分类: 恶意软件

新型恶意程序利用硬盘 LED 指示灯窃取信息

以色列本古里安大学网络安全研究中心的科研人员近日成功研发出了新型恶意程序,能够通过相对高速的硬盘 LED 指示灯窃取密码和加密密钥等数据。目前计算机受到的攻击都来自网络,而这种方式在离线状态下也能发起攻击。 科研人员研发的这款恶意程序能够以每秒 5800 次的速度不断闪烁,通过这款恶意软件能够对敏感数据进行编码,通过不断闪烁的 LED 指示灯传递给其他硬盘上。科研人员将这款恶意程序称之为 LED-it-GO (PDF)。 为了接收机械硬盘 LED 编码的数据,科研人员使用无人机和包含相机的其他设备进行传输,通过这项技术能够每秒传输 4000 bits 的文件容量。科研人员表示相比较依赖于光学发射的 air-gap 隐蔽渠道要快 10 倍。而且科研人员表示各种新型的信息窃取方式已经涌现,例如通过 PC 的音响、风扇的速度和发出的热量等等。 稿源:cnBeta,封面源自网络

针对 Android 平台的勒索软件攻击一年内增长了 50%

趋势科技进行的一项调查发现,针对 Android 操作系统的勒索攻击在短短一年内增长了超过 50%,因为越来越多的消费者从他们的 PC 切换到他们的智能手机,使移动操作系统生态系统成为网络犯罪分子更有价值的目标。 根据安全公司 ESET 的报告,加密恶意软件攻击的最大峰值来自 2016 年上半年。还发现锁定屏幕上的所谓“警察勒索软件”一直是 Android 平台上勒索软件的主要类型,可以有效地吓唬一些受害者,这类软件声称受害者犯罪,这导致许多人向攻击者支付所谓赎金。 除此之外,研究人员还发现,犯罪者通过将恶意软件的有效载荷加密深入到被感染的应用程序内,增加了它们被发现的难度。在 ESET 发布的勒索软件白皮书中表示,东欧是勒索软件开发商的主要目标。然而,随着时间的推移,这种情况已经改变,勒索软件记录在案的成功攻击事件当中,有 72% 发生在美国。研究发现,这种转变是由于在美国的移动用户一般比东欧更富有,因此针对美国的用户的攻击将为他们带来更多的利润。 为了确保 Android 设备安全,ESET 建议用户远离第三方应用商店,及时更新移动安全软件并且小心访问那些未知网站,因为并不是每一个登陆页面都是安全的。 稿源:cnBeta;封面源自网络

恶意软件TeamSpy利用远程工具TeamViewer进行网络间谍活动

安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 DLL 劫持技术保持隐蔽性,使用合法的远程访问工具 TeamViewer 执行未经授权的操作。 DLL 劫持技术 DLL 文件为动态链接库文件,当一个程序运行时,Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL,如果没找到,则在系统目录中查找,最后才是在环境变量目录中查找。 攻击者将在程序目录下伪造 DLL 的同名函数,这样程序将优先调用伪造的 DLL 文件,先执行伪造文件中的恶意代码,处理完毕后,再调用原 DLL 文件。 攻击者发送的网络钓鱼邮件中包含一个 zip 附件,当受害者打开压缩包的同时将执行附带的 exe 文件,如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ,并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证,攻击者可访问计算机上未被加密的内容。 目前,大多数杀毒软件还无法检测到恶意软件 TeamSpy ,它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出,如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以色列国防军遭“色诱”感染间谍软件 ViperRAT,泄露敏感信息

据 Lookout 和 卡巴斯基报道,一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击,窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件,并远程泄漏了高价值的数据,包括照片和音频录音。 攻击策略:美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后,美女以各种手段诱骗士兵下载恶意软件,如 SR Chat 和 YeeCall Pro 此类的聊天软件,以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ,并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机,窃听士兵的对话并进行实况拍照,近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置,通话记录,个人照片,短信,基站信息,网络和设备数据,互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安卓木马 Marcher 窃取数十款银行 APP 账户凭证,杀毒软件无法卸载

一种新 Android 银行木马 Marcher 正在兴起,通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件,获取权限、收集数十家银行账户数据。重要的是,国内外二十多款杀毒软件拿它没办法,无法查杀卸载。 据 Securify 统计,在 11000 个受影响设备中近 5700 个属于德国移动设备、2200 个是法国移动设备。此外,大多数受感染的设备运行的是 Android 6.0.1 系统。 安全专家介绍,木马通过短信、彩信或者社交软件消息进行网络钓鱼,利用社会工程学诱骗用户点击下载木马,安装时应用程序将请求用户提供短信存储、访问以及设备管理员这样的高级权限。 木马通过两种方式发动攻击: 一种是拦截、发送带有验证的银行信息。 另外一种是“覆盖攻击”,当你使用银行 APP 时,木马会查询目标列表中是否存在该 APP,并有针对性的在屏幕上跳出对应银行的网络钓鱼窗口。黑客设计的钓鱼窗口十分逼真并要求用户输入银行凭证等信息。 许多有针对性的银行 APP 目前该银行木马主要针对国外数十家银行及社交应用 APP,银行如汇丰银行、PayPal、奥地利银行、苏格兰银行等,社交类如 Instagram、Play Store、 Facebook、Skype、Viber、WhatsApp、Gmail、Amazon 商城等详情可查看链接。 杀毒软件拿它没办法 此外,该木马有一个极大的“优势”,它可以躲避众多杀毒软件的查杀,让杀毒软件无法卸载它。众多杀毒软件受影响,如猎豹清理大师、 360 安全卫士、Norton、BitDefender、卡巴斯基、AVG 等二十多款。 它所利用的技术相当简单:查询设备是否运行杀毒软件,如果正在运行,恶意软件会强制手机返回主屏幕。即使杀毒软件检测到恶意软件,但要删除它必须要得到用户确认、授权,而一运行就返回主屏幕就导致用户无法点击确认,杀毒软件也就无法删除。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Kelihos 晋升为一月最流行恶意软件榜单首位

据安全公司 CheckPoint 报道,2017 年第一季度恶意软件排名发生了些变化。恶意软件 Kelihos 上升到榜首位置,Conficker 蠕虫下降到第四名。惊人的是,8 年前的恶意软件 Conficker 仍然仍然是 2016 年最活跃的恶意软件系列之一。 Kelihos 是一种用于比特币盗窃的僵尸网络,全球有 5% 的组织受其影响。其次是 HackerDefender 和 Cryptowall 排在第二和第三名位置分别影响 4.5% 的组织。另外还有 Conficker 、Nemucod 、RookieUA、Nivdort、Zeus 、Ramnit、Necurs。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新款 macOS 恶意软件也耍起了 Windows 平台上的“老伎俩”

虽然 Mac 恶意软件很罕见,但这并不表示 macOS 系统能完全免疫。外媒 Ars Technica 报道称,研究人员已经发现了一款新型 macOS 病毒,它使的都是曾经在 Windows 平台上耍过的“老伎俩”,利用了 Word 文档的“宏”(macro)功能来隐藏和执行恶意代码。 攻击者会引诱粗心的用户打开已被感染的 Word 文档,恶意软件会在加载恶意宏文件后被立即执行。万幸的是,识别这些受感染文件并不困难,因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求,但只要在这一步刹住车,就可以阻止恶意软件的传播。但是万一,你还是“手滑”点击了“运行”,那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染(下载额外的恶意软件)。 昨天,本站也报道了一款来自伊朗的 macOS 恶意软件 MacDownloader ,伪装成虚假的软件更新,然后开始窃取用户的 Keychain,通过钓鱼手段骗得用户名和密码(以及其它凭证),最终将数据传回给攻击者。 对于 macOS 用户来说,避免此类攻击的最佳方式,就是慎从第三方或不被信任的网站下载软件,而是直接前往苹果 App Store、或者应用程序制作者的官方网站。 稿源:cnbeta,有删改,封面来源于网络

新 Mac 恶意软件伪装成 Flash 更新,攻击美国国防行业

安全研究人员最近发现了一款来自伊朗的 macOS 恶意软件 MacDownloader ,企图攻击与美国国防工业相关的个人和企业。研究人员在一个冒充是美国航空航天公司“联合科技公司( United Technologies Corporation )”的网站中发现这个恶意软件。该网站声称可提供“特殊项目和课程”,试图吸引潜在的攻击对象。此前该网站曾被用于传播 Windows 恶意软件。 目前访问该网站的访客会被恶意 Windows 或 MacOS 攻击,取决于访客使用的操作系统。如果是 MacDownloader,它会创建一个虚假的 Adobe Flash Player 对话提供 Flash 播放器的升级,或者是关闭窗口。研究人员表示 MacDownloader 起初伪装成一个虚假病毒删除工具,后来才重新包装成虚假 Flash Player 更新。 恶意软件会收集 Mac 用户数据将 Keychain 发送到攻击者服务器上。它还能够给出一个虚假的系统偏好对话框,骗取用户名和密码,用于访问加密的 Keychain 数据。 除了攻击美国国防工业之外,据悉该恶意软件还曾攻击过一位维护人权的人士,也就是说黑客还可以用这款恶意软件来攻击其他他们感兴趣的社区。 稿源:cnbeta,有删改,封面来源于网络

新木马以 Windows 为跳板传播恶意软件 Mirai

安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。 Windows 木马传播恶意软件 Mirai 该 Windows 木马被称为 Trojan.Mirai.1 ,其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写,用于扫描指定范围 IP 地址的 TCP 端口,以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件( wpd.dat )、提取 IP 地址列表,并对设备多个端口进行扫描。如果感染设备运行 Linux 操作系统,它将执行一系列命令将其纳入 Mirai 僵尸网络,如果感染设备运行 Windows 系统,它将潜伏下来并继续传播寻找新目标。 Mirai Windows 版本针对更多端口 22 – Telnet 23 – SSH 135 – DCE/RPC 445 – Active Directory 1433 – MSSQL 3306 – MySQL 3389 – RDP 值得注意的是,木马虽然扫描 3389 端口但不通过 RDP 协议连接设备执行指令,而是通过 Telnet 、SSH 等端口连接到 Linux 设备,执行相关操作。 此外,木马还执行其他恶意操作。如果被攻击的计算机含有数据库管理系统 Microsoft SQL Server ,它将创建登录名:Mssqla 密码:Bus3456#qwein ,以管理员权限执行窃取数据等恶意操作。 以下是 Trojan.Mirai.1 的 SHA1 9575d5edb955e8e57d5886e1cf93f54f52912238 f97e8145e1e818f17779a8b136370c24da67a6a5 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e 938715263e1e24f3e3d82d72b4e1d2b60ab187b8 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

全球超过 140 家银行、电信和政府感染“无文件式”恶意软件

安全研究人员警告,世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件,几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果,表明一个或多个黑客群体针对至少 140 家银行和组织进行了这种攻击,旨在盗取凭证和金钱。 这种恶意软件特别狡猾,因为它属于一类“无文件”软件攻击程序,它完全存在于设备的内存中,几乎没有任何痕迹。这种类型的恶意软件不是全新的,但它的日益普及让安全研究人员和网络管理员非常担心,这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告,攻击者使用恶意软件监视受感染机器,获得来自受感染机构内部的凭据和信息,但也控制 ATM 和盗取现金。根据卡巴斯基实验室的调查结果,这些最近感染的常见特征之一是它们依靠 Windows PowerShell 等合法工具来获取设备控制权。他们还在注册表中隐藏 PowerShell 命令,以留下较少的证据。 卡巴斯基实验室将继续调查,发布进一步的信息,有关攻击者如何从 ATM 中盗取资金的详情将在 4 月提供。 稿源:cnBeta;封面源自网络