分类: 恶意软件

Magnitude 漏洞开发工具包卷土重现,新添勒索软件功能针对韩国用户展开攻击

HackerNews.cc 10 月 8 日消息,Magnitude 漏洞开发工具包(EK)在过去的发展规模中一直引人注目并被网络犯罪分子用于亚洲多个国家肆意传播。奇怪的是,该漏洞开发工具包于今年 9 月下旬突然消失,起初研究人员以为这仅仅是 EK 研发失败的情景,但就在近期,该工具包重新出现并新添有效负载–勒索软件 Magniber。 Magnitude 漏洞开发工具包最早可追溯至 2013 年,其主要包含诸如加密类的勒索软件。调查显示,攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种网络犯罪分子常用的主要技术工具,旨在规避研究人员检测。目前,该工具包只通过漏洞(2016-2016-0189)检索执行有效负载。 据悉,Magniber 是一款针对性较强的勒索软件,可通过多个级别(外部 IP、安装语言等)检测目标系统,以确保受攻击设备仅为韩国用户。此外,勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。 调查显示,勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作,如果恶意软件于非韩系统执行,其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。 一旦入侵韩国系统,其恶意软件将以 %TEMP% 方式复制设备机密数据,并在任务调度程序的帮助下部署自身。 据悉,研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外,还检测到另一文档,它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外,每份加密文件都添加了同一个由拉丁文字符组成的扩展名,并且对于特定的 Magniber 样本来说固定不变,这意味着每份文件都使用完全相同的密钥进行加密。 研究人员表示,受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似,但内部完全不同。此外,Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。 目前,虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber,但研究人员尚不清楚幕后黑手真正意图。对此,他们将持续跟进此次事件并提醒各用户加强防御体系,以抵御大规模攻击事件的发生。 附:Malwarebytes Labs 原文报告《 勒索软件 Magniber:仅感染传播韩国用户 》 稿源:Malwarebytes Labs ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型 ATM 恶意软件 Cutlet Maker 于暗网出售,仅用 5000 美元即可入侵特定 ATM

据外媒 10 月 17 日报道,卡巴斯基实验室研究人员于 5 月发现黑客组织在暗网论坛 ATMjackpot 出售一款新型 ATM 恶意软件 Cutlet Maker,可以通过侵入特定 ATM 供应商的 API 接口后清空设备所有现金,而无需与银行用户及其数据进行交互。目前,该恶意软件售价 5000 美元。 调查显示,Cutlet Maker 起先于暗网 AlphaBay 出售,但随着美国 FBI 的审核调查后,该网站于今年 7 月关闭。不过,知情人士透露,该恶意软件开发人员又重新创建了一个暗网市场 ATMjackpot,专门出售 Cutlet Maker。此外,有消息指出,该恶意软件工具包除了所需设备、目标 ATM 机模型以及恶意软件操作的提示与技巧外,还提供了一份详细的手册说明以便用户轻松查看。 研究人员表示,该恶意软件可分为 CUTLET MAKER 与 Stimulator 两大模块: CUTLET MAKER:主要负责侵入 ATM 机的 API 接口后分配资金。其程序由开发人员采用 Delphi 编写,并利用 VMProtect 等多个应用进行包装。 Stimulator:该模块主要用于获取 ATM 机转储内容并查询设备余额,其程序也采用 Delphi 编写,并使用与 “CUTLET MAKER” 相同的方式进行包装。 据称,CUTLET MAKER 和 Stimulator 显示了网络犯罪分子如何使用合法的专有数据库和恶意代码从 ATM 中分配资金。不过,此类恶意软件不会直接影响到银行客户,因为它只是为了从特定供应商的 ATM 中窃取现金。目前,研究人员建议各银行供应商加强 ATM 设备的防御措施以防黑客攻击。 附:卡巴斯基原文报告《 ATM恶意软件在暗网出售 》 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新安卓勒索软件 DoubleLocker 不仅加密数据,还可更改用户 PIN 码锁定设备

据外媒近日报道,安全公司 ESET 研究人员 Lukᚊtefanko 近期发现一款 Android 勒索软件 DoubleLocker,不仅会对用户数据进行加密,还会通过更改用户的 PIN 密码锁定设备、索要赎金。 勒索软件 DoubleLocker 源自一款银行木马程序,其主要传播方式是通过受损网站推送的虚假 Adobe Flash Player 应用更新,诱导用户下载安装后加密或锁定设备。 一旦用户不慎下载并安装,其受损应用将激活恶意软件的无障碍服务 Google Play Service,从而在用户不知情下获取管理员访问权限并将其设置为 Android 手机 Home 主页的应用程序。每当用户点击 Home 主页按钮时,该勒索软件将会立即激活并锁定设备。 此外,研究人员表示,攻击者要求受害人员必须在 24 小时内支付 0.0130 比特币(约 54 美元),否则只有恢复出厂设置才能清除该勒索软件。不过,该做法或将导致受害用户无法挽回自身设备的所有文件。 原作者:John Leyden,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

逾 5 亿用户电脑曾执行网站 JS 采矿脚本,秘密挖掘加密货币

9 月中旬,海盗湾被曝在网站添加了一个由 Coinhive 网站提供的 Javascript 比特币挖掘脚本,即采用加密方式注入用户电脑挖掘比特币后增加 CPU 使用率。据悉,由于该攻击手段导致流量运行迅速,因此海盗湾每月可能获益 12000 美元。不过,部分用户在发现后立即开始禁用 Javascript 程序,以防网络犯罪分子再次侵害。 网络安全公司 Adguard 于近期发表一份研究报告,指出逾 220 家热门网站运营者早期就已经从 CoelHive 寻找到加密货币 Monero 的采矿脚本,并通过用户电脑进行试验挖掘加密货币,从而获取巨额收益。据悉,目前共有 5 亿用户在不知情下运行 JS 脚本、挖掘加密货币。 CoinHive 是目前最受欢迎的 JS 挖矿引擎。安全专家表示,上述攻击手段主要是网站运营商在其网页内嵌入一段 JS 代码,只要用户访问,挖矿程序就会在网民的电脑中运行,从而占据大量系统资源,导致 CPU 利用率突然提升。 目前,Adguard 安全专家估计,这些网站几乎不需要花费太多资金就能够完成此类攻击。其中,Torrent 搜索网站、托管盗版内容的网域与色情网站最有可能使用矿工挖掘加密货币。因为这些网站一般很难通过广告获益,所以他们更愿意采取其他创新方式赚钱资金。 CoinHive 网站最近引起广大媒体关注后发表声明:“公司并不知道我们的客户没有经过用户的同意擅自运行加密脚本,我们感到非常难过。不过,我们相信我们一定能在尊重用户的情况下解决此类事件。目前,希望用户能够警惕网站加密货币的采矿脚本。” 安全专家表示,加密货币挖掘的潜力如果处理得当,网站访问者没有理由不会同意此类计划,不过如果域名运营商不尊重用户私自进行,那么事情一旦被暴露,他们公司名誉将受到严重打击。目前,在此类问题解决之前,系统拦截器将会阻止 JS 程序运行。此外,网站操作人员与挖矿脚本的开发人员将会共同合作寻求解决方案,从而确保用户 CPU 安全。 相关阅读: 海盗湾于后台运行比特币矿工程序,增加用户 CPU 使用率 原作者:Charlie Osborne ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型恶意软件 FormBook 瞄准美韩航空、国防与制造业展开网络钓鱼攻击

据外媒 10 月 10 日报道,网络安全公司 FireEye 研究人员近期发现一款新型恶意软件 FormBook,旨在针对美韩航空航天公司、国防承包商与部分制造企业展开网络钓鱼攻击。 FormBook 是一款用于窃取用户数据的恶意软件,其主要从 HTTP 会话中提取敏感数据、按键记录以及剪贴板内容。据悉,自 2016 年初以来,多数黑客论坛均出售了该恶意软件的 Windows 版本。此外,经调查显示,FormBook 还可以从命令与控制服务器上执行特殊命令,包括下载恶意软件并执行其他文件、启动进程、关闭并重新引导受感染系统以及窃取 cookie 会话与本地密码等。 图:附带恶意软件的电子邮件 然而,FormBook 还具备一个最 “有趣” 的功能–允许恶意代码将 Windows’ntdll.dll 模块从磁盘读入内存,并直接调用其导出功能,从而使用户连接模式与 API 监视机制无效。值得注意的是,研究人员还发现攻击者在侵入目标设备后可随机更改系统路径、文件名、文件扩展名与注册表项。 研究人员透露,攻击者主要通过包含恶意附件的电子邮件进行分发,其附件包括 PDF、DOC、XLS、ZIP、RAR、ACE 与 ISO 等存档形式。据悉,该电子邮件要求用户通过附件链接下载与打印附件。一旦用户点击,目标设备将立即部署恶意有效负载。目前,该恶意链接已在全球 36 个国家共获得 716 次访问。 图:受影响国家分布比例 不过,研究人员指出,恶意软件幕后黑手在访问目标系统控制面板后将其重要信息生成可执行文件,并作为专业服务出售,其每周价格为 29 美元至 299 美元不等。知情人士获悉,虽然 FormBook 的功能或分发机制不是独一无二的,但它相对易用、实惠的定价结构和开放的可用性,都成为不同技能水平网络犯罪分子的选择。目前,通过 FormBook 成功感染目标设备的网络犯罪活动,包括但不限于:身份盗用、网络钓鱼攻击、银行诈骗和敲诈勒索活动。 原作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

海盗湾挖矿工具卷土重来且用户无 “退出” 选项

上个月,媒体曝光了 “海盗湾(The Pirate Bay)” 利用网页内嵌的 JavaScript 程序将浏览者的电脑作为其挖掘虚拟货币工具的消息。当网友浏览 “海盗湾” 网站时,他的电脑的 CPU 占有率将会出现大幅飙升甚至可能 100% 满载负荷运行。对此,海盗湾给出的解释是他们正在测试另一种获得收入的方式。 尽管这种行为遭到强烈不满,但海盗湾似乎还是再次用上了这个虚拟货币挖矿工具,只不过这次它不像之前测试那么明显。据了解,这个挖矿工具通过一个 adscript 运行,也就是说,如果用户的浏览器安装了一个 adblocker 的话,那么在访问海盗湾网站时将不会受到影响。而为了不让用户在不知情的事情被利用挖矿,Adblock Plus 公布了一份脚本。 用户在海盗湾无法找到退出挖矿的选项,同时他们也不会得到其 CPU 正在被用于挖矿的通知。不过这种行为很有可能是某流氓广告商的行为而非来自海盗湾自身,然而因为海盗湾未作任何回应所以背后的真相如何现在还无法得知。 稿源:cnBeta,封面源自网络;

趋势科技安全报告:黑客利用 FTP 与 C&C 服务器建立后门 SYSCON 连接

HackerNews.cc 10 月 5 日消息,趋势科技( Trend Micro )研究人员近期发现黑客利用 FTP 服务器与目标设备的 C&C 服务器建立后门 SYSCON 通信连接。调查显示,SYSCON 后门正通过受感染文件传播,其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。 图:使用自定义的 Base64 编码功能 据悉,用于传播后门的恶意文件使用了自定义 Base64 编码功能,与 2012 年传播恶意软件 Sanny 的攻击手段极其相似且编码密钥相同。因此,研究人员推测此次事件幕后黑手与传播恶意软件 Sanny 的攻击人员是同一黑客组织。此外,值得注意的是,此类攻击手段可以规避安全检测,但同时也极易受到监控。研究人员表示,如果受害者打开该恶意文件时,基于操作系统版本的相应文件将 DLL 注入 taskhost(ex)进程以执行 BAT 操作而不触发 UAC 提示,从而成功感染目标设备的 %Temp% 文件。据称,攻击者还使用设备名称作为标识符,通过 SYSCON 后门、利用存储在配置文件中的凭证登录 FTP 服务器。 图:与 C&C 服务器建立连接 研究人员通过对配置文件进行解码时,不仅发现了 FTP 服务提供商的 URL,还检测到攻击者在服务器端将执行命令存储在 .txt 文件中。一旦受感染设备执行命令,恶意代码会在列出当前运行的所有进程后将压缩与编码的数据发送至服务器。 图:输入漏洞–恶意代码出现错误 不过,研究人员在命令循环处理的过程中发现一处输入漏洞,即恶意软件将命令视为宽字符格式的字符串,只要其中一个函数的参数文件名称出现错误时,就可成功阻止进程执行。因此,研究人员提醒 IT 管理员可通过该种方式阻止后门传播,并时刻监控与外部 FTP 服务器的任何连接,因为它们不仅可以导致数据泄露,还可用于 C&C 服务器的通信连接。 附:趋势科技原文连接《 SYSCON Backdoor Uses FTP as a C&C Channel 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用合法 VMware 文件分发银行木马,南美等国银行成为首选攻击目标

HackerNews.cc  10 月 1 日消息,思科研究人员近期发现黑客通过合法的 VMware 二进制文件发送网络钓鱼邮件,旨在分发银行木马感染目标设备后实施反分析技术,窃取用户敏感信息并获取非法经济利益。目前,巴西等南美银行已遭黑客攻击。 调查显示,该款银行木马由开发人员采用 Delphi 编写,其主要模块实现了多项功能,包括终止分析工具的流程、创建自启动注册表项。此外,该银行木马还利用 Web 注入操作诱导用户暴露银行登录凭据等敏感信息。 黑客发送的钓鱼邮件以发票为主题且由葡萄牙语(母语)写成,因此更容易获得当地用户信任。另外,攻击者在邮件中上传了一份附件并要求用户点击下载。然而研究人员了解到,该附件包含一条重定向至 goo.gl 的链接,用户点击之后系统将再次重定向下载另一包含 JAR 文件的压缩包,最终目标设备将执行恶意代码并安装该款银行木马。 此外,这一银行木马在设置完自身“工作环境”后还将从远程服务器下载其他恶意软件。研究显示,一旦成功下载此类文件,它将被重命名后利用合法的 VMware 二进制文件进行传播,以欺骗安全程序信任。目前,研究人员提醒用户不要轻易点击未知名链接或下载未经检验的邮件并确保设备安装全方位杀毒软件以避免遭受恶意软件感染。 更多内容,请阅读来自 Talos 安全团队发布的分析报告。 原作者: Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客伪造美国合法金融机构的安全信息发动网络钓鱼攻击

据外媒 9 月 29 日报道,安全研究人员近期发现网络犯罪分子通过伪造来自美国银行与 TD 商业银行等私人金融机构的合法域名、机构标志与其邮件底部的保密声明发送网络钓鱼邮件,旨在向不知情受害者分发恶意软件、窃取重要信息。 调查显示,攻击者伪造合法银行安全信息发送网络钓鱼邮件,并在邮件中指示用户下载附件、填写个人信息并对其进行回复等一系列操作。据悉,该封电子邮件中所附带的 Word 文档包含一款恶意软件,用户一旦下载并安装将会允许攻击者在 Windows 设备上重写用户目录文件。 值得注意的是,该款恶意软件可以规避部分杀毒软件检测,因为附带恶意软件的文档是安全的。若受害者设备成功安装该款恶意软件,攻击者就可对其进行访问与操控,从而窃取用户重要信息。目前,研究人员建议用户提高网络钓鱼防范意识、不要轻易点击未知名链接并确保安装全方位杀毒软件以避免遭受钓鱼攻击活动。 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络惊现最奇葩勒索病毒:仅需 10 张裸照即可解锁

通常情况下,勒索病毒会通过非法加密电脑的方式向受害人勒索钱财、比特币,比如前段时间全球爆发的 WannaCry。但并非每一位病毒黑客都那么直接,还有奇葩癖好的,比如——裸照。据外媒 eHackingnews 报道,安全研究团队 MalwareHunterTeam 最近公布一款名为 “nRansomware” 的勒索病毒,并展示了一些中招用户的电脑画面。 据悉,该病毒安装文件名为 nRansom.exe,病毒制作者要求受害者发送 10 张裸照才能解锁。从截图来看,中毒之后电脑屏幕上会出现一大堆托马斯小火车图片,向你骂脏话 “fxxk you”,并且重复播放一首名为《your-mom-gay》的背景音乐。 “你的电脑已经被锁定,你只能通过特定的解锁密码才能解锁。访问 xxxxxmail.com 创建一个账户,通过邮件发送给 xxx.com 邮箱地址。当攻击者回复之后,你必须发送至少 10 张裸照。我们核实确认是你自己的照片后,会给你解锁密码,并将裸照卖在 Deep web 上贩卖。” 所谓 Deep web,就是一般搜索引擎无法找到的内容,多为1024订购服务,所以你懂得。目前,尚未有破解办法,对此用户只能通过升级到最新的操作系统版本或者安装防病毒软件保护自身设备。 稿源:cnBeta、快科技,封面源自网络;