分类: 恶意软件

Android 间谍软件意外曝光另一家意大利监控公司

RedNaga 安全团队研究员发现了新的 Android 间谍软件样本。该恶意软件具备了间谍软件的常用功能,并已经被发现用来针对政府组织,据调查该间谍软件与意大利一家为政府提供服务的软件公司 Raxir 有关。 该间谍软件具备了大多数间谍软件的常用功能:在系统启动后,程序会自动从桌面隐藏,开启或关闭GPS,控制设备静音,截取屏幕并存储,记录视频和音频文件,执行系统中的.dex文件,专门配置短信号码(873451679TRW68IO)将设备信息发送至指定的号码,伪装成谷歌服务的更新。 起初,专家们发现,Android 间谍软件与两个 IP 地址进行通信,而这两个 IP 过去曾被全球执法和情报机构间谍软件制造商 HackingTeam 使用过。此外,代码中还使用了意大利串,这表明有意大利人员参与了间谍软件的制作。 Hacking Team 是一家意大利公司,又称 HTS.r.l.,专注于研究监控技术,其销售的入侵和监控工具多供给全球各政府与执法机构,是为数不多的几家向全世界执法机构出售监控工具的公司之一 后由两位前 Hacking Team 公司员工和 Citizen Lab 实验室研究员 Bill Marczak 联合检查,最终确定软件不是 Hacking Team 公司研发制作的。 那么,谁开发了 Android 间谍软件? 在一台服务器 SSL 证书中,研究人员发现了一个被反复引用的字符串“ Raxir ”,这很可能是间谍软件作者。 RAXIR 是一家意大利公司,成立于2013年,该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。 研究员扫描互联网上 Raxir 的痕迹发现了另一个服务器“ProcuraNapoliRaxirSrv” 。“The Procura ” 是调查犯罪办公室,“ Napoli ”是意大利南部的热门城市。因而推断这间办公室是 Raxir 公司的客户之一。 该软件具有如 READ_CONTACTS,CAMERA,SEND_SMS,RECEIVE_SMS 等权限,这些都是常见的恶意软件行为。此外,该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。在 apk 文件中,字符串还经过加密,这使逆向工程分析变得更加复杂。 似乎一切真相大白,但有一个大的疑团出现,RAXIS 公司的间谍软件为何要感染政府人员的移动设备。 1、间谍软件失控,被其他人利用。 2、出于某种原因,政府需用来调查内部人员。 稿源:本站翻译整理,封面来源:百度搜索

新恶意软件 Crane 针对俄罗斯制造业进行商业间谍活动

俄罗斯安全公司 Doctor Web 研究人员发现一种新型恶意软件针对俄罗斯起重机制造商窃取商业信息。该 Windows 木马被安全公司命名为 BackDoor.Crane.1 ,已经被发现针对两大专业从事起重机及辅助设备制造业的公司。当恶意软件被发现时,它已窃取了公司计算机系统的部分机密信息。 恶意软件感染设备后,攻击者可以根据不同的需求安装不同功能的模块,如在命令提示符下执行命令、从指定的链接下载文件、通过 FTP 或 HTTP 上传文件、截取图片。 某些模块还下载了几个基于 Python 的木马 Python.BackDoor.Crane.1 可以作为 BackDoor.Crane 执行相同的命令,它也可以从指定路径获得的文件和文件夹列表、删除文件、终止进程、复制文件和自行终止。 Python.BackDoor.Crane.2 可以在被感染的设备上开启 shell 。 BackDoor.Crane 用来窃取财务文件、协议和内部商业信函,由此推断,此类事件很可能是商业间谍活动的一部分。 虽然该木马的作者留下暗示:恶意软件开发的时间是 2015 年。但是,根据研究发现,其真实的编译时间为 2016 年 4月。 稿源:本站翻译整理,封面来源:百度搜索

看似图像文件的恶意软件正在 Facebook 蔓延

Facebook 上出现了一种新型的恶意软件,它看起来像一份 SVG 图像文件,而用户点击下载后就会产生更多的恶意软件。SVG 图像文件与其他常见的文件类型不同,它能够包含 JavaScript 这样的嵌入式内容,并可以在浏览器中打开。点击这个图像文件后用户页面会跳转至一个假的 YouTube 网页,这时网页会要求用户在谷歌浏览器下载一个解码器来观看视频。一旦安装这一解码器,用户的数据就可能会被更改,而且会导致更多的恶意软件在 Facebook 扩散。 不知道这个恶意软件是如何绕过 Facebook 的 SVG 文件扩展名过滤系统,但 Facebook 的安全团队已经开始进行处理,恶意的 Chrome 扩展已经被清除。 如今恶意软件已经很常见,用户需要在网络点击时更警惕一些,这样才能更好保障自己的数据和信息安全。 稿源:cnbeta.com,封面来源:百度搜索

安全公司曝光手机神秘固件,可将隐私数据秘密传回中国公司

Kryptowire 是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。 美国东部时间 11 月 15 日,Kryptowire 官网 发布公告 称,发现移动电话中的神秘固件可未经允许发送用户敏感数据。目前已确定几款 Android 设备装有这些固件,主要通过网络商城(如 亚马逊、百思买)销售,其中包括当下流行的低端手机 BLU R1 (亚马逊等各大商城有卖)。 这些设备将会积极传回用户个人信息,包括短信、联系人列表、通话记录、国际移动用户识别码(IMSI)和国际移动设备识别码(IMEI)等。固件能够针对用户短信远程匹配关键字,绕过 Android 权限模型、提权、执行远程命令,还能够进行远程重新编程。 Kryptowire 公司溯源发现该固件会周期性将收集到的信息多层次加密,通过安全的网络协议传回位于上海的服务器,调查显示服务器属于固件更新软件提供商——上海 AdUps (上海广升信息技术有限公司)。 更多详细分析情况请查阅 Kryptowire 官网公告。 **  BLU 产品公司约有 12 万手机受到影响,其余影响范围正在统计中。 稿源:本站翻译整理, 封面:百度搜索,图文无关。  

安全公司释出解密工具,可破勒索软件 CrySis

勒索软件 Crysis (与“孤岛危机”同名),是还具有采集用户系统账户密码、记录键盘、截取屏幕信息以及控制麦克风和摄像头等功能的跨平台恶意软件。 美国东部时间 14 日凌晨,BleepingComputer.com 论坛用户 crss7777 发帖公布 Crysis 解密密钥和相关说明,经安全厂商卡巴斯基验证确认解密密钥有效并已收录至 RakhniDecryptor  解决方案。 目前尚不知晓 crss7777 真实身份,从发帖内容看 crss7777 对勒索软件的结构十分清楚,外界猜测 crss7777 或许是 Crysis 开发人员之一。   勒索软件 Crysis (孤岛危机)解密方法: ① 确认勒索软件: Crysis 勒索软件可将用户文件加密为格式[文件名].id-[ID]-[EMAIL_ADDRESS].xtbl。例如 最近的变体将 test.jpg 文件加密更换为 test.jpg.id-ABADG125.alex-king@india.com.xtbl。 还有其他变体会将命名后缀改为 Vegclass@aol.com.xtbl,gerkaman@aol.com.xtb,johnycryptor@hackermail.com.xtbl 和 Milarepa.lotos@aol.com.xtbl。 ② 下载解密工具 RakhniDecryptor 最新版本并开始解密: 注意:目前只有1.17.8.0 以上版本的 RakhniDecryptor 才支持解密 Crysis。 解密 Crysis 需要先下载卡巴斯基的 RakhniDecryptor。下载完成后,点击运行界面如下: 随后的操作方法:Start scan(开始)→ 找到文件夹选择对应被加密的文件(不是文件夹) → Open (选中打开) 即可开始解密。  

研究人员发现第一种利用 Telegram 的勒索软件

卡巴斯基实验室 研究发现 发现了第一种利用 Telegram 的加密勒索软件,该恶意程序针对的是俄罗斯用户,可通过 Telegram 与攻击者通信。Telegram 木马用 Delphi 编写,文件大小约 3MB,启动之后会生成一个文件加密密钥和一个感染 ID,然后使用Telegram Bot API 以 Telegram 机器人的方式运作,并使用公共 API 与攻击者通信。恶意程序会搜索硬盘上的特定扩展文件进行加密,向受害者勒索 5000 卢布(约 520 人民币)。 稿源:solidot奇客,封面来源:百度搜索

安卓商业间谍软件 Exaspy 针对高层管理人员

据外媒报道,安全公司 Skycure 的研究人员发现了一个新的安卓商业间谍软件 Exaspy,针对高层管理人员的移动设备。研究人员已经在某公司的副总裁的 Android 6.0.1 设备上发现了该恶意软件。这种恶意软件需要用户最终执行手动安装。 安装过程: 1、恶意软件请求访问设备管理员权限 2、询问许可证号码 3、隐藏软件本身 4、请求访问 root(如果设备已使用ROOT工具管理应用程序)。一旦被授权,它将安装一个系统包,使其卸载过程更加困难。 安装成功后,即可访问受害人的聊天记录和消息(短信,彩信,Facebook Messenger,Google Hangouts,Skype,Gmail,本地电子邮件客户端,Viber,WhatsApp等)。此外,软件程序包存储在 Google 服务名下的“ com.android.protect ”文件中,伪装成合法的 Google Play 服务。 恶意软件 Exaspy 还可以记录周围的音频和受害者的电话,它还可以访问设备上的照片、截取屏幕截图,并访问其他用户数据包括浏览器历史记录和通话记录。 稿源:本站翻译整理,封面来源:百度搜索

英国 NHS 网络感染恶意软件,多家医院被迫取消数百例手术

据外媒报道,近日一个计算机病毒感染了英国国家医疗服务( NHS )网络,致使英国林肯郡多家医院取消了数百个手术操作、门诊预约和诊断程序。 NHS 网站显示着“重大事故”的红色警报警告。据称,其系统在 10 月 30 日感染了病毒,NHS 基金会被迫关闭其共享 IT 网络中的所有主要系统,以便彻底隔离并清除病毒。除了少数例外,所有系统正逐步关闭,门诊预约和诊断程序已于 11 月 2 日星期三取消。一些患者包括重大创伤和高危妇女等重患都被转移到邻近的医院。 虽然现在大多数系统已经恢复工作,但 NHS 基金会没有披露病毒有关的详细情况。在此之前,美国和加拿大刚联合发出网络警报,警告医院和其他组织,以防勒索软件感染计算机、加密数据,索要赎金解锁,因此人们猜测,该病毒可能是一种针对医院和医疗设施的勒索软件。 针对医院的网络攻击是今年值得关注的网络安全风险问题,这不仅威胁到高度敏感的隐私信息,而且还可能会危机患者的生命。随着勒索软件威胁的上升、比特币交易的增长,我们看到恶意软件业务的巨大发展。医疗领域的技术进步,让患者数据以电子医疗记录( EMR )的形式数字化存储在医院的中央数据库中。但自今年年初以来,已有十多家医院成为勒索软件的目标,为争取患者最佳治疗时间,医院不得不支付赎金解锁数据库。 稿源:本站翻译整理,封面来源:百度搜索

这个 VMware 安装程序有毒,强制终止进程或致系统蓝屏

防病毒软件公司 Malwarebytes 的安全研究员近日发现了恶意软件的一种最新战术,伪装成盗版或破解版的 VMWare 传播恶意软件,一旦发现用户强制终止其进程将会导致系统蓝屏。 研究员解释,在用户安装 VMWare 时,安装程序将会悄悄链接到一个网页下载 Visual Basic 脚本运行,该脚本也将链接到恶意软件在线服务器下载执行另一个 Tempwinlogon.exe 文件,随后自动安装 Bladabindi 远程访问木马(RAT),该木马也被称为 Derusbi 或 njRAT。该木马具有键盘记录功能,会将所有信息传回 IP 37.237.112.*。 目前 malwarebytes 论坛已公布详细的解决方案。 稿源:本站翻译整理,封面来源:百度搜索

网络间谍 BLACKGEAR 针对台湾、日本活动,C&C 服务器具有高度隐蔽性

据趋势科技报道,BLACKGEAR 是一起针对台湾多年的网络间谍活动,最近该活动新添加了日本用户作为目标。该活动在 2012 年首次被发现,使用 ELIRKS 后门工具,采用博客和微博服务以掩盖其实际的命令和控制(C&C)服务器位置。这种技术允许攻击者通过博客实现命令通信、改变博客和微博实现快速更换 C&C 服务器,具有高度的隐蔽特性,此外,后门与 C&C 服务器之间的通信也被伪装成访问博客的正常流量。 趋势科技对其进行研究并得出结论: 1、用于感染用户的恶意文件已近在日本出现 2、C&C 服务器活动使用的是基于日本地区的博客网站和微博服务 稿源:本站翻译整理,封面来源:趋势科技博客