分类: 恶意软件

勒索软件 Cerber 新变种携带防沙箱、反杀软等防御功能

据外媒本月 3 日报道,勒索软件 Cerber 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明,Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( TrendMicro )安全研究人员发现 Cerber 已存有六个版本,加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森(Gilbert Sison)指出,Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位,Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外,Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件,其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件,JS 文件就开始下载执行有效载荷、创建计划任务,并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出,在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出,Cerber 6 目前可配置添加 Windows 防火墙规则,阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量,限制其检测与缓解功能。此外,Cerber 进一步恶化分析工具与虚拟环境的自我认知能力(通过自我毁灭实现规避)以及针对静态机器学习的检测规避能力。据悉,Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现,有利于加密应用程序编程接口的维护。 原作者:Gabriela Vatu, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 TrickBot 威胁日益严重,私人银行沦为最新攻击目标

根据 IBM X-Force 安全团队新近展开的一项分析,银行木马 TrickBot 已推动新一轮网络攻击,主要瞄准英国、澳大利亚与德国的私人银行、私人财富管理企业、投资银行、养老保险与年金管理机构。 报告显示,该银行木马黑客不断在攻击列表中添加重定向攻击。专家在检查每个网址后发现,攻击者一直在做大量 “ 功课 ”。调查表明,现有配置文件充斥私人银行、私人财富管理企业、投资银行,甚至养老保险与年金管理机构,位于英国的全球历史最悠久的银行之一也成为潜在攻击对象。 TrickBot 最初于 2016 年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现并与银行木马 Dyre 相关联。据悉, TrickBot 主要针对澳大利亚银行( ANZ、Westpac、St. George 与 NAB )客户。此外,专家在分析首个 TrickBot 样本时发现攻击者利用单个数据窃取模块。数周后,研究人员又发现一个新型木马样本,其中包括疑似处于测试阶段的 Web 注入。 据悉,黑客曾于 2016 年底利用 TrickBot 针对英国与澳大利亚银行以及亚洲金融机构进行多次攻击。目前,又有 20 家私人银行沦为攻击目标,其中包括 8 家英国建筑协会、2 家瑞士银行、6 家德国私人银行平台与 4 家美国投资银行。此外,攻击者还将一家符合伊斯兰教法的银行设为目标。 Trickbot 威胁愈演愈烈。研究人员发现攻击者在一系列攻击活动中频繁使用 Trickbot。澳大利亚、新西兰与英国为此类威胁高发地区。IBM 专家预测,TrickBot 在未来数月内将持续攀升全球金融恶意软件家族排名榜,达到与 Dridex 和 Ramnit 同等威胁级别。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

联想 IBM Storwize 附带的 USB 初始化工具内含恶意文件

据外媒 30 日报道,联想 IBM Storwize 磁盘阵列附带的 USB 闪存驱动器的初始化工具内含恶意文件。 调查显示,以下系统型号的 01AC585 USB 闪存驱动器初始化工具可能含有恶意文件: V3500 – 6096 型号的 02A 、 10A V3700 – 6099 型号的 12C、24C 、 2DC V5000 – 6194 型号的 12C 、 24C 此外,联想IBM Storwize 序列号以 78D2 开头的设备不受该恶意软件影响。 不过联想也专家表示,恶意软件并不影响存储系统的完整性或性能。当初始化工具从 USB 闪存驱动器启动至计算机初始配置时,它将自身复制到桌面或笔记本电脑的硬盘驱动器上的临时文件夹或恶意文件中。初始化 USB 闪存驱动器包含一个名为 InitTool 的文件夹,该工具与恶意软件同时被复制到该文件夹中: Windows系统:\ TMP \ initTool Linux与Mac系统:/ tmp / initTool IBM 与联想目前已采取必要措施,防止供应链出现其他任何问题、避免问题 USB 闪存驱动器继续流出。联想公司建议客户不要使用受感染的闪存驱动器,并及时联系公司获取 Storwize 系统的首次配置支持。此外,已受感染的客户系统需验证并通过杀毒软件进行检测删除。 附:恶意文件 MD5  0178a69c43d4c57d401bf9596299ea57 原作者:Pierluigi Paganini, 译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

僵尸网络 Hajime 实施新型攻击方式,劫持逾 30 万 IoT 设备

赛门铁克专家近期发现新型物联网( IoT )僵尸网络 Hajime 过去几个月内在巴西、伊朗等国家呈持续增长、迅速蔓延之势。目前,黑客已开始实施新型攻击方式,感染逾 30 万台 IoT 设备。 恶意软件 Hajime 于 2016 年 10 月被首次发现,采用了与僵尸网络 Mirai 相同的传播机制。据悉,该威胁目标主要为使用开放式 Telnet 端口与默认密码的不安全 IoT 设备。研究人员发现,Hajime 与 Mirai 具有几近相同的用户名和密码组合列表,但传播方式并非 C&C 服务器,而是对等网络连接。赛门铁克专家表示,Hajime 无需任何 C&C 服务器地址,仅通过控制器将命令模块推送至对等网络,消息随时间推移传播至所有对等网络。 Hajime 比 Mirai 更加复杂,实现了隐藏其活动与运行进程的更多机制。调查表明,该威胁具有允许运营商快速添加新型功能的模块化结构。分析报告显示,Hajime 并未执行分布式拒绝服务( DDoS )攻击或其他任何攻击代码,而是从控制器中提取语句并每隔 10 分钟在 IoT 终端上显示一次。该邮件采用数字签名,而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染,蠕虫将阻止访问端口 23、754、5555 与 5358,以防来自其他 IoT 威胁(包括 Mirai 在内)的攻击。 专家认为,Hajime 可能出自某个黑客义警之手,因为他们过去就曾发现类似代码,例如赛门铁克于 2015 年 10 月发现的 Linux.Wifatch。 图:Telnet 默认密码攻击 据悉,Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前,该僵尸网络可实现三种不同的攻击方式:TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外,卡巴斯基专家发现,僵尸网络 Hajime 几乎可以针对互联网上的任何设备发动攻击。 在卡巴斯基研究人员看来,Hajime 最耐人寻味之在于动机。截至目前,攻击模块中引入 TR-069 协议的做法使僵尸网络规模日益扩大,但具体动机仍不为人知。尽管暂未发现僵尸网络 Hajime 被用于任何类型攻击或恶意活动,仍建议 IoT 设备用户将密码更改为难以暴力破解的形式并尽可能更新固件。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件 FalseGuide 潜入 Google 商店,200 万安卓用户不幸中招

据外媒 25 日报道,Check Point 网络安全研究人员发现一款隐藏在 Pokemon GO 与 FIFA Mobile 等 40 多种盗版流行游戏指南应用程序中的恶意软件 FalseGuide 。目前,Google Play 官方应用商店约 60 万 Android 用户已被成功诱导安装该恶意软件。 研究人员开始认为盗版指南最早于今年 2 月上传至 Google Play 应用商店,经过深入调研后发现其实类似应用程序早在 2016 年 11 月就已存在。初期数据显示,恶意软件 FalseGuide 已感染超过 60 万用户设备,而目前已有 200 万 Android 用户设备遭受感染。据悉,所有受害者都在找寻喜爱的游戏指南时不幸中招。 FalseGuide 在受感染设备中悄然创建一个用于传播广告软件的僵尸网络并在安装过程中请求设备管理员权限以避免检测。报告显示,恶意软件将自身注册成与应用程序名称相同的 Firebase Cloud Messaging 主题。一旦该主题被订阅,FalseGuide 将接收包含跳转至其他模块链接的消息并下载模块至受感染设备。 调查发现,僵尸网络通过后台服务显示非法弹出式广告。一旦设备启动,恶意软件当即运行。根据攻击者的目标,这些模块可能包含高强度恶意代码,可用于 root 设备、发起 DDoS 攻击,甚至渗透私有网络。据悉,此类盗版应用程序包括 FIFA Mobile、 Lego Nexo Knights、Lego City My City、Rolling Sky 等。 研究人员指出,移动僵尸网络自去年年初以来呈显著增长趋势。这种恶意软件通过首个组件的非恶意属性渗透 Google Play 应用商店,仅下载实际有害代码。目前,FalseGuide 已被从 Google Play 应用商店移除。 原作者:Gabriela Vatu,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

调查显示 38% 勒索软件受害者愿意支付赎金

根据网络安全公司 Trustlook 公布的最新研究结果,企业并不是敲诈勒索软件的唯一受害者,寻常网民同样也会受到敲诈勒索软件的侵扰。企业固然作为敲诈勒索软件的重灾区,但普通网民更容易成为攻击的目标而且所调用的资源也更少,这也是为何敲诈勒索软件在网络上肆虐的重要原因。 根据 Trustlook 公布的报告,17% 的普通网民经历过敲诈勒索软件的侵扰。38% 受影响用户选择妥协支付费用,通常情况下支付费用在 100 美元到 500 美元之间,而且大部分都以比特币的方式进行支付。从另一方面,那些没有经历过敲诈勒索软件的用户群体中,只有 7% 的人表示愿意支付这笔费用。尽管敲诈勒索类型的网络攻击方式变得非常流行,但是在调查中有将近一半用户表示从未听说过这种攻击方式,而且 48% 的消费者并不担心成为敲诈勒索软件的受害者。 另一方面,消费者似乎对他们的数据非常谨慎,习惯在电脑或者移动设备上备份文件,只有 23% 的消费者会放弃这些细节。Trustlook 的首席执行官兼联合创始人 Allan Zhang 表示:“在多台设备上备份数据,而且其中一台设备是不连接到网络上的。此外,在点击任何链接之前请谨慎的检查发送者的邮箱地址。” 稿源:cnBeta;封面源自网络

权威监控软件 FlexiSpy 惨被入侵删库 ,巴西黑客宣战全球监控软件制造商

英国商业销售监控软件 FlexiSpy 可被安装至手机并用于监视配偶、孩子、伴侣或员工私生活。目前,黑客组织已全面入侵该公司内部系统、窃取敏感信息并向所有监控软件制造商宣战。 FlexiSpy 是诸多令人毛骨悚然的监控软件之一,为偏执狂们独有的监控与偷窥嗜好提供合法边界代码。 代号为“ Deceptions ”(霸天虎)的疑似巴西黑客组织表示,他们可以轻易渗透 FlexiSpy 系统、窃取其源代码与其他文件并擦除多台服务器访问记录。目前,源代码已在网上泄漏,而该黑客组织也表示坚持立场、积极备战。 从黑客获取的源代码判断,一旦 FlexiSpy 软件被悄然安装至受害者设备,就会通过往来通话记录与短信跟踪设备位置。此外,它还将记录 WhatsApp 与 Tinder 应用程序之间的交互。最终,这些情报都将被反馈给多疑的配偶或老板。这简直可以称得上是牵涉到隐私与心理学的一场噩梦。据悉,FlexiSpy 间谍软件可在 Android、iOS、Windows PC与Apple Mac 上运行。 为了渗透开发人员服务器,黑客们甚至动用了古老的密码安全性技术。攻击者企图对公司网站 SQL 注入 FlexiSpy 间谍软件,后发现仅凭用户名 “ test ” 与密码 “ test ” 就可以访问一台开发设备。 攻击者成功入侵用户帐户后便开始颠覆内部网络,一举攻陷 FlexiSpy 客户数据库,并随之发现运行 SSH 服务的多台设备、一台 Microsoft Exchange 服务器、部分 RDP 可访问系统,若干 Web 服务器与一台 CRM 服务器。此外,他们还发现密码 tcpip123 属于那台 CRM 服务器并由此获得管理员帐户访问权限。黑客组织表示,FlexiSpy 并未提供任何安全防御。为尽可能获得更多不同的访问点,他们将 Tor 部署至 Linux 基础架构中并将每台服务器的 SSHd 设置为隐藏服务。 调查表明,黑客组织已擦除 FlexiSpy 系统数据、利用窃取到的凭证登录 Cloudflare、Rackspace 与 Amazon 帐户并销毁所有蛛丝马迹。最后,他们还将 FlexiSpy 域名重定向至 Privacy International。 FlexiSpy 尚未对此事作出任何回应,仅于 4 月 16 日通过 Facebook 页面向客户发表道歉声明。同时,另一个监控软件供应商 Retina-X 显然也遭受类似黑客攻击。截至目前,黑客已成功获取多达 13 万条 Retina-X 与 FlexiSpy 客户记录,但开发人员仍未针对相关安全漏洞发出任何警示。 原作者: Iain Thomson,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

金融诈骗出新招:伪造达美航空公司支付邮件传播恶意软件

安全公司 Heimdal Security 近期发现一起伪造达美航空支付确认邮件传播恶意软件、企图获取受害者银行账户信息的金融诈骗案。 研究人员表示,诈骗邮件并非像常规邮件那样提及航班信息,而是仅仅留有一个敦促用户快速点击的链接。另外,如果用户仔细观察接收到的电子邮件就会发现地址栏中呈现的是 @deltaa 而非 @delta.com。据悉,这宗诈骗案背后的整个逻辑是让受害者误认为有人通过盗取自身凭证购买机票,即受害者邮箱里会出现一张署有他人名称的电子收据。在这种情况下,慌乱之中的受害者往往会在接到邮件后点击邮件中包含的所有链接,以便了解事件的来由及潜在开销。 毫无疑问,恶意链接会将受害者引至受感染网站,而这些网站用于托管感染 Hancitor 恶意软件的 Word 文档。Hancitor 是一款多功能恶意软件,常用于网络钓鱼攻击。一旦用户设备遭受感染,就会被网络犯罪分子用来下载恶意软件。 研究人员表示,一旦受害者下载并打开恶意 Word 文档,Hancitor 就会使用 PowerShell 代码激活并感染 PC 中的合法系统进程,将受害者 PC 连接至一台或多台恶意命令与控制( C&C )服务器。受害者 PC 上随后安装的其他恶意软件均属于用于窃取 VPN、Web 浏览器、FTP 或消息应用密码与用户名等敏感信息的 Pony 恶意软件家族。 此外,经下载的另一个恶意软件 Zloader 为银行恶意软件,可用于窃取受害者银行账户信息、将账户内钱款洗劫一空。 原作者:Gabriela Vatu,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NSA 泄露的恶意软件 DoublePulsar 已感染 3.6 万 Windows 设备

上周末,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,恶意软件 DoublePulsar 就是被泄露的黑客工具之一,主要为攻击者提供针对 Windows 系统的秘密后门访问。国外安全公司 Below0Day 指出,恶意软件 DoublePulsar 目前已被互联网滥用,全球至少有 3.6 万 Windows 设备已受感染。 △ 全球受感染主机设备地域分布 据 Below0Day 扫描结果显示,全球有 5,561,708 台 Windows 系统( SMB 服务)445 端口暴露于互联网中,已确认有 30,625 主机设备感染了恶意软件。目前被感染的主机设备绝大多数位于美国地区,其次为英国、中国台湾和韩国。 △ Below0Day 发布的全球受感染设备国家/地区 TOP 25 专家表示,其余设备虽未检测出恶意软件 DoublePulsar,但也存在被黑风险。目前网络犯罪组织、企业间谍甚至国家支持的黑客组织都有可能利用这一工具进行非法入侵,使用 Windows 系统的企业或个人最好不要存有侥幸心理。 原作者 Catalin Cimpanu,译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄黑客推出“人性化” RaaS 业务,连小孩都能发起勒索软件攻击了

据外媒 21 日报道,安全研究人员近期发现暗网市场中正在出售一种新型勒索软件 Karmen 以及其衍生出的“勒索软件即服务(RaaS)模式”。调查显示,俄罗斯网络犯罪组织 DevBitox 以用户名 Dereck1 的身份在顶级暗网中出售这款勒索软件。 勒索软件 Karmen 于 2017 年 3 月在暗网中被发现出售,但首次感染事件可追溯至 2016 年 12 月。与其他变体一样,该勒索软件加密受害者数据,并要求缴纳赎金方可提供解密密钥。目前攻击者主要针对美国与德国用户设备。 攻击者除了将勒索软件 Karmen 设计为人性化通用技能与知识外,还采用了先进的安全逃避技术。例如,在系统中检测到沙箱环境或任何其他类型的安全分析软件,Karmen 将自动删除解密部分,重新获取受害者文件访问权限。 此外,勒索软件还具备专用控制面板功能,允许人们定制个性化攻击服务。Recorded Future 研究人员表示,对于购买勒索软件 Karmen 的网络犯罪分子来说,使用控制面板是极其简单的事情,因为仅需极少的技术与知识。 Recorded Future 安全团队主管 Andrei Barysevich 透露,目前只要花个 175 美元,就连五岁小孩都能进行勒索软件攻击了。而勒索软件 Karmen 附带的“ 客户端 ” 页面还能让购买者跟踪已感染设备,并提供支付赎金的更新状态。 至今为止,DevBitox 组织已销售 20 份勒索软件 Karmen ,还剩 5 份可供潜在客户购买。据统计显示,暗网上利用 RaaS 模式出售勒索软件的趋势显著增长,网络犯罪分子通过定制出售恶意软件,旨在允许技术知识有限的人员发起大规模攻击。   原作者:India Ashok,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接