分类: 恶意软件

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

Twitter 清理逾 14.3 万款应用 防止剑桥分析式丑闻

凤凰网科技讯 据《财富》北京时间7月25日报道,Twitter当地时间星期二表示,它在2018年4-6月期间对恶意应用进行了清理,共下架逾14.3万款应用。Twitter曾在一篇博文中称,它“不容忍利用我们的API(应用编程接口)制造垃圾信息、操控会话、借助Twitter侵犯人们的隐私”。 Twitter清理恶意应用正值Facebook的剑桥分析数据泄露丑闻发酵之际。Facebook面临国会议员的激烈批评:没有能阻止一名学术研究人员通过在其平台上开发的一款应用窃取大量用户信息。 与Facebook和谷歌旗下YouTube一样,Twitter也因没有能阻止俄罗斯相关部门在其服务上创建账户,在美国大选期间传播虚假信息受到密切关注。 Twitter没有披露从4月起开始清理其平台上恶意应用的原因,但可能与Facebook的剑桥分析数据泄露丑闻有关。这一丑闻彰显了各大互联网公司平台上第三方应用的普遍性,以及它们对第三方应用开发者如何使用其用户数据漠不关心。 Twitter没有披露被清理的具体应用,但称发送垃圾信息、自动执行恶意操作、监视和侵犯隐私的应用都在被清理之列。 Twitter现在还要求,希望使用“Twitter标准和高级API”的所有开发者都需要完成一个申请过程。 Twitter高管在博文中称,“我们知道,新的过程增加了开发应用所需要的准备步骤和时间。我们的目标是,打造开发者遵守我们相关规则的平台,有利于第三方开发者顺利地开展业务。”   稿源:凤凰网科技,封面源自网络;

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

流氓黑客试图以 5000 万美元出售 iPhone 恶意软件

据外媒BGR报道,大约两年前,安全研究人员发现当时被称为世界上最先进的手机黑客软件。这个工具被称为Pegasus ,是一家名为NSO Group的以色列安全公司的研发成果。通常情况下,NSO Group的商业模式依赖于创建复杂的基于软件的攻击并将其出售给情报机构和外国政府。 不过是什么让Pegasus独一无二呢?那就是它建立在三个iOS零日漏洞之上,让第三方能够窃听目标用户的电话,同时还能密切关注目标用户的位置、截图、照片库、电子邮件及短信等。此外,Pegasus非常容易安装,唯一的要求是通过短信发送一个看似无害的链接。 根据Motherboard早些时候的报道,NSO Group一名流氓员工试图以价值相当于5000万美元的加密货币向未经授权的一方出售高级漏洞。这名雇员后来被指控并被起诉。 根据起诉书,这名未被透露姓名的员工去年开始在NSO Group担任高级程序员。该文件补充说,作为其工作的一部分,该员工可以访问NSO的产品及其源代码。 NSO的计算机有适当的系统来阻止员工将外部存储设备连接到公司的计算机。但是该文件显示,该员工在互联网上搜索了禁用这些保护措施的方法,将其关闭,然后窃取了数据缓存。 当NSO Group被警告其软件可在线购买时,该员工随后被抓获。   稿源:cnBeta,封面源自网络;

安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

凤凰网科技讯 据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。 安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。 该恶意软件被认为是Smoke Loader木马的最新变种之一。从2011年开始,在垃圾邮件网络钓鱼活动中,Smoke Loader类木马病毒一直十分活跃,同时在不断发展变化。这类恶意软件在2018年以来都特别繁忙,包括今年早些时候出现的Meltdown和Spectre等安全漏洞,都是这些恶意木马在作祟。 与许多恶意软件一样,该木马最初发动攻击是通过恶意Word附件进行的,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。 令研究人员感兴趣的是,该Smoke Loader木马在传播过程中使用了最新的“注射技术”——PROPagate。这一技术之前不曾被使用,只是几天前刚刚被发现。至于PROPagate概念,在去年年末才被提出,业界最初将PROPagate描述为一种安全攻击的潜在手段。 虽然仍有大量的Smoke Loader试图将附加的恶意软件发送到受攻击的系统中,但在某些情况下,这些恶意程序正在安装自己的插件,以便直接执行自己的恶意任务。 它们所安装的每一个插件,都被设计用来窃取敏感信息,特别是那些存储在PC上的证书或通过浏览器传输的敏感信息——比如Firefox、IE、Chrome、Opera、QQ等浏览器,以及Outlook和Thunderbird程序,都可被用来窃取数据。 思科Talos安全团队的研究人员表示,“我们已经看到,木马和僵尸网络市场正在不断地发生变化。黑客们正在不断地提升他们的技术,通过不断修改这些技术,以增强绕过安全工具的能力。这清楚地表明,确保我们所有的系统时时刻刻保持最新是多么的重要。” “我们强烈鼓励用户和组织遵循推荐的安全实践,例如及时安装安全补丁,在收到未知第三方消息时保持谨慎,并确保可靠的脱机备份解决方案到位。这些做法将有助于减少攻击威胁,并有助于在遭到任何此类攻击后进行系统恢复,”他们补充说。   稿源:凤凰网科技,封面源自网络;

恶意软件伪装成《堡垒之夜》作弊外挂 作弊者遭感染被投送恶意广告

《绝地求生》《堡垒之夜》这些现象级游戏背后最令人厌恶的非作弊行为莫属,近日有尝试使用作弊外挂的《堡垒之夜》玩家感染恶意软件被劫持用于中间人攻击,注入各类恶意广告,而他们都曾经尝试过下载一款伪装成自瞄功能的外挂软件。 近日,据串流软游戏软件Rainway报道,从6月26日开始他们收到了超过38.1万起错误报告。通过发掘日志公司工程师发现,这些用户尽管有者不同的硬件和IP,但他们都曾经在平台串流玩过《堡垒之夜》,而造成这一异常错误报告现象的原因是这些感染了恶意软件的玩家,发起中间人攻击试图通过Rainway服务器代理向多个广告平台发起连接请求。由于Rainway采用了内部白名单,这些无法连接的请求产生了许多错误报告。工程师通过网址追踪到了这一恶意软件的源头,并且对比数千种外挂插件,找到了使用相同URL的《堡垒之夜》外挂插件。这一外挂插件号称能够提供自瞄功能,并且获得免费的V货币。 而起真实的目的是让作弊者劫持发动中间人攻击,投送多个广告或者恶意网址。工程师发现这一伪装成作弊外挂的恶意软件已经被下载了超过7.8万次。   稿源:cnBeta,封面源自网络;

一款针对比特币的恶意软件已经感染了 230 万用户

近日,据外媒cointelegraph报道,一款针对比特币用户的恶意软件已经感染了230万个目标用户,该软件可以控制windows剪贴板以替换其中内容。 该软件被称为“剪贴板劫机者”,将会秘密在后台运行,并且将用户复制到剪贴板中的比特币地址替换为攻击者的地址,用户就会在不知不觉中粘贴错误地址并为攻击者发送加密货币。 外媒Bleeping Computer指出:“除非用户仔细检查比特币地址,否则他们将不会知道发生了这种替换。” 实际上不仅仅是windows电脑,包括Android智能手机等其他设备都包含着各种漏洞,让比特币用户在交易时出现问题。 外媒提醒比特币用户,一定要仔细检查自己的复制粘贴功能,另外一些硬件钱包(如TREZOR)还会强制用户在生成一个比特币地址时进行仔细检查后才允许操作。   稿源:快科技,封面源自网络;

乌克兰担心俄罗斯将对其发起大型协同式网络攻击

据外媒cnet报道,路透社周二报道,乌克兰公司在它们的计算机系统中发现了越来越多的恶意软件。对此,该国政府认为这些恶意软件是在为未来的一场重大协同式网络攻击做准备。乌克兰网络警察局长Serhiy Demedyuk告诉路透社,他们认为类似于去年遭遇的NotPetya勒索软件病毒将可能再次发生。 当时,这一攻击蔓延全球,影响了丹麦航运巨头Maersk、美国制药公司Merck、澳大利亚吉百利出奇蛋工厂等多家大型公司。该病毒封锁了电脑并要求受害者以比特币的形式支付赎金。美国、乌克兰、英国将这一攻击归咎于俄罗斯政府,对此美国还对俄罗斯进行了制裁。 Demedyuk指出,通过对这些恶意软件的分析以及针对乌克兰的攻击目标,他们发现所有工作都是在一天内完成。另外他还称,入侵的数字指纹将背后黑手指向了俄罗斯。 对此,俄罗斯大使馆和乌克兰国家警察局都未立即置评。   稿源:cnBeta,封面源自网络;

特斯拉起诉前员工:黑进内部生产系统 盗取并泄露机密数据

新浪科技讯 北京时间6月21日凌晨消息,本周三,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名前员工,称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。 据诉讼文件显示,特斯拉起诉了曾在内华达州Tesla Gigafactory超级工厂工作的前过程技术人员马丁·特里普(Martin Tripp)。该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。 特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。 另外,特里普还向媒体发表不实言论。诉讼文件写道:“特里普曾称有缺陷的电池元组被用在了部分特斯拉Model 3车型中,而事实上并没有。特里普还夸大了特斯拉在生产制造过程中生产的有缺陷物料的数量。” 诉讼文件写道:“在特里普加入特斯拉几个月后,特里普的领导认为他的工作绩效不佳,并时常与同事发生冲突。由于这些原因,在2018年5月17日前后,特里普被安排到了新岗位。特里普对此表示不满。” 本周早些时候,特斯拉首席执行官伊隆·马斯克(Elon Musk)在一封发给员工的邮件中提到,有一名员工曾对公司的运营造成“持续性的、蓄意的破坏”。马斯克写道:“他的全部罪行还不清楚,就他已经承认的来说,影响极坏。”   稿源:新浪科技,封面源自网络;