除北美、澳大利亚和日本之外,黑客此前还一直瞄准西班牙、波兰、保加利亚和捷克共和国的银行开展网络攻击活动。 知情人士透露,为了能在日本大规模分发 Ursnif 有效负载,其黑客以日本金融服务与信用卡支付通知为主题伪造电子邮件,从而分发恶意软件感染目标企业。研究人员表示,该邮件中包含一份 JavaScript 文件(.zip)。一旦用户点击打开,其系统将重定向至另一恶意页面,从而启动 PowerShell 脚本后从远程服务器上获取有效负载,并与 Ursnif 一起感染用户。 值得注意的是,黑客似乎已经将攻击活动的范围扩展到用户本地网络邮件、云存储、加密货币交易平台和电子商务网站等。另外,黑客在近期的恶意软件 Ursnif 的分发时还使用了一种宏规避技术,即用户在关闭恶意文件后,它会再次启动 PowerShell 脚本获取有效负载。研究人员表示,这种技术可以帮助恶意软件规避安全措施检测。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门继续追查幕后黑手真实身份。此外,研究人员强烈建议受影响的金融行业,其员工不要随意点击未经检验的电子邮件、加强系统防御体系,以便抵御黑客网络钓鱼攻击活动。 原文作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

CSE ZLab 安全报告:发现新型僵尸网络 Wonder 程序踪迹

HackerNews.cc 10 月 23 日消息,CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件,其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统,从而被动参与黑客发起的网络攻击活动。目前,该恶意程序被用于僵尸网络 Wonder 传播。 调查显示,研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此,研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外,该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。(如下图) 对此,研究人员经检验证实,位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是,它的每个链接指的都是原始页面。只要点击一个链接,研究人员就将被重定向至 “support.com” 相应页面。另外,研究人员还发现了一些隐藏的路径,其中包含僵尸程序使用的信息和命令。(如下图) 知情人士透露,该恶意软件由两部分组成: Ο 下载器:它是一个 .NET 可执行文件,其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。 Ο 真正的僵尸程序:当它被下载和执行时,将会感染主机、设置持久机制并启动恶意操作。 CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节,感兴趣的用户可通过以下链接下载完整报告进行查看:《Malware Analysis Report: Wonder Botnet》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

供应链攻击又一例:Mac 专用 Elmedia 播放器和下载管理器 Folx 最新版本感染 OSX.Proper 恶意软件

HackerNews.cc 10 月 21 日消息,网络安全公司 ESET 研究人员近期发现 macOS 平台下的 Elmedia Player 与 Folx 两款应用程序已被植入恶意软件 Proton,旨在窃取目标用户敏感信息后擦除系统访问记录。 恶意软件 Proton 是一款远程访问木马,其最早可追溯至 2016 年,被发现在网络犯罪论坛高价出售。调查显示,该恶意软件具备多种功能,其中包括执行控制台命令、访问用户网络摄像头、击键记录、捕获屏幕截图和打开 SSH / VNC 远程连接。此外,Proton 还可以在用户的浏览器中注入恶意代码,以显示弹出窗口、询问受害者信息,例如信用卡账号及登录凭证等。 值得注意的是,该恶意软件可能会侵入受害者的 iCloud 帐户,即使用户开启了双因素身份验证。知情人士透露,Proton 于三月的售价就已高达 50,000 美元。据悉,ESET 在发现该恶意软件后及时上报至 Elmedia 并帮助其迅速展开补救措施。 研究人员表示,如果用户于 10 月 19 日之前下载了 Elmedia Player 或 Folx 程序,其系统可能会受到影响。不过,用户可对以下文件和目录进行扫描,以检查自身设备安装是否存在恶意软件: /tmp/Updater.app/ /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist /Library/.rand/ /Library/.rand/updateragent.app/ 如果上述任何一份文件或目录受到感染,其恶意软件可以规避受害设备的杀毒软件进行分发传播。目前,Eltima 研究人员表示,受害用户只能通过重新安装系统,才可消除此类感染。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 IOT 僵尸网络神秘来袭,全球百万企业已遭感染

HackerNews.cc 10 月 20 日消息,网络安全公司 Check Point 研究人员近期发现一波新型物联网(IOT)僵尸网络神秘来袭,全球百万企业已被感染,其中美国、澳大利亚等地区受影响情况最为严重且感染数量仍在持续增加。据称,它与此前影响全球的僵尸网络 Mirai 有多数相似之处。 调查显示,该僵尸网络于今年 9 月出现,且可能要比想象的更加复杂。黑客试图利用各种 IP 摄像机模型中的已知漏洞展开攻击,其受影响设备包括 GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys 与 Synology。研究人员推测,一旦目标设备感染恶意软件,其自身就会进行扩展传播。 据悉,研究人员在调查受影响的 GoAhead 设备时发现,攻击者主要通过触发漏洞 CVE-2017-8225 侵入目标设备的 System.ini 文件,并依赖恶意软件感染分发。值得注意的是,攻击者不仅通过系统文件窃取用户凭据,还利用设备 “Netcat” 命令打开设备 IP 、反向 shell。 Check Point 研究人员指出,此次攻击来自不同国家的不同类型设备,其约 60% 的 Check Point ThreatCloud 企业网络遭受感染。目前,他们已在线公布易受攻击的物联网设备列表。虽然尚不了解幕后黑手真正意图,但他们根据证据推测攻击者极有可能发动大规模 DDoS 攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

中国惊现挖矿脚本,浏览器采矿日益流行及恶化

安全专家表示,一开始出现利用访问者浏览器挖门罗币的 JS 脚本时,人们称赞它是一种替代侵入式广告的方式,能为网站带来新的收入。随着嵌入 JS 脚本的网站增加,提供类似服务的 JS 挖矿程序也越来越多。据称,中国也出现了一个叫 ProjectPoi 的挖矿脚本。 目前,有多少嵌入挖矿脚本的网站放弃了广告?多少网站通知了用户或者提供了方法让用户选择关闭挖矿程序?换句话说,很多情况下,这些挖矿脚本的行为就像恶意程序,未经许可侵入用户的计算机和利用计算机资源。对此,广告屏蔽工具现在成了防止劫持 CPU 的安全工具,其浏览器采矿日益流行及恶化。 稿源:solidot奇客,封面源自网络;

Google Play 官方市场再次发现恶意程序 Android.Sockbot

赛门铁克的安全研究人员近期发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。据悉,该恶意程序冒充正规应用感染设备后添加到僵尸网络之中。研究人员发现了至少 8 个应用,其下载量在 60 万至 260 万。 调查显示,恶意软件主要针对美国用户,但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。目前,Google 已经将这些应用移除。对恶意应用的分析发现,应用程序通过 9001 端口与 CC 服务器相连,以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口,之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后,CC 服务器将发出连接目标服务器的命令。 研究人表示,恶意应用程序将连接到所需目标服务器,并开始接收广告列表和相关元数据(广告类型、屏幕尺寸和名称)。该应用程序使用相同的 SOCKS 代理机制,在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。 稿源:solidot奇客,封面源自网络;