分类: 恶意软件

安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

凤凰网科技讯 据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。 安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。 该恶意软件被认为是Smoke Loader木马的最新变种之一。从2011年开始,在垃圾邮件网络钓鱼活动中,Smoke Loader类木马病毒一直十分活跃,同时在不断发展变化。这类恶意软件在2018年以来都特别繁忙,包括今年早些时候出现的Meltdown和Spectre等安全漏洞,都是这些恶意木马在作祟。 与许多恶意软件一样,该木马最初发动攻击是通过恶意Word附件进行的,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。 令研究人员感兴趣的是,该Smoke Loader木马在传播过程中使用了最新的“注射技术”——PROPagate。这一技术之前不曾被使用,只是几天前刚刚被发现。至于PROPagate概念,在去年年末才被提出,业界最初将PROPagate描述为一种安全攻击的潜在手段。 虽然仍有大量的Smoke Loader试图将附加的恶意软件发送到受攻击的系统中,但在某些情况下,这些恶意程序正在安装自己的插件,以便直接执行自己的恶意任务。 它们所安装的每一个插件,都被设计用来窃取敏感信息,特别是那些存储在PC上的证书或通过浏览器传输的敏感信息——比如Firefox、IE、Chrome、Opera、QQ等浏览器,以及Outlook和Thunderbird程序,都可被用来窃取数据。 思科Talos安全团队的研究人员表示,“我们已经看到,木马和僵尸网络市场正在不断地发生变化。黑客们正在不断地提升他们的技术,通过不断修改这些技术,以增强绕过安全工具的能力。这清楚地表明,确保我们所有的系统时时刻刻保持最新是多么的重要。” “我们强烈鼓励用户和组织遵循推荐的安全实践,例如及时安装安全补丁,在收到未知第三方消息时保持谨慎,并确保可靠的脱机备份解决方案到位。这些做法将有助于减少攻击威胁,并有助于在遭到任何此类攻击后进行系统恢复,”他们补充说。   稿源:凤凰网科技,封面源自网络;

恶意软件伪装成《堡垒之夜》作弊外挂 作弊者遭感染被投送恶意广告

《绝地求生》《堡垒之夜》这些现象级游戏背后最令人厌恶的非作弊行为莫属,近日有尝试使用作弊外挂的《堡垒之夜》玩家感染恶意软件被劫持用于中间人攻击,注入各类恶意广告,而他们都曾经尝试过下载一款伪装成自瞄功能的外挂软件。 近日,据串流软游戏软件Rainway报道,从6月26日开始他们收到了超过38.1万起错误报告。通过发掘日志公司工程师发现,这些用户尽管有者不同的硬件和IP,但他们都曾经在平台串流玩过《堡垒之夜》,而造成这一异常错误报告现象的原因是这些感染了恶意软件的玩家,发起中间人攻击试图通过Rainway服务器代理向多个广告平台发起连接请求。由于Rainway采用了内部白名单,这些无法连接的请求产生了许多错误报告。工程师通过网址追踪到了这一恶意软件的源头,并且对比数千种外挂插件,找到了使用相同URL的《堡垒之夜》外挂插件。这一外挂插件号称能够提供自瞄功能,并且获得免费的V货币。 而起真实的目的是让作弊者劫持发动中间人攻击,投送多个广告或者恶意网址。工程师发现这一伪装成作弊外挂的恶意软件已经被下载了超过7.8万次。   稿源:cnBeta,封面源自网络;

一款针对比特币的恶意软件已经感染了 230 万用户

近日,据外媒cointelegraph报道,一款针对比特币用户的恶意软件已经感染了230万个目标用户,该软件可以控制windows剪贴板以替换其中内容。 该软件被称为“剪贴板劫机者”,将会秘密在后台运行,并且将用户复制到剪贴板中的比特币地址替换为攻击者的地址,用户就会在不知不觉中粘贴错误地址并为攻击者发送加密货币。 外媒Bleeping Computer指出:“除非用户仔细检查比特币地址,否则他们将不会知道发生了这种替换。” 实际上不仅仅是windows电脑,包括Android智能手机等其他设备都包含着各种漏洞,让比特币用户在交易时出现问题。 外媒提醒比特币用户,一定要仔细检查自己的复制粘贴功能,另外一些硬件钱包(如TREZOR)还会强制用户在生成一个比特币地址时进行仔细检查后才允许操作。   稿源:快科技,封面源自网络;

乌克兰担心俄罗斯将对其发起大型协同式网络攻击

据外媒cnet报道,路透社周二报道,乌克兰公司在它们的计算机系统中发现了越来越多的恶意软件。对此,该国政府认为这些恶意软件是在为未来的一场重大协同式网络攻击做准备。乌克兰网络警察局长Serhiy Demedyuk告诉路透社,他们认为类似于去年遭遇的NotPetya勒索软件病毒将可能再次发生。 当时,这一攻击蔓延全球,影响了丹麦航运巨头Maersk、美国制药公司Merck、澳大利亚吉百利出奇蛋工厂等多家大型公司。该病毒封锁了电脑并要求受害者以比特币的形式支付赎金。美国、乌克兰、英国将这一攻击归咎于俄罗斯政府,对此美国还对俄罗斯进行了制裁。 Demedyuk指出,通过对这些恶意软件的分析以及针对乌克兰的攻击目标,他们发现所有工作都是在一天内完成。另外他还称,入侵的数字指纹将背后黑手指向了俄罗斯。 对此,俄罗斯大使馆和乌克兰国家警察局都未立即置评。   稿源:cnBeta,封面源自网络;

特斯拉起诉前员工:黑进内部生产系统 盗取并泄露机密数据

新浪科技讯 北京时间6月21日凌晨消息,本周三,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名前员工,称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。 据诉讼文件显示,特斯拉起诉了曾在内华达州Tesla Gigafactory超级工厂工作的前过程技术人员马丁·特里普(Martin Tripp)。该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。 特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。 另外,特里普还向媒体发表不实言论。诉讼文件写道:“特里普曾称有缺陷的电池元组被用在了部分特斯拉Model 3车型中,而事实上并没有。特里普还夸大了特斯拉在生产制造过程中生产的有缺陷物料的数量。” 诉讼文件写道:“在特里普加入特斯拉几个月后,特里普的领导认为他的工作绩效不佳,并时常与同事发生冲突。由于这些原因,在2018年5月17日前后,特里普被安排到了新岗位。特里普对此表示不满。” 本周早些时候,特斯拉首席执行官伊隆·马斯克(Elon Musk)在一封发给员工的邮件中提到,有一名员工曾对公司的运营造成“持续性的、蓄意的破坏”。马斯克写道:“他的全部罪行还不清楚,就他已经承认的来说,影响极坏。”   稿源:新浪科技,封面源自网络;

分析 629126 个挖矿恶意软件后 发现 5% 的 Monero 都是感染设备挖出的

Palo Alto Networks公司的多名安全研究专家对恶意挖矿行为进行了深入研究,发现5%的Monero加密货币是通过恶意程序开采出来的,而且每日大约2%的算力(hashrate)来自于感染加密货币恶意程序的设备。 在昨天发布的报告中,团队对629126个恶意程序样本进行了检测分析,本次分析并不涉及浏览器矿工(加密劫持),仅仅只是从去年6月份以来感染的桌面和设备。研究人员表示,本次检测和分析的84%恶意程序样本都是针对Monero加密货币的,是恶意组织最受欢迎的加密货币。 通过查询9个挖矿池(允许第三方查询它们的支付统计数据),研究人员在5316663个恶意程序样本中发现了2341个Monero地址,团队预估这些黑客团队在过去1年中已经获取了价值超过1.08亿美元的Monero币。 Palo Alto Networks公司还指出,犯罪团伙已经利用被感染的设备恶意挖矿了约798,613.33枚Monero coins (XMR)。在过去1年中,被感染的设备的算力达到了每秒19,503,823.54hashes/second,占据了Monero网络整个算力的2%。   稿源:cnBeta,封面源自网络;

Talos:FBI重启路由器的建议失效 僵尸网络感染了更多设备

还记得两周前,联邦调查局(FBI)要求所有人重启路由器,以帮助“摧毁”僵尸网络吗?遗憾的是,根据思科 Talos 安全部门周三发布的报告,这款名叫“虚拟专用网过滤器”的恶意软件不仅没被干掉,反而可能拥有了更多的功能、并且正在利用比以往更多的设备!Talos 指出,他们发现了一个可被黑客用来拦截受感染设备或路由器流量的“ssler”模块(读作 Esler)。 简而言之,即便 FBI 寻求公众的帮助来摧毁该僵尸网络,这款名为“虚拟专用网过滤器”的恶意软件却依然存活,导致人们仍易受到它的威胁。 Talos 资深技术领导人 Craig Williams 在接受 ARS Technica 采访时表示: 我们担心 FBI 给公众营造了一种虚假的安全感,该恶意软件仍在运行,且感染了比我们最初认为更多的设备。它的能力远远超出了我们最初的想象,人们需要从这个僵尸网络中摆脱出来。 至于 FBI 此前的建议到底多有效,该机构未立即置评。此前受影响的设备包括 Linksys、MikroTik、NetGear、以及 TP-Link 。 然而Talos 指出,他们在更多的路由器上发现了该恶意软件的身影,涉及华硕、D-Link、华为、Ubiquiti、UPVEL、中兴等厂家。   稿源:cnBeta,封面源自网络;

avast:中兴手机预装恶意软件 嵌入固件底层

著名安全机构 avast 发布报告称,旗下安全威胁实验室发现,中兴、爱可视、MyPhone 等厂商的多款安卓手机居然预装了恶意广告软件。该恶意软件被命名为“ Cosiloon ”,它会在用户使用浏览器上网的时候,在网页上方覆盖显示一个广告。 avast 称这个恶意软件已经悄然存在了至少三年之久,而且预装在手机的固件层面,对于普通用户来说几乎不可能将其完全清除。 avast 观察到,由于这些手机都未经过 Google 认证,已经导致数千用户中招,尤其是最近几个月,已经发现大约1.8万部手机存在此恶意软件,而且遍布 100 多个国家和地区,重灾区有俄罗斯、意大利、德国、英国和美国等。 avast 已经将此报告给 Google,后者正在采取措施,通过内部技术清除部分设备上的恶意应用变种。但是由于恶意软件与手机固件紧密结合,Google 也没有太好的办法,只能联系固件开发商,敦促其解决此问题。   稿源:凤凰网科技,封面源自网络;

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户

据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。 与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议: “建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序; 检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。” 卡巴斯基实验室分析报告: 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。