分类: 恶意软件

Neptune 漏洞开发工具包通过虚假广告投放挖矿工具

据外媒 8 月 22 日报道,安全公司 FireEye 研究人员 Zain Gardezi 与 Manish Sardiwal 近期发现:黑客利用 Neptune 漏洞开发工具包通过合法网站弹出的虚假广告将用户重定向至特定网页,并利用浏览器漏洞投放挖矿工具。 图1. 遭受 Neptune 漏洞开发工具包影响的国家分布情况 调查显示,攻击者在某知名徒步旅游网站上伪造看似 “ 合法 ” 的弹出式广告窗口,诱导用户点击后重定向至特定页面,并通过检测 IE 浏览器漏洞确定是否投放挖矿工具。这些虚假广告多数情况出现在高流量领域或多媒体托管网站。一旦用户被重定向后会立即下载恶意软件。目前,研究人员尚未透露弹出式广告服务商名称,但强调了该企业在 Alexa 排名前 100。 漏洞开发工具包的登录页面运行多处漏洞,其中包括瞄准 IE 网站展开攻击的三处漏洞( CVE-2016189、CVE-2015-2419、CVE-2014-6332),及以 Flash 为目标的两处漏洞(CVE-2015-8651、CVE-2015-7645) 。 研究人员表示,此类攻击活动主要是黑客通过开发工具包领域的统一资源标识符(URI)将 payload 作为普通可执行文件运行。目标设备被感染后就会尝试使用攻击者电子邮件地址账号登录到加密货币采矿池 minergate[.]com。 图2. 虚假广告页面 原作者:Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌从 Google Play 上移除逾 500 款恶意应用

8 月 23 日上午消息,出于对间谍软件的恐慌,谷歌从其在线应用程序商店删除超过 500 款应用程序。本周,网络安全公司 Lookout 研究人员透露,发现超过 500 款应用程序可通过 Google Play 进入用户手机传播间谍软件。在应用程序中使用的某些软件,可在不提醒应用程序制造商的情况下,秘密将用户的个人数据转移到其设备上。 目前,多数应用程序开发人员可能并不知道这些安全漏洞的存在。Lookout 列举了两款受影响的应用程序——Lucky Cash 和 SelfieCity,两者随后均被锁定。虽然该公司没有透露其他受影响的应用程序,但他们表示,其中包括面向青少年的手机游戏、天气应用程序、在线电台、照片编辑、教育、健康、健身和家庭摄像机应用程序。 所有受影响的应用程序都使用了同一软件开发工具包(SDK),它可以帮助公司根据用户喜好对应用程序中的广告进行定向,收集用户数据。Lookout 人员发现,嵌入在应用程序中的 Igexin 广告 SDK 能够使这些应用程序与外界服务器进行交流,安全公司说,后者曾经向人们提供过恶意软件。 尽管应用程序偶尔与这些服务器进行通信的情况并不少见,但 Lookout 研究人员注意到一个奇怪的例子——其中一个应用程序似乎正在 “ 从这些服务器下载大型加密文件 ”。这一行动提示研究人员,黑客正在利用 SDK 中的一个漏洞。当应用程序被安装在设备上后,可能向外传播恶意软件。 虽然应用程序开发商有义务告知用户他们收集数据的方法,但 Lookout 指出,开发商可能并不知道的 Igexin SDK 可以为恶意软件大开方便之门。研究人员称,他们已将发现的安全楼道内通知谷歌公司,后者随后立即采取行动,在应用商店里删除了这些应用,或更换到不存在同样网络安全漏洞的新版本。 稿源:cnBeta、新浪科技,封面源自网络;

加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝(EternalBlue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示,该勒索软件使用 WMI 作为无文件持久性机制,即由 WMI Standard Event Consumer 脚本应用程序(scrcons.exe)执行。此外,Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先,Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门(BKDR_FORSHARE.A);其次,系统在安装各种 WMI 脚本后,会将其连接到 C&C 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前,安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 公布 2017 年 7 月全球十大最受 “ 欢迎 ” 恶意软件

安全公司 Check Point 于 8 月 21 日发布最新报告《 全球恶意软件威胁影响指数 》,指出 7 月十大最受 “ 欢迎 ” 的恶意软件。其中,广告恶意软件 RoughTed 影响全球组织的比率虽然由 28% 下降至 18%,但目前仍名列榜首。以下是全球十大最受 “ 欢迎 ” 恶意软件列表(箭头代表与上个月相比的改变): 1、↔广告恶意软件 RoughTed:大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接,不仅可以攻击任意类型的平台与操作系统,还可绕过广告拦截器与指纹识别功能,提高了黑客攻击的成功率。 2、↑HackerDefender Rootkit:用于隐藏 Windows 用户设备文件、进程与注册表项,还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下,无法采用传统手段找到隐藏后门。 3、↓浏览器劫持软件 Fireball:是一款功能齐全的恶意软件下载程序,允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 图一:浏览器劫持软件 Fireball 4、↑多用途机器人 Nivdort:又名 Bayrob,用于收集密码、修改系统设置、下载其他恶意软件,通常利用垃圾邮件进行大规模传播,收件人地址以二进制编码确保唯一性。 5、↑Conficker 蠕虫:允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C&C 服务器接收指令。 6、↓勒索软件 Cryptowall:最初是一款加密软件,经过扩展后成为当下最知名的勒索软件之一,主要特色是 AES 加密与 To r匿名网络 C&C 通信,其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 7、↑银行木马 Zeus:通过捕获浏览器中间人(Man-in-the-Browser,MitB)按键记录与样式窃取银行账户信息。 图二:宙斯 Zeus 8、↑Pykspa 蠕虫:通过从设备中提取个人用户信息,并使用域名生成算法(DGA)与远程服务器进行通信。 9、↑木马 Pushdo:除了可以感染系统、下载 Cutwail 垃圾邮件模块外,还可用于安装其他第三方恶意软件。 10、↑恶意软件 Hancitor:允许攻击者在目标机器上安装银行木马或恶意软件下载器。通常,Hancitor 也被称为 Chanitor,因为攻击者可以通过发送附带恶意软件的邮件、传真或发票感染收件人网络系统。 此外,Check Point 专家还在该报告中指出 7 月份全球三大最受 “ 欢迎 ” 的手机恶意软件: 1、间谍软件 TheTruthSpy:允许攻击者隐匿安装并跟踪与记录设备数据。 2、黑客工具 Lotoor:允许攻击者通过 Android 操作系统漏洞在受攻击的移动设备上获得 root 权限。 3、恶意软件 Triada:适用于 Android 模块化后门程序,可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。 调查显示,虽然来自具有高度传染性恶意软件变种影响各组织的几率在不断减少是件令人鼓舞的事情,但这并不意味着他们可以放松警惕。尽管恶意软件 RoughTed 影响规模有所下降,但在七月仍有近五分之一的组织受到感染。一旦关闭攻击者通道,网络犯罪分子仍会迅速设计出新恶意软件形式,使每个行业的组织都必须采用多层次方式保障自身网络系统安全。 稿源:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元

据外媒报道,全球最大的集装箱航运公司马士基(AP Moller-Maersk)于 8 月 15 日在线公布《 2017 第二季度财务业绩报告 》,证实公司于 6 月遭受勒索软件 NotPetya 袭击后损失数亿美元。 调查显示,公司收入损失源自重大业务中断,因被迫暂时关闭感染恶意软件的关键系统 Damco 与 APM 终端作为防御措施。据悉,由于该恶意软件只影响马士基集装箱相关业务,因此包括所有能源企业在内的九家公司中六家能够正常运营。此外,马士基还于攻击期间对所有船只进行全面检测,以确保所有员工运输安全。 据统计,马士基只是数百家受害企业之一,此前乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、TNT 快递与律师事务所 DLA Piper 等机构也纷纷受其影响。马士基高管表示,此次网络攻击活动由以往不常见的恶意软件影响,其更新 Windows 系统与防病毒软件的措施并非最有效方案。目前,马士基正进一步加强系统保护方案。 关联阅读:美国制药巨头默克证实:NotPetya 网络攻击活动严重危及全球多领域业务 稿源:Mike_Mimoso, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 新变种可加密 Canary 文件、规避杀毒软件检测

据外媒 8 月 16 日报道,安全公司 Cybereason 研究人员 Uri Sternfield 近期发现勒索软件 Cerber 出现新型变种,可加密 Canary 文件、规避杀毒软件检测。        Canary 文件是一种安全防御手段,用于早期检测勒索软件威胁。研究人员表示,该文件位于系统特定位置,其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图,那么它将当即提供必要防御方案。 调查显示,Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确,Cerber 将会对其进行加密并规避杀毒软件检测;如果图像格式不正确,Cerber 将跳过文件所在的整个目录。 研究员 Sternfield 表示,虽然该功能允许 Cerber 规避杀毒软件检测,但同时也会削弱自身价值。对此,研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外,Cybereason 还研发出一款免费应用程序 RansomFree,可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件,然而,该做法极易创建非正常 Canary 文件。例如,将图像文件重命名为 .jpeg。因此,此操作并非永久防御措施,用户需要加强自身系统防御体系,以减少恶意软件攻击。 稿源:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

窃取银行密码的恶意扩展多次进入谷歌应用商店

Google 采取自动化的方式检测递交到应用商店或扩展商店的应用或扩展,但过去几个月内,安全研究人员发现大量恶意应用和扩展未被 Google 自动化检测程序发现。 据悉,最新一款被安全研究人员发现的 Chrome 恶意扩展是 Interface Online,它设计窃取用户的银行登录凭证,并于过去 17 天内至少更新了两次。当安装该扩展到用户访问特定网页时,它会激活一个 JavaScript 运行,以记录输入登录框的用户名和密码,然后将日志上传到攻击者控制的服务器。 调查显示,攻击者目前主要针对巴西银行用户。然而,Google 在接到安全研究人员的通知后当即将其移除,但随后它又再次出现。最终,研究人员通过举报后才将其完全移除。 稿源:solidot奇客,封面源自网络;

微软 PowerPoint 被用作攻击媒介下载恶意软件

安全公司趋势科技于近期发布一份研究报告,指出网络犯罪分子通过微软 PowerPoint 利用 Windows 对象链接嵌入(OLE)界面中的漏洞安装恶意软件。 调查显示,该漏洞接口通常被恶意 RTF 文件利用,即恶意软件伪装成 PPSX 文件,这是一种仅允许播放幻灯片的 PowerPoint 文件,但不可编辑。如果接收器下载并打开它,内容将显示漏洞文本。 据悉,该文件将触发漏洞 CVE-2017-0199,然后将开始感染主机,恶意代码通过 PowerPoint 动画运行。随后,将下载文件 “logo.doc” 。该文档实际上是一个具有 JavaScript 代码的 XML 文件,该代码运行 PowerShell 命令下载名为 “RATMAN.exe” 的新程序,这是一种名为 Remcos 的远程访问工具的特洛伊木马版本,之后建立与 Command&Control 服务器的连接。 Remcos 可以记录击键,截取屏幕截图,录制视频和音频,并下载更多恶意软件。此外,它还可以让攻击者完全控制受感染的计算机。为了保护自身,恶意文件使用了一个未知的 .NET 保护器,这使安全研究人员难以对其进行分析。最终,由于 CVE-2017-0199 的检测方法专注于 RTF 文件,因此使用 PowerPoint 文件允许攻击者逃避防病毒检测。但是,趋势科技确实注意到,微软已经在 4 月份通过最新安全补丁解决了这个漏洞。 稿源:cnBeta,封面源自网络;

恶意病毒 IsraBye 伪装勒索软件损毁文件、宣扬反以色列思想

据外媒 8 月 13 日报道,安全公司 Avast 研究人员 Jakub Kroustek 近期发现一款恶意病毒 IsraBye 通过伪装成勒索软件肆意传播并永久损毁系统文件,同时可将用户桌面内容替换成反以色列画面。 以色列政府针对耶路撒冷的阿克萨清真寺采取新安全措施,引发阿克萨危机事件。然而,巴勒斯坦认为这是以色列对伊斯兰教的控制与扩张。调查显示,由于 IsraBye 在阿克萨事件发生不久后被发现,因此研究人员推测该恶意软件的出现并非偶然 。 恶意病毒 IsraBye 由 5 个不同可执行文件组成,其第一个可执行文件名为 IsraBye.exe 。当程序启动时,IsraBye.exe 会自动将以下反以色列字符串消息替换到所有连接驱动器上的文件中: Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare 事实上 IsraBye 并不会对文件进行加密,而是直接毁坏文件本身内容。一旦完成操作,它将从 IsraBye.exe 可执行文件中提取并启动 4 个名为 Cry.exe、Cur.exe、Lock.exe 与 Index.exe 的文件。其中 Cry.exe 可执行文件将以反以色列的图像取代目标设备的桌面墙纸。 另外,Lock.exe 可执行文件运行以下三个功能:首先,它将寻找 procexp64、ProcessHacker、taskmgr、procexp、xns5 进程并在被检测时终止它们。其次,如果它尚未运行,将启动 Index.exe。最后,它将主 Israbye.exe 文件复制到其他驱动器的 root 目录 ClickMe.exe 中,以便传播恶意软件。 研究人员 Ido Naor 注意到,在 %Temp% 文件夹中创建一个名为 ClickMe.exe 的文件,可能会使 IsraBye 在第一次启动时处于崩溃状态。最后,Index.exe 可执行文件将显示锁屏,并提取 wav 文件并进行播放。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行木马 Emotet 使用频率激增,感染 Windows 系统窃取客户银行凭证

据外媒 8 月 11 日报道,网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加,旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马,首次于 2014 年被趋势科技( Trend Micro )研究人员发现,其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示,银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉,该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开,就会自动从承载该软件的多个互联网域名中下载 Emotet。此外,黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前,研究人员尚不清楚在最近的感染事例中,哪些国家的 Windows 操作系统是其主要目标,也并未提及具体受害者人数的统计数据。总而言之,这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此,研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者:Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。