分类: 恶意软件

Google 揭安卓间谍软件 Chrysaor 隐藏三年终被发现

安全公司 Lookout 与 Google 专家 4 日透露,安卓间谍软件 Chrysaor 感染移动设备逾三年终被发现。专家表示,Chrysaor 主要通过著名的安卓生根漏洞(称为 Framaroot) 感染移动设备并全面控制系统应用。 据悉,Chrysaor 是最为复杂的移动间谍软件之一,由以色列监视公司 NSO Group Technologies 开发。目前,安全专家已确定不到三十台安卓设备受到该间谍软件的攻击。调查表明,尽管间谍软件 Chrysaor 将以色列锁定为主要攻击目标,但格鲁吉亚、土耳其、墨西哥、阿联酋等国家也纷纷受到影响。 间谍软件 Chrysaor 主要实现功能: 从 Gmail、WhatsApp、Facebook、Twitter 等流行应用中窃取数据 基于 SMS 的命令远程控制设备 录制直播音频和视频 键盘记录和捕获截图 禁用系统更新以防止漏洞修补 监视联系人、短信、电子邮件和浏览器历史记录 自毁逃避检测 安全专家表示,虽然这些应用程序从未在 Google Play 中使用,但他们已经联系潜在受影响的用户禁用感染设备中的应用程序,并及时更改验证应用程序以确保用户系统的安全。 该间谍软件具有明显的自我毁灭能力,因此无法分析其攻击性能。事实上,早在 2014 年 NSO 科技公司就已在安卓操作系统中发现这一零日漏洞,并实施利用最新版本的恶意软件 Chrysaor 代码感染移动设备。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Skype 用户抱怨“ 假Flash ”让他们暴露于恶意软件当中

许多用户抱怨 Skype 一直在托管流氓广告,这很可能会让用户感染恶意软件。上个星期三,这个问题被提交到reddit,原始的帖子表示,他的 Skype 主屏幕上出现恶意广告,这个广告伪装成电脑浏览器的 Flash 更新,并且提示用户下载一个名为“ FlashPlayer.hta ”的 HTML 应用程序,这个应用程序看起来像一个合法的程序。然而,一旦打开,它将下载恶意的有效载荷,这可能会对用户电脑造成长期的有害影响。 ZDNet 对此进行了调查,他们联系的专家表示,Skype 当中的流氓广告专为 Windows 电脑设计的“ 假 Flash ”广告并且推送了一个下载,打开时会触发一个 JavaScript 代码,启动一个新的命令行,然后删除用户刚刚打开的应用程序,并运行一个 PowerShell 命令,然后从不再存在的域下载一个 JavaScript 编码脚本( JSE )进行恶意活动。 据网络安全公司 Phobos 集团的联合创始人 Ali-Reza Anghaie 表示,这个问题就是所谓的“ 两级投放 ”,恶意软件的实用程序组件实际上是根据远程命令和控制来决定其任务和工作。虽然攻击者使用的域名不再存在,但 Anghaie 认为它很有可能为勒索类型的恶意软件提供服务。 针对这个问题,微软发言人表示,这个问题是“社会工程”,微软对恶意内容不负责任。该公司进一步解释说:我们知道一种社会工程技术,可用于将一些客户引导到恶意网站。我们继续鼓励客户在打开已知和未知来源,未经请求的附件和链接时谨慎操作,并安装并定期更新防病毒软件。 稿源:cnBeta;封面源自网络

俄间谍组织 Turla 持续开发 Carbon 后门新变种

世界知名安全软件公司 ESET 于 3 月 30 日发布报告称,俄罗斯间谍组织 Turla 致力于开发各类恶意软件,其中主要包括最新发布的多个 Carbon 后门新变种。 Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府机构和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 ESET 的研究人员表示,间谍组织 Turla 具有一个特征:一旦常用的恶意软件被揭露,他们将立即改用新变种以便继续执行间谍活动。因此,市面上出现的恶意软件新变种的互斥体与文件名存在不同也不足为奇。Turla 间谍组织通常会在部署恶意软件 Carbon 后门之前,首先对目标系统进行侦察工作。 研究人员称,一个“ 经典 ”的 Carbon 后门攻击链是从目标用户收到钓鱼邮件或访问受感染网站(通常是用户定期访问的网站)开始。一旦入侵成功,用户设备将在第一阶段安装恶意软件后门,如 Tavdig 或 Skipper。倘若侦查阶段得以完成,Carbon 后门将会成功安装在用户关键系统中。 据悉,恶意软件 Carbon 是间谍组织 Turla 最为复杂的后门程序,用于窃取目标用户的敏感信息,但也与 Turla 开发的其他恶意软件 Rootkit Uroburos 有部分相似之处。 原作者:Gabriela Vatu, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mirai 僵尸网络新变种发起 54 小时 DDoS 攻击,最高峰值刷新纪录

 Imperva 的安全专家称,Mirai 僵尸网络新变种瞄准该公司某美国大学用户发起为时 54 小时的分布式拒绝服务( DDoS )攻击,峰值高达 37,000 RPS。专家强调,此次攻击事件打破了 Mirai 僵尸网络有史以来最高记录。 恶意软件 Mirai 最初由研究员 MalwareMustDie 于 2016 年 8 月发现,专门针对物联网设备,曾感染成千上万的路由器与物联网( IoT )设备,主要包括硬盘刻录机( DVR )和闭路电视( CCTV )系统。当 Mirai 僵尸网络感染设备时,会随机选择 IP 并尝试使用管理员凭据通过 Telnet 和 SSH 端口进行登录。 2016 年,Mirai 僵尸网络攻击了两大知名网站 Brian Krebs 与 the Dyn DNS service 。同年10月,Mirai 僵尸网络的源代码在线泄露,各类新变种滋生。Brian Krebs 专家称,代号为“ Anna- senpai ”的用户在知名黑客论坛 Hackforum 共享了恶意软件 Mirai 源代码链接。2017 年 1 月,专家发现一个据称是 Windows 版本的 Mirai 新变种出现,允许 Linux 木马传播至更多 IoT 设备。 经推测,Mirai 新变种由源代码泄露导致。Mirai 僵尸网络之前通过网络层展开 DDoS 攻击,而新变种则利用应用层进行攻击。 专家表示,发起攻击的僵尸网络主要由闭路电视摄像机头、DVR 和路由器组成。攻击者可能利用已知 IoT 设备漏洞打开 Telnet( 23 )端口和 TR-069( 7547 )端口。 据悉,此次攻击中使用的 DDoS 僵尸采用不同的用户代理,而非曾在默认 Mirai 版本中出现的五个硬编码样例。技术细节表明,Mirai 僵尸网络新变种已被改进并用于提供更复杂的应用层攻击。 分析显示,攻击流量来自全球 9,793 个 IP,超过 70% 的设备位于以下国家及地区:美国(18.4%)、以色列(11.3%)、台湾(10.8%)、印度(8.7% )、土耳其(6%)、俄罗斯(3.8%)、意大利(3.2%)、墨西哥(3.2%)、哥伦比亚(3.0%)和保加利亚(2.2%)。 原作者:Pierluigi Paganini, 译者:青楚     校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Nuclear Bot 木马源码泄露,或将引发针对银行服务的大规模攻击

研究显示,任何恶意程序的源码在线泄露后,都会引发大量非技术网络犯罪分子对用户发起恶意攻击。近期,新型木马 Nuclear Bot 源码在线泄露,或引发针对银行服务的攻击指数上升。 2016 年 12 月,Nuclear Bot 以 2,500 美元价格首次在网络黑市中出售。该恶意软件不仅可以从 Firefox、Internet Explorer 或 Chrome 打开的网站中窃取信息,还能利用本地代理或隐藏的远程桌面服务。这些是银行木马最常见的特征,攻击者通常试图绕过银行网站的安全检查,以便进行网络欺诈。 IBM 研究人员在过去几个月里一直密切关注着木马 Nuclear Bot 行踪并公开揭露黑客 Gosya 是 Nuclear Bot 木马的创建者。此番做法无疑打破了网络犯罪界的潜在规则,导致该黑客失去原有名望还被打上“骗子”的标签。 IBM 研究人员注意到,该黑客不仅没有向论坛管理员或潜在买家提供软件的测试版本,甚至也未使用同一名称在论坛上传播该恶意软件。如今 Gosya 为恢复网络界的信任选择主动泄漏 Nuclear Bot 源代码。 原作者:Gabriela Vatu, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 可识别虚拟机以躲避安全人员的分析

目前一款最臭名昭著的勒索软件已经进一步发展,获得了防止网络安全工具检测的能力,使恶意软件难以被安全人员分析。这款名为 Cerber 的勒索软件在 2016 年初被发现,除了加密受害者文件的典型行为之外,恶意软件还包含一个 .vbs 文件,显示赎金票据以进一步吓唬那些已被感染的受害者。 此外,Cerber 使用一组分配命令和控制服务器,使用 Cerber 的网络犯罪分子几乎可以分发 Cerber 。如果他们成功地感染受害者并且获得赎金,那么 Cerber 勒索软件开发者获得 40% 的利润,而具体攻击者则获得 60% 的利润。 典型的勒索软件通常通过恶意电子邮件发送,其中包含恶意网站的附件或链接。根据趋势科技表示,新版本的 Cerber 将会引导用户打开由黑客控制的 Dropbox 链接。一旦打开,Cerber 有效载荷将自动下载和提取,无需任何用户交互。 为了能够逃避检测,现在 Cerber 会检查它是否在虚拟机上运行,这是因为网络安全研究人员通常通过沙箱来分析恶意软件代码,从而无法传播到其他系统。如果 Cerber 检测到它正在虚拟环境中运行,它将停止运行。趋势科技公司的Gilbert Sison 表示:Cerber 采用的新型封装和加载机制可能会导致静态机器学习方法的问题,即分析文件而无需执行或仿真。 稿源:cnBeta;封面源自网络

新型病毒 DoubleAgent 曝光:攻击电脑前预先入侵防病毒软件

安全专家近日发现了新型恶意程序,利用防病毒软件来攻击计算机。来自 Cybellum 的安全专家发现了这种新型病毒,并将这种攻击手段命名为 DoubleAgent。 DoubleAgent 通过注入代码从而修改防病毒软件,进而获得完整权限来接管受害者电脑。 DoubleAgent 利用了存在于 Microsoft Application Verifier 的一个 15 年漏洞,从 XP 到 Windows 10 所有 Windows 版本都受到了影响。Microsoft Application Verifier 通常用于寻找 Windows 应用中的 BUG。 安全专家已经找到了他们的攻击方式,因此他们能够劫持软件并做任何他们想要做的事情。在 DoubleAgent 成功攻击防病毒软件之后,攻击者还能进行远程关闭防病毒软件,从而在受害者不知情的情况下安装恶意程序。 根据研究人员表示,McAfee , Kaspersky , Norton 和 Avast 软件都存在安全漏洞。病毒公司 Malwarebytes 已经提供了安全防部,而趋势科技计划在近期内发布更新。 稿源:cnBeta, 封面源自网络

Check Point 监控发现中国黑客利用假基站传播安卓银行木马

Check Point 软件技术公司的安全研究人员发现中国黑客进一步加强了 Smishing(短信诈骗)  攻击水平,肆意使用假基站发送伪造短信传播安卓银行恶意软件“ Swearing Trojan ”。 smishing (短信诈骗)是指用类似于网络钓鱼的社会工程学技术实施犯罪行为的一种形式,名字来源于 SMs phishing(短信息服务诈骗)。(有道翻译) 据报道,犯罪分子将短信的来源伪装成中国移动和中国联通两大运营商,然后通过安装在移动基站上的设备发送虚假信息,诱导用户下载恶意应用程序到智能手机,窃取受害者敏感信息。用户一旦下载安装恶意应用程序,恶意软件 Swearing Trojan 会立即向受害者的联系人自动发送网络诈骗短信传播恶意软件。 调查表明,为避免任何恶意行为的检测,Swearing Trojan 不连接任何远程命令和控制( C&C )服务器。相反,它使用短信或电子邮件方式将盗窃数据发送给黑客,不仅提供了良好的通信覆盖,还阻止了恶意行为的追踪。目前,该恶意软件主要针对中国用户,但 Check Point 研究人员表示,倘若其他地区攻击者采取该恶意软件行为可能会在全球范围内迅速蔓延。 原作者:Swati Khandelwal, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究显示:新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

近期,Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码,与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接,引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在,被称为“ 通用模块化的网络间谍工具包 ”,允许黑客利用恶意代码进行操作 。2015 年,世界知名安全公司 ESET 首次对其进行详细分析,根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示,该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散,攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明,恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译,并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示,它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程,并将其替换为恶意代码。随后,该恶意软件联系 C&C 服务器,向其发送受感染计算机的信息。一旦初始阶段完成,它将指挥控制其服务器,并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能,还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是,由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态,研究人员没能获取可用插件信息。 据研究人员称,Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施,而且在同一端口上联系 C&C 域,并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构,但它们之间还是存在着加密和传递机制的差异。 据专家称,现在评估 Acronym 在 Potao 行动里的发展状况还为时过早,但它确实与其存在着潜在联系。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新 MajikPOS 恶意软件瞄准北美和加拿大用户

近日,趋势科技发现了一种新的 PoS 机 恶意软件,命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码,目标主要针对北美和加拿大的业务。 专家表示,虽然 MajikPOS 与其他 PoS 恶意软件的功能相同,但其模块化的执行方法却是极其独特的。2013 年 1 月底,研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同,它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架”编写而成,并建立加密通信通道以规避检测。 MajikPOS 可通过攻击虚拟网络计算( VNC )和远程桌面协议( RDP )猜测密码,访问 PoS 系统。在某些情况下,网络罪犯分子利用 FTP 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上,恶意代码便会连接到 C&C 服务器并接收具有三个条目的配置文件,以供稍后使用。 进一步研究发现,Magic Panel 服务器的注册人还注册了一些用于销售被盗信用卡数据的网站。Trend Micro 补充说:其中一些网站早在 2017 年 2 月就在名为“ MagicDumps ”的用户上进行了宣传,他们主要根据位置更新了垃圾网站的论坛 – 主要是美国和加拿大。 专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡,然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接