分类: 恶意软件

特朗普就职前,华盛顿近 70% 监控设备曾被黑客控制

据 华盛顿邮报 27 日报道,就在特朗普就职前八天,华盛顿地区 70% 监控摄像数据存储设备遭到黑客攻击、感染勒索软件,全市迫使重新安装监控设备。 勒索软件是目前最常用的黑客攻击手段之一。黑客会诱使用户点击链接或打开电子邮件附件(如 PDF )使计算机感染恶意软件。感染勒索软件的计算机文件会被加密或锁定,直到用户支付赎金(通常是比特币)为止。 市政府官员上周五表示,勒索软件使监控设备丢失 1 月 12 日至 15 日之间的数据。1 月 12 日华盛顿警方注意到 4 个网络监控摄像头无法正常工作并上报相关部门, 技术人员在录音设备中发现了两种勒索软件,随后发起了全市范围内的网络扫描从而发现更多受感染设备。警方透露网络攻击影响了整个城市闭路电视系统中 187 部录像机中的 123 部,由于发现及时勒索软件并未大规模扩散。 据悉,华盛顿政府方面此次没有选择支付赎金,而是通过使设备脱机、删除所有软件且在每个站点重新启动系统解决问题。 近几年来,公共设备遭遇网络攻击事件屡见不鲜,去年 11 月就曾发生过旧金山公共交通系统 感染勒索软件导致整个地铁售票系统停止工作的情况。此前早有多位安全专家感叹:物联网设备目前抵御网络攻击的水平实在堪忧。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器

据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

研究发现众多 Android VPN 应用含有恶意间谍软件

越来越多的国家开始屏蔽盗版网站,也促使越来越多的人寻找 VPN 之类的工具绕过屏蔽。然而对 Android 用户而言,使用 VPN 应用需要谨慎,来自澳大利亚和美国的研究人员发现有大量的Android VPN 应用含有间谍软件、病毒和其它恶意的广告软件。 在他们分析的 283 款 VPN 应用中有 38% 含有恶意代码,这些应用的下载量有的多达上百万。研究人员发现,超过 80% 的应用会访问用户的敏感信息,如用户数据和短信;五分之一的 VPN 应用提供商没有加密流量;名叫 sFly Network Booster 的应用含有间谍软件,能访问甚至转发短信;OkVpn 和 EasyVPN 会在其它应用上展示广告;许多不安全的 VPN 应用已经从商店下架,但还有很多仍然留在应用商店内。 稿源:solidot奇客;封面:百度搜索

HummingBad 变种卷土重来,再次成功渗透 Play 商城

Android 用户想要减少中招几率,常规建议是只通过 Google Play 商城下载和安装应用程序,尽量减少或者不使用其他第三方下载途径。去年爆发的 HummingBad,让我们知道 Play 商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生 30 万美元的营收,感染用户数量已经超过 8500 万台,在 Check Point 公布的“全球最流行恶意软件”排行中位居第四。现在,这款恶意软件卷土重来,在Google Play商城上已经找到新变种–HummingWhale。 援引 Check Point 报道,目前已经有多款应用被 HummingWhale 所感染,在应用商城中假冒中国开发者名字进行发布。受感染的应用通常采用这样的结构,com.[name].camera(例如  com.bird.sky.whale.camera 和 com.color.rainbow.camera),但是应用名称都不相同。 Check Point 指出这些应用中都包含一个 1.3MB 的加密文件–“assets/group.png”,通 HummingBad 的 “file-explorer” 文件相似。这实际上是一个 APK 安装文件,允许在受害 Android 设备上下载和安装其他应用。 这款恶意程序使用 DroidPlugin 的 Android 框架,显示各种虚假广告,或者创建一个虚假的引荐 ID 来为攻击者利用盈利。通过对文件头的深入分析,相信 HummingBad 的幕后团队是 Yingmob。目前 Google Play 上已经有 40 款应用在传播这款恶意程序。 稿源:cnbeta,有删改,封面来源:百度搜索

Android 银行木马源码已被公开,全球用户面临更多威胁

安全公司 Doctor Web 警告称,Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内,Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来,犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后,木马会尝试诱骗用户授予其管理权限,并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制(C&C)服务器,并可以执行以下操作: 发送短信; 拦截 SMS 消息; 请求管理员权限; 发送 USSD 请求; 获取所有联系人列表电话号码; 向所有联系人列表发送指定文本的 SMS 消息; 通过 GPS 卫星跟踪设备、获取地理定位; 显示网络钓鱼对话框; 窃取敏感信息,如银行详细信息和信用卡数据。 木马监控着三十多个网上银行应用程序和支付系统软件,如 Facebook、Instagram、WhatsApp、YouTube 、谷歌 Play 商店等。一旦发现目标程序启动,它会自动在屏幕上加载网络钓鱼表单,等待受害者输入银行帐户及密码,从而窃取信用卡信息。木马还可以截取银行发送的通知短信,悄无声息转走余额。用户在应用商店下载 APK 时必须谨慎小心,以防感染木马。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新 Mac 恶意软件使用“古老”代码针对研究机构进行间谍活动

安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。 Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的详细信息:IPv6 和 IPv4 地址、网络名称、使用的端口等,“ afpscan ”脚本还试图连接其他设备。 有趣的是,恶意软件使用了很多“古老”的代码来执行这些命令。比如,恶意软件使用了 libjpeg 开源代码,该代码最后一次更新是在 1998 年。 古老的系统调用函数: SGGetChannelDeviceList SGSetChannelDevice SGSetChannelDeviceInput SGInitialize SGSetDataRef SGNewChannel QTNewGWorld SGSetGWorld SGSetChannelBounds SGSetChannelUsage SGSetDataProc SGStartRecord SGGetChannelSampleDescription 尽管恶意软件使用了很多老式且不复杂的技术,但是却实现了现代间谍软件的常用功能。该恶意软件的代码最新可追溯到 2015 年 1 月,但直达今年才被发现。 在过去几年中,有许多关于国外黑客入侵、窃取美国和欧洲科学研究的报道。虽然该恶意软件明确针对生物科技研究机构从事间谍活动,但就从 C&C 服务器 IP 地址:99.153.29.240 、动态 DNS 地址 eidk.hopto.org 以及代码上来看,还没有证据表明恶意软件与特定的黑客组织有关联。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

iOS 10 新漏洞曝光:一条短信可让 iPhone 死机

现在手机收到的骚扰短信比以前少很多了,但是收到骚扰短信仍是件令人很苦恼。尤其是,如果收到某些特殊字符组成的短信,你的 iPhone 可能会立刻崩溃。YouTube 频道 EverythingApplePro 称,只要向使用 iOS 10系统的 iPhone 手机发送一个白旗表情符号+一个“ 0 ”+一个彩虹表情符号组成的文本,这部手机就会短暂死机。 事实上,无论对方是否打开这条信息,手机都会在收到这条短信后立刻死机。 好在要制作和发送这样的短信并不容易,需要专门编辑,所以不必过于担心。除此之外,即便已经因此死机,手机也会最终恢复正常或者重启。 稿源:cnbeta,有删改,封面来源:百度搜索

黑客组织 Carbanak 使用 Google 服务监控恶意软件 C&C 通信,隐蔽性更高

臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测,近日安全公司 Forcepoint 发现,黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量,减少被发现的几率。 该恶意软件归属于黑客组织 Carbanak (也称为 Anunak )。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。   Forcepoint 安全实验室发现,犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象,其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本( VBScript )。当用户打开文档时,他们将看到一个图像,该图像旨在隐藏文件中嵌入的 OLE 对象,并诱使受害者双击打开它。 越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件,而不是现在烂大街的宏功能。 研究人员还发现了一个“ ggldr ”脚本模块,该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户,系统都会动态创建一个唯一的 Google Sheets spreadsheet,以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系,C&C 会回应不存在该用户信息。接下来,恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求,为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时,C&C 会回应这些详细信息。 由于很多企业机构都使用 Google 服务,所以一般都不会拦截合法的 Google 流量,从而大大增加攻击者成功建立 C&C 通信渠道的可能性。   稿源:HackerNews.cc 翻译整理,封面:securityaffairs 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

RIG 工具包利用旧版本软件漏洞,无需点击即可传播勒索软件 Cerber

安全公司 Heimdal Security 的专家称,新恶意广告活动利用 “RIG 漏洞利用工具”针对浏览器旧版本软件漏洞传播勒索软件 Cerber ,此过程无需用户任何点击。 攻击者首先会在利用网站漏洞注入恶意脚本,当受害者浏览合法网站时,无需点击任何链接网站会自动跳转至攻击者的网站,并利用 RIG Exploit kit 扫描设备是否存在旧版本的应用程序:Flash Player,、Silverlight、IE、Edge ,之后利用软件漏洞安装勒索软件 Cerber 。 RIG 漏洞利用工具涉及的漏洞: CVE-2015-8651 CVE-2015-5122 CVE-2016-4117 CVE-2016-1019 CVE-2016-7200 CVE-2016-7201 CVE-2016-3298 CVE-2016-0034 虽然许多互联网用户仍然选择忽略软件更新,但往往网络犯罪分子就是利用软件漏洞进行破坏。广大网民应及时更新软件,避免受到损失。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Ploutus 新变种出现:可影响中国在内至少 80 个国家 ATM 设备

安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ,恶意软件已感染了拉丁美洲的 ATM 系统。 2013 年恶意软件 Ploutus 首次在墨西哥被发现,是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件,操作 ATM 系统窃取现金。 FireEye 实验室分析变种代码后发现,新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM 平台目前被至少 80 个国家 40 多个不同厂商使用,潜在影响范围或将扩大。 ATM 软件供应商 KAL 公司的 “Kalignite ATM” 软件平台,基于 XFS 标准、适用于 Windows 10,Windows 8,Windows 7 和 XP ,系统功能丰富可满足所有类型的 ATM 自助服务。 KAL 公司的软件也被中国金融机构广泛使用,国内客户列表包含:中国工商银行、中国建设银行、交通银行、深圳发展银行、兴业银行( CIB )、中国光大银行、平安银行等。 新恶意软件 Ploutus-D 版本改进点有: 它适用于 Kalignite 多供应商 ATM 平台。 它可以运行在 Windows 10,Windows 8,Windows 7 和 XP 操作系统的 ATM 上。 它被配置为控制 Diebold ATM。 它有一个不同于 Ploutus 的 GUI 界面。 它配备一个启动器,尝试识别和杀死安全监控进程,以避免检测。 它采用了更强大的 .NET 混淆器。 Ploutus 和 新版本 Ploutus-D 之间的共性有: 主要目的是清空 ATM,不需要插入 ATM 卡。 攻击者必须使用外部键盘连接 ATM 并与恶意软件进行交互。 激活码都是由攻击者自己生成,且有效期只有 24 小时。 两者都是在 .NET 中创建的。 可以作为 Windows 服务或独立应用程序运行。 恶意软件会将自己添加到“ Userinit ”注册表项中,以便在每次重新启动都可执行,密钥位于: \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit。 攻击者必须将键盘连接到 ATM USB 或者 PS/2 接口与启动器进行交互。一旦启动器安装完成,便可通过外部键盘的“ F 组合键”发出指令。 Ploutus-D 可以允许攻击者在几分钟内窃取数千美元,作案时间相当短从而降低在窃取钱财时被捕的风险。不过,要打开 ATM 以露出 USB 或者 PS/2 接口还是有些难度的,是撬开 ATM 还是在机箱上钻洞呢? 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。