分类: 恶意软件

苹果商城发现恶意 Alexa 应用:下架前工具类 App 排行第六

近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。 虽然这款恶意APP已经从App Store下架,但在背后依然存在很多的疑问。首先包含如此明显关键词的APP是如何通过审核上架的?目前外媒编辑在查询后发现App Store上还有两款不太和谐的应用程序,一个为Any Font for Instagram,而另一个为Marketplace  –  Buy / Sell,整体设计非常类似于Facebook。 这款名为“Setup for Amazon Alexa”的APP是由One World Software的,会向用户提交IP地址、序列号和名称。如果你的序列号和IP地址被泄露,那么最终可能会导致第三方恶意干扰。   稿源:cnBeta,封面源自网络;

当心!勒索病毒 WannaCry 仍然潜藏在世界各地的电脑上

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。 WannaCry利用EternalBlue攻击工具对微软Windows操作系统的服务器信息区块(SMB)漏洞展开攻击,而EternalBlue为美国国家安全局(NSA)所开发。 2017年5月12日,WannaCry在欧洲市场率先发难,加密被黑电脑上的文件并勒索赎金,并能主动侦测及入侵网络上其他有漏洞的设备,因此在短短的两天内,便在全球超过150个国家迅速感染了数十万台电脑。此外,今年造成台积电大规模停产的元凶也是WannaCry的变种。 减缓WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人员Marcus Hutchins,他发现了WannaCry的勒索元件有一个“销毁”机制,即WannaCry会连至一个网络域名。如果WannaCry未发现该域名则加密电脑文件。换而言之,如果WannaCry连接到了该网络域名,则不会加密受感染电脑上的文件。 幸运的是,该域名竟然没人注册,随后Hutchins便注册了该域名,维持该域名的运作,成功阻止了WannaCry的勒索能力。 目前此一用来支撑“销毁”机制的域名由Cloudflare负责维护,有鉴于那些已感染WannaCry的电脑还是会定期连接到“销毁”域名,这让Kryptos Logic得以持续观察感染情况。 根据Jamie Hankins12月21日在Twitter上张贴的数据,他们当天的前24小时侦测到184个国家的22万个独立IP超过270万次连结到该“销毁”域名,前一周则有来自194个国家的63万个独立IP超过1700万次连结到该“销毁”域名。 不过,Hankins也说明这些独立IP无法代表实际的感染数量,只是这样的流量仍然很惊人。前五大流量来自中国、印尼、越南、印度及俄罗斯。 依然潜伏在电脑中的WannaCry还是有爆发的风险,例如一旦网络断线,或是无法连接“销毁”域名,WannaCry的勒索元件就会再度执行。 企业或者用户可通过Kryptos Logic免费提供的Telltale服务来侦测电脑上包括WannaCry在内的安全威胁。   稿源:新浪科技,封面源自网络;

McAfee 报告:加密货币恶意软件数量过去 1 年增长 4000%

随着加密货币的价值断崖式下跌,黑客会更加猖獗地攻击最后狠狠捞一笔还是偃旗息鼓等待加密货币反弹后再割?只有时间能给出答案。根据McAfee实验室近期公布的最新研究报告,针对加密货币的恶意软件数量在过去一年中增长了4000%。 McAfee实验室发布的2018年12月威胁报告[PDF]中,这家安全公司强调称2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少,但在第三季度,环比增长近40%。McAfee注意到在过去几个季度中,这种新型勒索软件系列的数量有所下降。这表明这些攻击者正转向更有利可图的加密劫持模式(cryptojacking)。 由于普遍缺乏适当的安全控制,类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU,但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中,恶意软件总体上已经出现了稳定和可预测的增长,这一趋势没有显示出放缓的迹象。   稿源:cnBeta,封面源自网络;

研究发现全球有 41.5 万多台路由器受到秘密挖矿软件感染

据外媒报道,研究人员发现,全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示,针对该品牌的一系列加密攻击始于今年8月,当时安全专家发现有20多万台设备被感染。从那以后,这个数字又增加一倍多。 虽然大多数受影响的设备最初都集中在巴西,但数据显示,在全球范围内也有大量设备受到了影响。 值得指出的是,被入侵设备的数量可能略有下降,但遭到攻击的路由器总数仍相当高。 安全研究员VriesHD指出:“如果实际被感染的路由器总数在35万到40万台左右,对此我也不会感到惊讶。” 有趣的是,尽管攻击者过去倾向于使用CoinHive–一种用于面向隐私加密货币Monero (XMR)的挖掘软件–但研究人员注意到,攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务,”VriesHD表示,“过去80%到90%用的都是CoinHive,但最近几个月已经转向了Omine。” 今年8月,研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月,易受攻击设备的总数已经增加到了惊人的28万台。 好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称:“针对这个特殊问题的补丁已经发布了好几个月了,我已经看到成千上万的ISP从名单上消失了。然而不幸的是,似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”   稿源:cnBeta,封面源自网络;

美司法部指控两名伊朗黑客勒索攻击 造成 3000 万美元损失

美国司法部近日指控两名伊朗黑客,策划和执行了针对美国多个主要城市(包括亚特兰大,圣地亚哥和纽瓦克)的勒索软件攻击,导致美国多地的基础公共服务瘫痪。本周三美国检察官在新闻发布会上表示,34岁的Faramarz Shahi Savandi和27岁的Mohammad Mehdi Shah Mansouri通过向200多名受害者部署SamSam勒索软件,造成了价值3000万美元的损失。 近年来网络勒索事件频发,在设备感染后,黑客以内容为要挟要求受害者支付一定的赎金。司法部刑事部门负责人Brian Benczkowski表示,目前并没有直接证据表明有政府参与其中,但指出这起诉讼是对黑客“部署营利性勒索软件”的首次刑事诉讼。 副检察长Rod Rosenstein说,这款勒索软件通过比特币支付的方式获得了超过600万美元的非法收益。Rosenstein说:“许多受害者都是公共机构,其中不乏涉及公共紧急救助和其他关键职能部门。”根据法庭文件,Savandi和Mansouri所部署的SamSam勒索软件专门针对美国的关键基础设施,如医院和城市系统,以便于敲诈更多的金钱。 Carpenito说:“钱不是他们唯一的目标。他们试图伤害我们的机构和关键基础设施,他们试图影响我们的生活方式。”除了上文提及的亚特兰大之外,受影响城市还包括纽瓦克市,新泽西州,科罗拉多州交通局,加拿大卡尔加里大学以及洛杉矶,堪萨斯,北卡罗来纳,马里兰州,内布拉斯加州和芝加哥的医院。     稿源:cnBeta,封面源自网络;

Sophos 发布 2019 年网络安全威胁分析报告,勒索软件成领头羊

最近,网络安全公司Sophos发布了一个深度调研报告,对接下来2019年将出现的网络威胁向互联网用户和企业做出预警。下面是报告所提到的部分主要威胁:   勒索软件是“领头羊” 和传统“广撒网式”发送海量恶意邮件不同,这种勒索软件的攻击是“交互式”的,发布者不再是机器,其背后的人类攻击者会主动发掘和监测目标,并根据情况调整策略,受害者不交钱不罢休。 2018年见证了定向勒索攻击软件的发展,如WannaCry、Dhrma和SamSam,网络犯罪者藉此已获利上百万美元。Sophos的安全专家认为,这种经济上的成功将大大刺激同类网络攻击的出现,并且会在2019年频繁发生。 如果不进行充分的渗透测试,提高数据安全的等级,那么勒索软件在接下来的一年将造成深远的影响。   物联网安全隐患风险增加 随着更多设备加入了物联网,网络攻击者开始扩大他们的攻击范围和工具。如非法安卓软件数量的增加,让勒索软件将注意力转向了移动电话、平板电脑和其他智能设备。而随着家庭和企业拥有越来越多可联网设备,犯罪者开始发明新的手段劫持这些设备作为巨型僵尸网络的节点,如Mirai Aidra、Wifatc和Gafgyt。2018年,VPNfilter证明了武器化的物联网对嵌入式系统和网络设备的巨大破坏力。   连锁反应机制的应用 一系列事件连续发生时,黑客会在其中一个节点渗入系统。由于一系列连续发生的事件没有清晰可见的脉络,因此在很多时候,想搞清楚黑客将在何时给出一击是不可能的。   永恒之蓝成为了挖矿劫持攻击的关键工具 虽然微软在1年前便发布了补丁来处理永恒之蓝的漏洞问题,但它依然是网络犯罪者的“心头好”。Sophos称,永恒之蓝漏洞和挖矿软件的致命结合会造成损害。   对于中小型企业而言,想要完全规避这些安全威胁随便比较困难,但依然可以合理避免,如建立健全的安全防御机制、使用正规有效的安全防御软件、规范系统管理者的权限、谨慎对待陌生或可疑的邮件、规范密码的使用、不重复使用密码、及时更新漏洞补丁等。当然,更省事的方法是选用可信任的安全服务公司创建更具有针对性、更全面的安全解决方案。 知道创宇云安全作为国内最早的云防御平台,以全面的Web安全解决方案满足不同网站在线业务安全需要,全国超过90万家网站正在使用知道创宇云安全旗下安全解决方案,以旗下王牌产品创宇盾、抗D保等为企业安全筑起一道坚固的防护墙。   编译:创宇小刘,编译自外网新闻及Sophos报告;

TrickBot 银行木马开始窃取 Windows 问题历史记录

据外媒 bleepingcomputer 报道,最近监测到一个版本的 TrickBot 显示出了它对一些特有数据的兴趣:Windows 系统可靠性和性能信息。 微软在 Windows 操作系统上运行可靠性分析组件(RAC),为可靠性监测提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此,它每小时使用 RACAgent 计划任务,并将所有数据转储到本地文件夹。用户可以从任务计划进程中禁用这些详细信息的收集,但这样就不能再获得可靠性监测的系统稳定性索引。 网络钓鱼活动揭示了 TrickBot 的新兴趣 My Online Security 对网络钓鱼活动的分析显示,本周发现的 TrickBot 变体主要集中在读取和获取操作系统可靠性数据库以及C:\ ProgramData \ Microsoft \ RAC \下的可用信息。 安全研究员  詹姆斯  在 Twitter 上发布了该恶意软件搜索到的文件列表: Exfiltrated Data 目前还不清楚这类数据会对黑客有什么好处,但它可以用于恶意目的,例如更好地定位钓鱼邮件。 TrickBot 通过虚假 Lloyds 银行电子邮件传播 该网络钓鱼活动使用虚假的 Lloyds 银行邮件地址’donotreply@lloydsbankdocs.com’传播 TrickBot,这很容易被误以为真。钓鱼者伪造邮件信息,诱使潜在受害者打开包含恶意宏的附加文档。一旦受害者打开文档,宏代码将下载并执行 TrickBot。 网络钓鱼电子邮件 附在钓鱼邮件上的 Office Word 文档包含 Lloyds 银行的文档页头,使其看起来更加真实。此外,黑客还添加了赛门铁克徽标,让恶意文件看起来通过了安全解决方案的验证。 尽管黑客努力隐藏其恶意性质,但该文件目前至少被 VirusTotal 上的 30 个防病毒引擎检测到。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Play 商店存恶意应用达11个月 直到近日才被谷歌移除

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,安全企业ESET的研究人员Lukas Stefanko本周揭露了一个在Google Play上安然存在11个月,直到近日才被Google移除。该恶意应用伪装成电话录音程序Simple Call Recorder,而在暗地里下载其它的恶意应用,直到近日才被Google移除。 在去年11月底登上Google Play的Simple Call Recorder约有5000次的安装次数,具备完整的电话录音功能,但主要目的却是要求使用者下载及安装一个伪装成Flash Player的更新应用,只是该更新应用实质上为恶意应用。 Stefanko进一步分析后发现,Simple Call Recorder的电话录音功能与Auto Phone Call Recorder及Auto save call两款程序的代码完全相同,只是夹带了恶意功能,这两款应用都在2016年就上架Google Play。他猜测,黑客是从其它来源取得了这些应用的源代码,窃取了电话录音的功能,重新嵌入恶意程序后再上传至Google Play。 Google Play的政策明文规定禁止移动应用从Play 商店以外的地方下载可执行的程序,但内含flashplayer_update.apk的Simple Call Recorder却照样通过Google审查,而且还安然无恙地待了11个月,直到近日才被Google移除。   稿源:新浪科技,封面源自网络;

报告:针对 iOS 设备的加密货币挖矿攻击上升近 400%

据外媒报道,来自Check Point研究团队的《2018年9月全球威胁指数》数据显示,针对iOS设备以及使用Safari浏览器设备的加密挖矿恶意软件数量出现了近400%的增长。Check Point威胁情报部门经理Maya Horowitz表示:“加密挖矿仍旧是全球个组织面临的主要威胁。最有趣的是,在9月最后两周,针对iPhone和Safari浏览器的攻击增加了四倍。” 另外他还指出,这些针对苹果设备的攻击并没有使用什么新功能,为此他们将对这一背后的可能原因继续展开调查。 据了解,所有针对运行iOS和Safari设备的攻击都使用了JavaScript挖矿程序–Coinhive,它能非常容易地被集成到任何web应用程序中以此来窃取程序打开时的处理能力。 攻击者利用Coinhive挖矿程序来暗中挖掘门罗币(Monero),不同于比特币的是,门罗币区块链提供的是几乎无法追踪的交易,这一特性使其对大多数网络骗子来说相当具有吸引力。 在Check Point 2017年12月份的《全球威胁指数》中,Coinhive占据了第一的位置。 尽管基于Coinhive的攻击并不是为窃取数据以及感染其他受害者而设计的,但它却能将遭其攻击的设备锁住并为之服务。很显然,这对于那些不具备足够网络安全专业知识的用户来说是个极其令人难搞的问题。 Check Point在报告指出,增长背后的原因尚不清楚,但这倒是提醒了人们,移动设备是一个组织攻击界面中经常被忽视的元素。至关重要的是,移动设备要得到全面的威胁预防解决方案保护,这样它们才不会成为企业安全防御的薄弱环节。 眼下,基于Coinhive的加密货币挖矿攻击影响了全球近19%的组织,与此同时,像Cryptoloot、XMRig、Jsecoin等其他加密挖矿程序也出现在了Check Point的十大威胁指数榜单中。   稿源:cnBeta,封面源自网络;

这款伪装成 Flash Player 安装器的挖矿应用真的会更新你的 Flash

加密货币的挖矿恶意程序正伪装成Adobe Flash Player安装程序来传播挖矿恶意程序。虽然这种套路并非首次见到,但这款恶意挖矿应用会在更新Flash Player过程中安装挖矿应用。 伪装成Flash Player安装器的挖矿恶意应用并不新鲜,但过去通常只会安装挖矿应用然后退出,或者打开浏览器访问Adobe Flash Player的网站。 Palo Alto Unit 42研究员 Brad Duncan发现的最新恶意软件中,不仅会安装XMRig挖矿应用,而且会自动对Flash Player进行更新。这样在安装过程中不会引起用户的怀疑,从而进一步隐藏了它的真正意图。 Duncan表示:“这款安装器会真的访问Adobe的服务器来检查是否有新的Flash Player。整个安装过程中和正式版基本上没有差别。”这样用户以为正常升级Flash的背后,安装了coinminer的挖矿应用。一旦设备受到感染,就会连接xmr-eu1.nanopool.org的挖矿池,开始使用100%的CPU计算能力来挖掘Monero数字货币。   稿源:cnBeta,封面源自网络;