分类: 恶意软件

黑客推出 DDoS 攻击服务出租 Mirai 僵尸网络 40 万感染设备

两个昵称为 Popopret 和 BestBuy 的黑客开始对外出租 40 万感染设备组成的 Mirai 僵尸网络,提供“ DDoS-for-hire ”服务可根据客户要求对指定目标发动 DDoS 攻击。 此前,Mirai 僵尸网络发动了对 Dyn 公司和 主机托管公司 OVH 的 DDoS 攻击,曾导致美国东西部网络“断网”。“功能”强大意味着价格不便宜,黑客要求客户至少租两个星期,50,000 设备组成的僵尸网络攻击 3600 秒(1小时)、冷却时间 5 至 10 分钟,两周的费用在 3 千到 4 千美元。 稿源:本站翻译整理,封面来源:百度搜索

旧金山市政地铁系统感染勒索软件,乘客周末免费坐轻轨

美国当地时间周五晚间,旧金山公共交通机构超过 2000 台服务器/PC 感染 勒索软件 HDDCryptor 数据全部被加密,黑客索要 100 比特币(约合 73,000 美金)赎金。自动售票机被迫关闭,旅客被允许在周六免费乘坐轻轨。 这是又一起针对公共基础设施的勒索攻击事件,此前英国就曾发生过  NHS 网络感染恶意软件,导致多家医院被迫取消数百例手术的安全事件。 暂停服务,免费乘坐 目前统计结果显示,勒索软件 HDDCryptor 已感染 2112 台旧金山市政公共交通机构的计算机,这些系统包括办公室管理台式机、CAD 工作站、电子邮件和打印服务器、员工的笔记本电脑、工资系统、SQL 数据库、失物招领终端、车站亭电脑。蠕虫般的恶意软件会自动攻击该机构的网络,并能够达到组织的域控制器并感染连接网络的 Windows 系统。 感染设备的屏幕上显示这勒索信息 你被黑了,所有数据已被加密。联系(cryptom27@yandex.com)ID:681 , Enter. 以获取解密密钥。 11 月 27 日东部时间下午 6:42,经市政发言人 保罗·罗斯 确认 ,周日上午市政公共交通系统已经恢复了正常,官方未提供更多事件细节说明,只表示有关部门正在对勒索事件展开调查。 稿源:本站翻译整理,封面来源:百度搜索

你在 YouTube 上买到了暗藏后门的模板和钓鱼工具包?

YouTube 最近成为了网络罪犯、销售黑客工具的平台,不同水准的黑客之间也在相互较劲。 安全公司 Proofpoint 近期研究发现,部分在 YouTube 销售的网页模板和钓鱼工具包暗藏隐秘后门,“店家”承诺帮助买家发动钓鱼攻击,然而在买家利用工具进行钓鱼的同时 自己的信息也将被悄悄传回卖方。 “解码的样本中发现了(钓鱼工具)作者的 Gmail 地址,每次使用钓鱼工具获取的结果都会传送至该邮箱” Proofpoint 研究员表示,“在同一款软件其他样本中,还有另一组邮件辅助接受信息,目前尚不清楚是原作者所为又或是其他黑客改编后在发布的”。 让人意外的是 YouTube 上这些广告视频发布了许久却未被系统监管。大多数的视频教程包括演示钓鱼工具以及引导用户至对应网站购买。 稿源:本站翻译整理, 封面:百度搜索

黑客利用 “InPage” 办公软件 0-day 针对亚洲金融和政府机构

据外媒报道,卡巴斯基实验室研究人员发现有组织利用 InPage 办公软件的 0-day 漏洞对亚洲金融和政府机构进行间谍活动。 InPage 是被亚洲地区广泛使用的一种文本处理和页面布局工具。它支持乌尔都语、波斯语、普什图语和阿拉伯语。用户群体包括学院、图书馆、政府组织、媒体公司。 InPage 基于 Microsoft 复合文件格式形成了自己专有的文件格式。攻击者使用具有 InPage(.inp)扩展名结尾的特殊文件,该文件中被嵌入恶意 shellcode 代码并可在多个 InPage 版本内触发。恶意代码可以自解密并执行 EXE文件。软件主模块“ inpage.exe ”在解析某些字段时存在漏洞,攻击者可设置特殊内容触发漏洞、控制指令流程并执行代码。 研究人员已经发现黑客利用 InPage 0-day 漏洞,针对亚洲和非洲的金融和政府机构安装后门和键盘记录器等间谍软件,具体国家有缅甸、斯里兰卡和乌干达。 稿源:本站翻译整理,封面来源:百度搜索

Android 间谍软件意外曝光另一家意大利监控公司

RedNaga 安全团队研究员发现了新的 Android 间谍软件样本。该恶意软件具备了间谍软件的常用功能,并已经被发现用来针对政府组织,据调查该间谍软件与意大利一家为政府提供服务的软件公司 Raxir 有关。 该间谍软件具备了大多数间谍软件的常用功能:在系统启动后,程序会自动从桌面隐藏,开启或关闭GPS,控制设备静音,截取屏幕并存储,记录视频和音频文件,执行系统中的.dex文件,专门配置短信号码(873451679TRW68IO)将设备信息发送至指定的号码,伪装成谷歌服务的更新。 起初,专家们发现,Android 间谍软件与两个 IP 地址进行通信,而这两个 IP 过去曾被全球执法和情报机构间谍软件制造商 HackingTeam 使用过。此外,代码中还使用了意大利串,这表明有意大利人员参与了间谍软件的制作。 Hacking Team 是一家意大利公司,又称 HTS.r.l.,专注于研究监控技术,其销售的入侵和监控工具多供给全球各政府与执法机构,是为数不多的几家向全世界执法机构出售监控工具的公司之一 后由两位前 Hacking Team 公司员工和 Citizen Lab 实验室研究员 Bill Marczak 联合检查,最终确定软件不是 Hacking Team 公司研发制作的。 那么,谁开发了 Android 间谍软件? 在一台服务器 SSL 证书中,研究人员发现了一个被反复引用的字符串“ Raxir ”,这很可能是间谍软件作者。 RAXIR 是一家意大利公司,成立于2013年,该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。 研究员扫描互联网上 Raxir 的痕迹发现了另一个服务器“ProcuraNapoliRaxirSrv” 。“The Procura ” 是调查犯罪办公室,“ Napoli ”是意大利南部的热门城市。因而推断这间办公室是 Raxir 公司的客户之一。 该软件具有如 READ_CONTACTS,CAMERA,SEND_SMS,RECEIVE_SMS 等权限,这些都是常见的恶意软件行为。此外,该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。在 apk 文件中,字符串还经过加密,这使逆向工程分析变得更加复杂。 似乎一切真相大白,但有一个大的疑团出现,RAXIS 公司的间谍软件为何要感染政府人员的移动设备。 1、间谍软件失控,被其他人利用。 2、出于某种原因,政府需用来调查内部人员。 稿源:本站翻译整理,封面来源:百度搜索

新恶意软件 Crane 针对俄罗斯制造业进行商业间谍活动

俄罗斯安全公司 Doctor Web 研究人员发现一种新型恶意软件针对俄罗斯起重机制造商窃取商业信息。该 Windows 木马被安全公司命名为 BackDoor.Crane.1 ,已经被发现针对两大专业从事起重机及辅助设备制造业的公司。当恶意软件被发现时,它已窃取了公司计算机系统的部分机密信息。 恶意软件感染设备后,攻击者可以根据不同的需求安装不同功能的模块,如在命令提示符下执行命令、从指定的链接下载文件、通过 FTP 或 HTTP 上传文件、截取图片。 某些模块还下载了几个基于 Python 的木马 Python.BackDoor.Crane.1 可以作为 BackDoor.Crane 执行相同的命令,它也可以从指定路径获得的文件和文件夹列表、删除文件、终止进程、复制文件和自行终止。 Python.BackDoor.Crane.2 可以在被感染的设备上开启 shell 。 BackDoor.Crane 用来窃取财务文件、协议和内部商业信函,由此推断,此类事件很可能是商业间谍活动的一部分。 虽然该木马的作者留下暗示:恶意软件开发的时间是 2015 年。但是,根据研究发现,其真实的编译时间为 2016 年 4月。 稿源:本站翻译整理,封面来源:百度搜索

看似图像文件的恶意软件正在 Facebook 蔓延

Facebook 上出现了一种新型的恶意软件,它看起来像一份 SVG 图像文件,而用户点击下载后就会产生更多的恶意软件。SVG 图像文件与其他常见的文件类型不同,它能够包含 JavaScript 这样的嵌入式内容,并可以在浏览器中打开。点击这个图像文件后用户页面会跳转至一个假的 YouTube 网页,这时网页会要求用户在谷歌浏览器下载一个解码器来观看视频。一旦安装这一解码器,用户的数据就可能会被更改,而且会导致更多的恶意软件在 Facebook 扩散。 不知道这个恶意软件是如何绕过 Facebook 的 SVG 文件扩展名过滤系统,但 Facebook 的安全团队已经开始进行处理,恶意的 Chrome 扩展已经被清除。 如今恶意软件已经很常见,用户需要在网络点击时更警惕一些,这样才能更好保障自己的数据和信息安全。 稿源:cnbeta.com,封面来源:百度搜索

安全公司曝光手机神秘固件,可将隐私数据秘密传回中国公司

Kryptowire 是由美国国防高级研究计划局 (DARPA) 和国土安全部 (DHS) 联合投资的公司,主要为美国国防、军事、情报机构提供移动应用程序的安全性分析、企业级移动设备安全解决方案等服务。 美国东部时间 11 月 15 日,Kryptowire 官网 发布公告 称,发现移动电话中的神秘固件可未经允许发送用户敏感数据。目前已确定几款 Android 设备装有这些固件,主要通过网络商城(如 亚马逊、百思买)销售,其中包括当下流行的低端手机 BLU R1 (亚马逊等各大商城有卖)。 这些设备将会积极传回用户个人信息,包括短信、联系人列表、通话记录、国际移动用户识别码(IMSI)和国际移动设备识别码(IMEI)等。固件能够针对用户短信远程匹配关键字,绕过 Android 权限模型、提权、执行远程命令,还能够进行远程重新编程。 Kryptowire 公司溯源发现该固件会周期性将收集到的信息多层次加密,通过安全的网络协议传回位于上海的服务器,调查显示服务器属于固件更新软件提供商——上海 AdUps (上海广升信息技术有限公司)。 更多详细分析情况请查阅 Kryptowire 官网公告。 **  BLU 产品公司约有 12 万手机受到影响,其余影响范围正在统计中。 稿源:本站翻译整理, 封面:百度搜索,图文无关。  

安全公司释出解密工具,可破勒索软件 CrySis

勒索软件 Crysis (与“孤岛危机”同名),是还具有采集用户系统账户密码、记录键盘、截取屏幕信息以及控制麦克风和摄像头等功能的跨平台恶意软件。 美国东部时间 14 日凌晨,BleepingComputer.com 论坛用户 crss7777 发帖公布 Crysis 解密密钥和相关说明,经安全厂商卡巴斯基验证确认解密密钥有效并已收录至 RakhniDecryptor  解决方案。 目前尚不知晓 crss7777 真实身份,从发帖内容看 crss7777 对勒索软件的结构十分清楚,外界猜测 crss7777 或许是 Crysis 开发人员之一。   勒索软件 Crysis (孤岛危机)解密方法: ① 确认勒索软件: Crysis 勒索软件可将用户文件加密为格式[文件名].id-[ID]-[EMAIL_ADDRESS].xtbl。例如 最近的变体将 test.jpg 文件加密更换为 test.jpg.id-ABADG125.alex-king@india.com.xtbl。 还有其他变体会将命名后缀改为 Vegclass@aol.com.xtbl,gerkaman@aol.com.xtb,johnycryptor@hackermail.com.xtbl 和 Milarepa.lotos@aol.com.xtbl。 ② 下载解密工具 RakhniDecryptor 最新版本并开始解密: 注意:目前只有1.17.8.0 以上版本的 RakhniDecryptor 才支持解密 Crysis。 解密 Crysis 需要先下载卡巴斯基的 RakhniDecryptor。下载完成后,点击运行界面如下: 随后的操作方法:Start scan(开始)→ 找到文件夹选择对应被加密的文件(不是文件夹) → Open (选中打开) 即可开始解密。  

研究人员发现第一种利用 Telegram 的勒索软件

卡巴斯基实验室 研究发现 发现了第一种利用 Telegram 的加密勒索软件,该恶意程序针对的是俄罗斯用户,可通过 Telegram 与攻击者通信。Telegram 木马用 Delphi 编写,文件大小约 3MB,启动之后会生成一个文件加密密钥和一个感染 ID,然后使用Telegram Bot API 以 Telegram 机器人的方式运作,并使用公共 API 与攻击者通信。恶意程序会搜索硬盘上的特定扩展文件进行加密,向受害者勒索 5000 卢布(约 520 人民币)。 稿源:solidot奇客,封面来源:百度搜索