分类: 恶意软件

Mac 恶意程序在 13 年中偷拍了百万用户的照片

安全研究人员去年报告发现了一种神秘的 Mac 恶意程序,它能截屏、记录按键,访问摄像头和获取其它敏感信息。被称为 Fruitfly 的恶意程序的活跃时间至少五年,甚至可能长达十年。现在,根据本周公开的起诉书,该恶意程序存在有 13 年之久。 被告 Phillip R. Durachinsky 使用该恶意程序启动摄像头和麦克风,拍摄和下载截屏、记录按键、窃取税务和医疗记录,照片、互联网搜索和银行交易,恶意程序甚至会在用户搜索色情时警告他。 恶意程序感染了包括个人,警方甚至美国能源部的计算机。 起诉书称,Durachinsky 甚至开发了一个控制面板,让他能同时浏览多个感染计算机的实况画面。起诉书称,他还制作了未成年人性行为的图像。 稿源:cnBeta、solidot,封面源自网络;

PoS 端恶意软件 LockPoS 携手新型代码注入技术,通过内存窃取信用卡数据

外媒 1 月 10 日消息, 以色列网络安全公司 Cyberbit 发现 PoS 端恶意软件 LockPoS 利用新型代码注入技术窃取信用卡数据。据研究人员介绍, 一旦系统受到感染 , LockPoS 将试图获得访问权限以读取当前使用进程的内存,从而开始搜集信用卡数据并将其发送到命令和控制服务器中。 Cyberbit 的研究人员观察到 LockPoS 使用的新技术与僵尸网络 Flokibot 之前使用的注入技术在源码上多有相似之处。但值得注意的是,LockPoS 使用了不同的技术和例程来解压缩和解密,以便于调用与 Flokibot 相关的 API 。 据悉,LockPoS 使用了三个主要的例程(routines),用于将代码注入到远程进程中:NtCreateSection,NtMapViewOfSection 和 NtCreateThreadEx。而这三个例程均从 ntdll.dll 中导出。研究人员表示, LockPoS 利用的新技术涉及使用 NtCreateSection 在内核中创建一个节对象 ,然后调用 NtMapViewOfSection 将该节的视图映射至另一个进程,之后再将代码复制到该节中并创建一个远程线程来执行映射的代码。但研究人员称 LockPoS 并不会直接从 ntdll 调用例程来注入代码,而是将磁盘上的 ntdll 例程映射到虚拟地址空间。 这样一来,LockPoS 会保留一个干净的 dll 副本,并且可以避免反病毒检测。 目前来说,由于 Windows 10 内核功能无法被监控,改进内存分析可能是唯一有效的检测方法。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜被发现利用恶意程序挖掘门罗币

安全公司 AlienVault 的研究人员发现了挖掘门罗币的恶意软件,并追踪到挖掘出来的资金流入了一家朝鲜大学。这显示出,随着制裁迫使朝鲜寻找替代收入来源,朝鲜黑客盯上了数字货币。 挖掘出的资金会自动流入一个域名属于金日成大学的服务器,黑客想取得这些资金要键入三个字母的密码:KJU,这可能是朝鲜领导人金正恩 ( Kim Jong Un ) 名字的首字母。恶意程序的代码写的并不高明,意味着这更可能是一个在校生干的,而不是朝鲜精英黑客组织 “ Lazarus ” 所为。 网络安全研究人员说,近几个月来,平壤黑客专门针对门罗币,他们在受感染的银行和私人公司服务器上猎寻该加密货币。 稿源:cnBeta、solidot,封面源自网络;

黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种

据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计:受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用: 一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

三年后的今天,数百网站仍潜伏着 WordPress 恶意插件

据外媒 12 月 26 日报道,WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码,导致网站信息泄露。目前,WordPress 团队已经提供了应对措施。 WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码,能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接,从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底,官方才从目录中删除了这些恶意插件。 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改,导致原本已屏蔽的旧插件页面仍然可见,并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。 为了保护用户免受恶意插件的侵害,一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者,但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于,它造成了一种道德和法律上的两难境地:删除插件能够保护网站免受黑客攻击,但同时也可能对网站一些功能造成破坏。 目前,为了抵御一些主要的安全威胁,WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本,并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全,同时也能保证网站功能不受影。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型挖矿工具 Digmine 利用 Facebook Messenger 进行传播

据外媒 12 月 21 日报道,趋势科技于韩国发现了一个新型的加密货币挖掘工具 Digmine,其主要工作方式是利用假冒视频文件感染用户,并且通过 Facebook Messenger 传播,设法尽可能长时间停留在用户系统中,以便于感染更多的用户设备,从而增加潜在的网络犯罪收入。调查显示,Digmine 目前主要在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰国和委内瑞拉等地区蔓延。 Digmine 在 AutoIt 中编码, 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本,若用户的 Facebook 帐号设置为自动登录,那么 Digmine 将可以操纵 Facebook Messenger,以便将文件的链接发送给该帐号的好友,达到感染更多用户设备的目的。需要注意的的是,虽然 Facebook Messenger 可以在不同的平台上运行,但是 Digmine 仅适用于 Facebook Messenger 的桌面/网页浏览器(Chrome)版本。如果恶意文件在其他平台(如移动平台)上打开,则恶意软件将无法正常工作。   Digmine 挖矿工具被披露后,Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示, 目前 Facebook 维护了许多自动化系统,以帮助阻止有害链接和文件。 研究人员建议,为了避免这些类型的威胁,用户需更加警惕社交媒体帐户的使用:注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。 消息来源: trendmicro,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型恶意软件 Catelites Bot:伪装 2200 多家银行 APP 登录界面进行“屏幕覆盖攻击”

据外媒 12 月 20 日报道,捷克软件公司 Avast 近日发现,一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行(包括桑坦德银行和巴克莱银行等)应用软件,利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出,Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处, 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道,该网络黑帮近期已被警方捣毁,曾利用 “ CronBot ” 木马感染了超过 100 万用户,盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联,但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露,Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来,几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限,然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称,之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户,以便于获取用户名、密码和信用卡信息。(“屏幕覆盖攻击”的典型代表,编者注) 虽然伪造的登录界面和真实的应用程序界面不完全相同,但黑客能够通过广撒网的方式达到目的。通常情况下,新 Android 用户可能更容易受骗上当。 “目前为止, Catelites Bot 恶意软件主要针对的是俄罗斯用户群体,它还处于一个早期测试阶段,或将扩散至全球更大范围,就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外,Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能,如文本拦截(通常需要访问双重验证码)、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议,由于 Catelites Bot 是通过非官方渠道传播的,因此对用户而言将手机设置为仅接受来自官方应用商店(如 Google Play)的应用下载非常重要。同时,通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源: IBTimes,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

研究揭示 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等攻击活动联系紧密

HackerNews.cc 19 日消息,McAfee Labs 通过收集的证据表明 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等其他黑客攻击活动有莫大联系,这些攻击活动在技术、战术和程序方面都非常相似。 赛门铁克今年 9 月发布了关于 “DragonFly 2.0 行动” ——针对数十家能源公司进行黑客攻击的详细分析报告,在对制药、金融和会计行业遭遇过网络攻击案例进一步调查分析后,研究团队发现这些攻击活动在技术、战术和程序方面都存在相似之处(如使用鱼叉式网络钓鱼、特定漏洞攻击和供应链污染等),他们怀疑 “DragonFly 2.0 行动”与 2014 年观察到的 DragonFly 攻击行动背后是同一个黑客组织。 DragonFly 与 TeamSpy 之间的关联 研究人员通过对恶意软件的关联分析,发现前两款恶意软件都使用了 TeamSpy 恶意软件中相同的  TeamViewer(由匈牙利安全公司 Crysys 分析提出)。 TeamSpy 黑客组织攻击过许多高级机构,包括俄罗斯驻华大使馆、 法国和比利时的多个研究和教育机构、一家位于伊朗的电子公司和位于俄罗斯的工业制造商等。 尽管此前的分析报告倾向于将黑客攻击归因于一个或多个黑客组织、认为他们彼此分享了攻击战术和工具,但研究人员同时表示, 黑客组织 TeamSpy 背后的动机与 DragonFly 类似。 DragonFly 与 BlackEnergy 之间的关联 如上图,研究人员发现今年捕获的 DragonFly 恶意软件样本中包含与 2016 年 BlackEnergy 恶意软件相关的代码块。 虽然这种自我删除的代码块在恶意软件中非常常见,但通常是通过创建批处理文件并执行批处理而不是直接调用 delete 命令来实现。 而在通过对比 2015 年 10 月 31 日在乌克兰被捕获的 BlackEnergy 样本代码与 DragonFly 样本后,研究人员发现他们之间的代码几乎都是相同的,因此揭示了 BlackEnergy 和 Dragonfly 之间的相关性。 更多细节内容可阅读: McAfee 报告:《Operation Dragonfly Analysis Suggests Links to Earlier Attacks》 消息来源:Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国国土安全部(DHS)相关部门就恶意软件 HatMan、Triton 等发布工控安全预警

前景提要:网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis 通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。据悉,工业网络安全公司 CyberX 根据种种迹象推测,此次网络攻击事件的幕后黑手可能由伊朗策划,其目标疑似沙特阿拉伯的一家重要机构。美国国土安全部(DHS)的国家网络安全和通信集成中心(NCCIC)周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。 HackerNews.cc 12 月 19 日消息,美国国土安全部(DHS)研究人员于近期在调查时发现另一新型恶意软件 HatMan,旨在针对国家工业控制系统(ICS)展开攻击活动。随后,国家网络安全与通信集成中心(NCCIC)在本周一发布的恶意软件分析报告中提供了缓解措施与 YARA 规则,以便减少国家工控系统的损失。 调查显示,基于 Python 编写的 HatMan 恶意软件主要以施耐德电气的 Triconex 安全仪表系统(SIS)控制器为目标,旨在监控流程并将其恢复到安全状态或在发现潜在危险情况时执行安全关闭。此外,HatMan 还通过专有的 TriStation 协议与 SIS 控制器进行通信,并允许攻击者通过添加新的梯形图逻辑操纵设备。然而,由于黑客在触发 SIS 控制器启动 “安全关闭” 功能后终止了操作,因此FireEye 专家推测攻击者可能是在侦查阶段无意触发了控制器,其最终目标可能只是针对 SIS 造成高强度的物理伤害感兴趣。 施耐德电气的 Triconex 安全检测系统(SIS)控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全连锁和保护、工艺监视,并在必要时安全停车。 值得注意的是,NCCIC 在其报告中指出,该恶意软件主要有两部分组件:一部分是在受损的 PC 端运行后与安全控制器交互,另一块是在控制器上直接运行。研究人员表示,虽然 HatMan 本身并没有做任何危险动作,且被降级的基础设施安全系统也不会直接操作整个控制流程,但倘若存在漏洞的安全系统遭到恶意软件感染则可能会造成极大危害。另外,可以肯定的是,虽然 HatMan 今后可能会成为监控 ICS 的重要工具,但它或许只会被用来影响工业生产流程或者其他危险操作。总而言之,恶意软件中不同组件的构建意味着攻击者需要对 ICS 环境(特别是对 Triconex 控制器)极其熟悉,以及它需要较长的开发周期来完善这类高级攻击手法。 施耐德电气已对此事件展开调查。官方表示目前没有证据表明该恶意软件利用了产品中的任何漏洞。但安全专家还是建议客户切勿轻易将设备置于 “Program” 模式,因为当控制器设置为此“Program” 模式时攻击者就可能通过恶意软件传送 payload。 国家安全局局长 Emily S. Miller 表示:“ 攻击者有能力访问关键基础设施的安全仪器设备,并极有可能针对设备固件进行潜在更改,因此这一提醒给予关键基础设施的所有者与经营者莫大的警示。” 消息来源:Securityweek,译者:青楚,审校:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。