分类: 恶意软件

新型勒索软件以星际迷航人物命名,使用数字货币 Monero 付款

看来一些网络犯罪分子正在针对星际迷航粉丝发动攻击,Avast 恶意软件研究员 Jakub Kroustek 发现一款新的勒索软件变种,以星际迷航当中人物 Kirk 的名字命名,这款勒索软件用 Python 编写的。被伪装为称为低轨道离子炮应用程序,后者是一款网络压力测试应用程序。 一旦执行,Kirk 将生成一个 AES 密码,用于加密受害者的文件,随后通过嵌入式 RSA-4096 加密密钥进行加密。接下来,受害者电脑将显示“ LOIC 正在为您的系统初始化…”这可能需要一些时间。在这一点上,Kirk 勒索软件默默地加密文件。据报告,恶意软件会影响 625 种文件类型,包括广泛使用的文件类型,例如 .mp3,.docx,.zip,.jpeg 和 .wma 等。此过程完成后,就会显示赎金通知。 典型的勒索软件通常会要求以比特币或 MoneyPak 作为付款,以解锁文件。然而,Kirk 勒索软件要求受害者以 Monero 付钱,它是类似于比特币的另一种安全加密货币。在前两天,它将要求受害者支付 50 Monero,相当于大约 1265 美元。它将每隔几天重复一次,如果在第 31 天没有付款,解密密钥将被永久删除。 犯罪分子承诺受害者在以 Monero 付款后,将名为 Spock 软件发送给受害者。到目前为止,没有任何方法来免费解密,也没有任何人受到这个勒索软件影响的报告。 稿源:cnBeta;封面源自网络

“超级恶意软件”窃取英特尔 SGX 隔离内存领域的加密密钥

来自格拉茨科技大学的科学家团队揭示了一种新方法,可以从英特尔  SGX (软件防护扩展)enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令,它允许用户级代码分配专用区域的内存,称为 enclaves 。与正常的内存处理方法截然不同,它不仅受到了保护,也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明,恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示,恶意软件能够通过监视 RSA 模块签名过程,利用高速缓存的访问模式来恢复 RSA 密钥,防止 enclaves 在读取或操纵内存时,遭受硬件的攻击。为了保护包围区代码的完整性,加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配,CPU 将拒绝运行 enclaves 。 稿源:digitalmunition.me ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌捣毁最大 Android 恶意软件家族之一 Chamois(羚羊)

据外媒报道,日前,谷歌捣毁了一个巨大的 Android 恶意软件家族 Chamois。据这家公司披露,这些恶意软件已经感染了上百万台设备。 Chamois 是一个对 Android 设备展开大范围广告欺诈的恶意软件。谷歌安全软件工程师 Bernhard Grill、Megan Ruthven、Xin Zhao 在官博上指出,他们是在常规广告流量质量评估中发现了 Chamois。 工程师对那些基于 Chamois 开发而出的恶意软件展开了分析,他们发现这些软件能够通过数种途径避开检测并尝试欺诈用户,于是决定采用 Verify Apps 来屏蔽掉来自 Chamois 家族的恶意软件并将那些试图利用恶意软件破坏谷歌广告系统的人踢出去。 据了解,Chamois 恶意软件看起来并不会出现在设备的软件列表中,更别提去卸载,这时候 Verify Apps 就起到了作用。通过这套工具,用户可以检测到设备内可能对其存有危害的软件并将其删除。谷歌称,Chamois 是Android 生态系统迄今为止遇到过的最大的恶意软件家族之一,它能够通过多条途径传播。 Chamois 拥有大量令其特殊的功能,如它的代码会在 4 个不同的阶段使用不同的文件格式进行执行。这种多阶段的处理方式使得它变得更加复杂,而这意味着它们更难被发现。另外,Chamois 家族软件还能通过模糊化和反分析技术来躲开检测。此外,它们还能使用一套定制、加密的方式来储存配置文件。 谷歌方面表示,为了更好地了解 Chamois,他们对 10 万行复杂的代码展开了分析。不过目前,谷歌并未透露遭 Chamois 恶意软件感染的软件名字。 稿源:cnBeta,封面源自网络

2016 年约有 61% 的组织遭受勒索软件攻击

根据 CyberEdge 集团的“网络威胁防御报告”显示,2016 年大约有 61% 的组织遭受了勒索软件的攻击。在这些受感染者中,超过三分之一的公司通过向勒索者付费恢复了数据;54% 的公司拒绝缴纳赎金;13% 的公司永久失去了所有数据。 随着行业的发展,有利可图的恶意软件在当今时代越来越盛行。近期,有攻击者表示:仅仅在去年,他们利用恶意软件对各大公司进行入侵时,获取赎金高达 10 亿美元。 CyberEdge 的报告指出,越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70% 到 2016 年的 76% ,再到今年的 79% 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明:在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术,早已攻破互联网巨头谷歌和雅虎的防护,并进行数据盗取,从而导致公司安全支出的激增。目前, CyberEdge的 研究人员认为:员工的低安全意识,导致组织更加容易受到攻击。 原作者: FRANCISCO MEMORIA,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新恶意软件 “ELF_IMEIJ” 利用 AVTech 监控产品收集网络数据

趋势科技发现了一个新的 Linux 恶意软件 ELF_IMEIJ ,该恶意软件针对监视技术公司 AVTech 的设备,并利用了一个 2016 年发现但尚未修复的 CGI 漏洞收集网络活动数据。 该漏洞由安全研究机构 Search-Lab 发现并于 2016 年 10 月报告给 AVTech ,但该漏洞至今还没有修复。这一新的 Linux 恶意软件会通过 39999 端口感染 AVTech 的云 IP 摄像机、CCTV 设备和网络录像机,并收集系统信息和网络活动数据,之后将执行恶意 shell 命令启动分布式拒绝服务( DDoS )攻击或终止自身。 下面是 ELF_IMEIJ.A 和 Mirai 恶意软件的对比 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

两家企业拥有的 38 部 Android 手机被预装了恶意程序

移动安全公司 Check Point Software Technologie 报告,两家企业拥有的 38 部 Android 手机被发现预装了恶意应用。报告中没有披露企业的名字,但可以确定的是恶意应用不是厂商提供的官方固件的一部分,而是在供应链的某一处加入进去的。其中六部手机的恶意程序拥有系统权限,被安装在 ROM 中,如果不刷机的话是无法移除掉的。 该公司的研究人员称,即使用户万分小心,也可能会在不知情下被恶意程序感染。大部分恶意应用主要是收集信息和展示广告,其中一个应用是勒索软件。这些 Android 手机属于众多品牌,包括三星和 LG 的多款手机,小米 4 和红米、中兴 x500、Oppo N3、vivo X6 plus、Nexus 5 和 5x、联想 S90 和 A850。研究人员称,他们并不清楚攻击者是否专门针对这两家公司,或者是更广泛的行动的一部分。 稿源:cnbeta,有删改,封面来源于网络

新磁盘擦除恶意软件 StoneDrill 针对沙特阿拉伯和欧洲工业

卡巴斯基研究员发现一个新型复杂的恶意软件“ StoneDrill ”,它与此前发现的磁盘擦除恶意软件 Shamoon 2 和 Charming Kitten 有些相关性。StoneDrill 可用于网络间谍活或破坏活动,具有像 Shamoon 那样擦拭硬盘记录的功能。该恶意软件被攻击者用于打击沙特阿拉伯实体组织和欧洲组织,不过截止卡巴斯基发布报告,研究员还没有收到 StoneDrill 攻击造成损害的事件通报。 虽然恶意软件 StoneDrill 与 Shamoon 并不共享代码,但仍让专家发现了几种“风格”相似之处,并有多个有趣的因素和技术,可以更好地逃避检测。研究人员仍在调查感染过程,他们证实 StoneDrill 采用了更加复杂的技术来逃避安全应用程序的检查。相比于 Shamoon 在部署时使用驱动程序,StoneDrill 利用内存注入机制,将擦除模块注入受害者的浏览器。擦除物理和逻辑驱动器完成后可重启系统。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新 PowerShell 恶意软件利用 DNS 请求接收 C&C 命令,通信流量更隐蔽

思科安全研究人员发现一种可利用 PowerShell 脚本从 DNS 记录中提取 C&C 服务器命令的恶意软件。该恶意软件借助垃圾邮件传播并借用 McAfee 的名声利用武器化的 Word 文档感染用户。攻击过程中使用的恶意代码基于 Windows PowerShell 脚本,后门木马通过 DNS 域名服务与 C&C 基础设施实现通信。这种通过 DNS 流量进行的通信联系的方式将更加隐蔽。 攻击者利用社会工程学来欺骗受害者打开恶意 Word 文档。该文档内容显示“此文档受 McAfee 保护”,由于 McAfee 是一个十分知名的安全公司,这大大增加了受害者对该文件的信任并按照“ McAfee ”提示启用内容。当受害者打开文档时,恶意宏将启动 PowerShell 命令进行安装后门。此后恶意代码将执行 PowerShell 命令通过 DNS TXT 消息向 C&C 服务器发送请求并接收响应。 原作者:Pierluigi Paganini,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Dharma 密钥“泄露”,用户可免费解密恢复文件

勒索软件 Dharma 的受害者现在可以免费获得解密密钥。周四上午卡巴斯基实验室的 Rakhni 解密工具添加了勒索软件 Dharma 的解密密钥。 据称,一个名为“ gektar ”的用户在 BleepingComputer.com 论坛上发布了一个 Pastebin 链接,其中包含该勒索软件的解密密钥。研究员对密钥进行分析发现钥匙是有效的,并将其纳入现有的解密工具。勒索软件 Dharma 是勒索软件 Crysis 的变种,最初出现在去年 11 月,受害者 C 盘下的文件被加密并以“ .dharma ”结尾。在某些情况下,文件名也会被更改为电子邮件地址“ @ india.com ” 。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测

安全研究人员发现了一个新的银行木马变种 Dridex 4 ,它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前,研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动,预计在未来几个月内,活动范围将扩展到美国金融机构。 IBM X-Force 博客中介绍到,Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现,由于原子表是系统的共享表,各类应用程序均能访问、修改这些表内的数据,攻击者可以将恶意代码注入 Windows 的原子表( atom table ),并通过检索调用恶意代码并在内存空间中执行,从而绕过杀毒软件的检查。 值得注意的是,Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表,然后利用其它方法来获得权限、执行代码。此外,木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用( APC )机制。总的来说,Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测,而是它将新型技术融入主流恶意软件的速度。可以预见,为了应对银行越来越完善的后端反欺诈算法,恶意软件将越来越多的采用更加先进的技术来提升木马能力。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。