分类: 恶意软件

Barnes&Noble Nook Tablet 7 平板电脑预装“间谍软件”

Barnes&Noble 在 11 月中旬加入了低成本平板电脑竞赛,推出售价仅为 50 美元的 Nook Tablet 7 平板电脑。定位于这个假日季节的入门级设备,如亚马逊 7 英寸 Fire 平板电脑现在零售价格已经在 40 美元以下。 不过,Barnes&Noble 这款产品当中预装了一个名为 Adups 的程序。Adups 之前已经被发现感染了未知数量的 Android 智能手机,包括 BLU R1 HD。安全人员透露, Adups 能够捕获和传输各种敏感的用户数据,包括联系人姓名,电话和文本日志,IP 地址等,所有这些都没有公开明示或经过用户同意。 对此,Barnes&Noble 表示,在 11 月 26 日 Nook Tablet 7 上市时,该设备会自动更新较新版本的 Adups(5.5 版本),该版本已通过认证符合 Google 的安全要求。Adups 的开发商曾向他们证实“并没有从 Nook 平板电脑收集任何个人身份信息或位置数据,也没有这样做的计划。”不过,Barnes&Noble 表示正在进行一项更新,这将彻底从Nook Tablet 7 中删除 Adups。根据 Barnes&Noble 首席数字官 Fred Argir 的说法,该更新会在未来几个星期内推出。 稿源:cnbeta 有删改;封面:百度搜索

《超级马里奥跑酷》火遍全球,恶意“盗版”紧随其后

今年 9 月份的苹果发布会上,任天堂正式宣布经典游戏《超级马里奥跑酷》将于 12 月 15 日率先登陆 iOS 平台。《超级马里奥跑酷》上架不到 12 小时,就已登上美区 App Store 的免费榜和畅销榜的榜首,人气远超任天堂的上一爆款游戏《Pokemon GO》(精灵宝可梦),安卓版将在明年发布,目前,该游戏还没有上线中国市场,一旦上线,用户群体将更加庞大。 然而,巨大的市场利润也引来了犯罪分子的觊觎。据趋势科技报道,游戏正式版本发布之前网络上已经开始流传“抢先版”《超级马里奥》。自 2012 年以来,趋势科技已经发现超过 9000 款“马里奥”手游,其中三分之二的应用程序存在恶意行为,包括显示广告、未经用户同意下载应用程序等。 目前这些恶意应用已被下载超过 90000 次,其中大部分是由以下国家的用户下载。下载量前三名分别为印度尼西亚( 41 % )、印度( 33 % )、墨西哥( 8 % )。 大多数恶意应用程序只是显示广告,但部分应用存在强制下载、安装不必要程序的现象。 如以《超级马里奥》为名的 ANDROIDOS_DOWNLOADER.CBTJ 恶意应用程序,当用户试图运行这个程序,游戏并不会启动。它声称需要更新,并“提示”用户安装其他应用程序。 另外一个恶意应用程序 ANDROIDOS_DOWGIN.AXMD ,虽然游戏操作和剧情很符合模拟器版本,但却要求异常的权限许可,如接受短信、阅读并修改 SD 卡数据、查询账户等。它会创建不必要的图标、显示弹出式广告和横幅广告、安装其他应用程序并执行其他侵入活动无需用户授权。点击这些广告或图标将链接到成人网站或恶意网站,并诱使用户安装其他应用程序。恶意程序会申请激活“设备管理器”,执行其他恶意操作。 小贴士 玩家用户在下载游戏时,一定要在正规的第三方平台下载应用,避免下载伪装成正版游戏的恶意软件。此外,对于破解版应用游戏,应更加警惕小心。随着热度的发酵,会有越来越多的恶意应用伪装成“超级马里奥跑酷”游戏感染玩家设备。 稿源:本站翻译整理,封面来源:百度搜索

恶意软件 DNSChanger 通过恶意像素图片传播,更改 DNS 设置、劫持流量

不久前,我们报道过一个新的恶意广告活动“ Stegano ” ,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。 现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击。 攻击原理: 攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。 包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。 恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。 影响范围 目前,上百款路由器型号都受到影响,包括 · D-Link DSL-2740R · NetGear WNDR3400v3 (一系列型号) · Netgear R6200 · COMTREND ADSL Router CT-5367 C01_R12 · Pirelli ADSL2/2+ Wireless Router P.DGA4001N 解决方案 建议用户确保路由器运行最新版本的固件,使用强密码。此外还可以禁用远程管理,更改其默认本地 IP 地址,用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。 稿源:本站翻译整理,封面来源:百度搜索

安卓恶意软件 Tordow 释出 2.0 版本,可获手机 root 权限窃取财务信息

据外媒报道,近日安全公司 Comodo 发现恶意软件 “Tordow” 已更新至 2.0 版本,主要针对俄罗斯用户获取手机 root 权限、盗取密码以及财务信息。 恶意软件 “Tordow“ 是一种手机银行木马,今年 2 月份首次被发现,通过第三方应用市场感染用户。“Tordow“ 木马除了从安卓手机上获取 root 权限外,还会执行一系列操作包括:拨打电话、控制短信、下载并安装程序、窃取登录凭证、访问联系人、文件加密、处理银行业务数据、删除安全软件等,并以此作为勒索。 Tordow 如何感染安卓手机 需要提及的是,Tordow 主要通过第三方应用商店进行传播,用户对于可信度不高的应用商店应该敬而远之。Comodo 表示,攻击者通过对正规应用进行逆向、注入恶意程序,然后重新上传至第三方商店,如冒充 Pokemon Go、 Telegram、地铁跑酷等应用上传。这些应用程序还可以通过社交媒体或其他网站传播,因此选择可信的第三方应用商店下载软件非常重要。 Tordow 是如何运行的 感染 Tordow 的恶意程序被安装后,木马首先会尝试获得 root 权限,然后连接到外部控制中心以等待攻击者的更多命令。从目前调查情况看,Tordow 主要针对银行账户,网络犯罪分子似乎对俄罗斯用户的财务信息很感兴趣。 稿源:本站翻译整理, 封面:百度搜索

微软警告:购物狂欢季当心钓鱼邮件含 Cerber 勒索软件

随着假日快速来临,许多人已经开始了他们的圣诞购物,无论是从实体店,还是通过互联网。微软现在警告在线购物者有一个新的网络钓鱼活动正在使用假信用卡消息让 Cerber 勒索软件感染不知情的受害者。 这种电子邮件包含 Cerber 勒索软件附件,打开时会提供接收方分步说明,如何启用宏以查看“受保护的文档”。 如果受害者单击“启用内容”的启用宏,就将释放 Cerber 勒索软件到用户电脑,它将开始加密受害人的文件。解密受影响的文件唯一方法是支付 1.3 比特币,这大约相当于 1000 美元。为了使它看起来更真实,提示还包含一个微软徽标,并将版式设计成一个微软支持文章。宏在 Word 和类似的文件已经成为网络犯罪分子的流行攻击媒介,许多人不知道宏有能力运行脚本和安装程序,这显然是被勒索软件开发商利用。 为了能够在勒索软件面前保持安全,微软建议在点击之前考虑,并警惕打开来自未知发件人的电子邮件。他们还建议只从可靠的来源安装软件。Cerber 勒索软件是从受害者赚大钱的许多加密恶意软件程序之一,即使只有 0.3% 的受感染者付费,恶意软件作者还能够从利润当中赚取近 100 万美元。 稿源:cnbeta.com,封面来源:百度搜索

Mac 版“ Skype”即时通讯存后门,可查看、修改用户消息

据外媒报道,Trustwave 公司安全实验室 SpiderLabs 研究员发现,苹果 macOS 和 Mac OS X 操作系统版本的即时通讯软件 Skype 存在隐藏的后门,攻击者可以监视用户的通信信息。 该后门是一个桌面应用程序编程接口( API ),它为第三方插件和应用程序提供接口与 Skype 进行信息交互。 该后门早在 2010 年版本的 Mac OS X 就已经存在,允许任何恶意的第三方应用程序绕过身份验证过程通过 Skype 的 API 接口对系统进行访问操作。 如何利用后门 恶意应用程序将自己伪装成“ SkypeDashboard Widget”程序,就可以绕过系统的身份验证直接通过 Skype 桌面 API 进行访问操作。 伪装过程也很容易,只需将程序的文本字符串值改为“ Skype Dashbd Wdgt Plugin ” 攻击者可利用隐藏的后门进行以下操作 ·读取消息通知内容 ·拦截、读取和修改消息内容 ·记录 Skype 语音消息 ·创建聊天会话 ·检索用户的通讯录。 研究人员认为该后门是由微软公司正式收购 Skype 之前的开发人员创建,至少 3000 万 Mac OS X 用户受影响。 Trustwave 称该后门可能是开发人员无意间留下的,因为 Skype dashboard widget 插件至今没使用过该“功能”。Trustwave 在 10 月份将漏洞提交给微软公司,目前后门已被修复,Skype 7.37 及之后版本不受影响。 稿源:本站翻译整理,封面来源:百度搜索

恶意软件 TeleBots 迅速崛起:乌克兰金融业的噩梦

近日,安全公司 ESET 发布研究报告称,一种名为 TeleBots 的新恶意软件针对乌克兰金融行业进行攻击,通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机。据 ESET 分析 TeleBots 背后团队的作案方式与 2016 年初乌克兰电网被黑的手法非常相似,甚至怀疑 BlackEnergy 团队已经转变成了 TeleBots 团队。 ESET 报告显示,攻击者会将带有恶意宏的 Excel 作为初始媒介附在电子邮件中,通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件,同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。 ESET 研究员透露 “攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写” 。 TeleBots 会使系统无法开机 此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门,这是 TeleBots 的主要部分, “TeleBots” 之名也因此得来。攻击者还会在系统中部署 BlackEnergy 的 KillDisk 组件,使计算机或其中关键系统无法正常启动。 BlackEnergy 和 TeleBots 恶意宏代码的相似之处 系统感染 TeleBots 后,KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。 报告指出,KillDisk 本身并不存储这张图片,而是利用 Windows GDI 实时画出了这幅图。很显然,攻击者也是投入了大量精力在编写这段绘制图片的代码上。 俄罗斯黑客或是幕后黑手? 目前 TeleBots 的感染范围尚未可知。安全公司在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器,其中包含部分俄语说明文档,俄罗斯黑客也一度被怀疑是幕后黑手。 稿源:本站翻译整理, 封面:百度搜索

俄罗斯大量低价安卓手机预装木马,自动下载软件、显示广告

Android 智能手机和平板设备固件中预装有恶意软件,恶意软件可暗中收集设备数据、显示广告、自动下载无用的 APK 文件。 俄罗斯反病毒厂商 Dr.Web 的安全研究人员发现,基于联发科平台运行的 26 款 Android 设备固件中存在两种类型的下载器木马。值得注意的是,这些受影响的设备大多投入在俄罗斯市场。 这两种木马都能够联系 C&C 服务器、自动更新自己、后台下载安装软件、随开机重新启动。恶意广告程序 H5GameCenter 会显示广告且没有选项可以禁用它,即使用户删除该应用程序,固件木马 Android.DownLoader.473.origin 将重新下载安装应用程序。木马 Android.Sprovider.7 也可自动下载 Android 应用程序文件、拨打电话到特定号码、在状态栏上方显示广告。 木马很可能是参与固件开发的外包公司为赚取外快所为。 Dr.Web 已经通知了联发科和相关设备制造商。受感染用户应该尽快联系厂商以获取最新更新,重装系统软件。 稿源:本站翻译整理,封面来源:百度搜索

攻击者诱骗 Facebook 用户点击明星“成人”链接,安装恶意软件

据外媒报道,国外社交网站 Facebook 出现了一个新的“欺诈”骗局。如果你在 Facebook 上看到某某明星流出的成人视频,请不要点击,骗子正试图诱骗 Facebook 用户点击该视频链接、随后会下载安装恶意软件。一旦安装,恶意软件会不断在浏览器中显示广告页面,如伪造的彩票网站。研究团队 Cyren 还发现了一种恶意 Chrome 扩展插件通过这种 Facebook 骗局传播。 这些消息中包含一个 PDF 文件,其中含播放按钮图像的明星裸体图片,诱骗用户认为这个 PDF 包含一个视频链接,点击后链接重定向至 IE 浏览器、Firefox 或 Safari ,并显示相关照片、弹出窗口和虚假彩票广告页面。 谷歌 Chrome 浏览器受影响最为严重 一旦点击链接,Chrome 浏览器会重定向到一个假的 YouTube 页面,并弹出窗口要求受害者安装 Chrome 扩展插件来查看视频。一旦安装恶意扩展插件,浏览器又将显示 Facebook.com 登录页面,并提示他们重新进行身份验证。因而,攻击者就可获得 Facebook 用户的登录凭据,进一步执行恶意活动。 Cyren 团队分析了 Chrome 扩展的源代码发现,扩展附带了监测和拦截实时网络流量等恶意功能。此外,恶意扩展插件还可以防止受害者访问 Chrome 扩展程序设置页面,使受害者无法禁用恶意插件。 稿源:本站翻译整理,封面来源:百度搜索

勒索软件 Popcorn Time 出损招:传染他人、发展“下线”可免费解密

据外媒报道,安全团队 MalwareHunterTeam 研究员发现了一个新的勒索软件“ Popcorn Time ” 。 Popcorn Time 的工作原理与 TeslaCrypt、孤岛危机这些主流勒索软件相似,加密文件并勒索比特币赎金解密文件。值得注意的是,勒索软件提供了另外一种免费解密的方法:将勒索软件链接转发并感染另外两个受害者,如果他们都缴纳了赎金,你将免费得到解密密钥。 工作原理: 一旦感染,勒索软件 Popcorn Time 将检查 PC 上是否已运行勒索软件,如果是,则自行终止。否则,Popcorn Time 将下载各种图像作为背景图片并使用 AES-256 加密文件,加密文件将以 “.filock” 或 “.kok” 扩展名结尾。加密过程中,勒索软件将在桌面显示正在安装应用程序。 一旦加密完成,将形成 restore_your_files.html 和 restore_your_files.txt 类型的赎金笔记,并自动显示 HTML 勒索信,索要 1 比特币的赎金。 解密文件 勒索软件给受害者七天时间支付 1 比特币($ 750)赎金,否则解密密钥将在云端永久删除。 此外,勒索软件还提供给受害者另外一个免费获得解密密钥的方法。受害者需要将勒索软件链接转发给其他人并感染设备,如果有两个“下线”缴纳了赎金,受害者可以免费获得赎金。 这简直是另类传销,发展下线,祸害亲友。 格外注意 Popcorn Time 的源代码中包含一个提示:如果受害人输入解密密钥错误四次,加密文件也将被删除。 稿源:本站翻译整理, 封面:百度搜索