分类: 恶意软件

趋势科技报告:中国黑客利用 Dirty Cow (脏牛漏洞)通过第三方应用市场传播恶意软件

趋势科技安全研究人员近期发布报告,宣称中国黑客组织 ZNIU 正利用漏洞 DirtyCow 通过第三方应用市场传播恶意软件。一旦安装藏身于色情应用或游戏应用的恶意程序,它将会联络 C&C 服务器,同时使用 DirtyCow 漏洞获取 root 权限和植入后门。 DirtyCow 漏洞被认为是内核至今曝出的最严重提权漏洞,影响所有 Android 版本,因为它极易被用于 Root 任何 Android 设备。 由于 DirtyCow 漏洞只能工作在 ARM/X86 64 位架构设备上,ZNIU 会使用 KingoRoot 和 Iovyroot 去 root 32 位设备。之后 ZNIU 会订阅中国移动运营商的增值服务,从屏幕截图上看受害者可能主要是中国电信的用户。研究人员发现 ZNIU 利用的管理服务器和域名都位于中国,他们建议用户从信任的应用市场下载应用。 稿源:solidot奇客,封面源自网络;

清理软件 CCleaner 二轮攻击至少感染 40 台科技巨头企业的计算机设备

据外媒此前报道,黑客于今年 8 月瞄准清理软件 CCleaner 基础设施展开攻击,导致大量安装文件植入恶意后门。8 月 15 日至 9 月 12 日期间,CCleaner 在官方网站提供了两款受感染应用程序版本 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191。Avast 表示,超过 227 万用户在该时间段下载并安装了上述受感染应用程序。 HackerNews.cc  9 月 25 日消息,安全公司 Avast 于近期公布了一份受到清理软件 CCleaner 第二阶段恶意后门影响的公司列表,其作为对上周发生 CCleaner 攻击事件持续调查的一部分说明。相关调查显示,研究人员于 9 月 10 日发现与 CCleaner 连接的数据库因空间不足出现宕机状态,因此服务器仅包含 9 月 12 日至 16 日的感染数据。不过,攻击者却在服务器崩溃前已在另一台服务器上备份了数据库信息。 图:清理软件 CCleaner 研究人员表示,攻击者托管在第二台服务器的主机供应商与第一台相同,均由 ServerCrate 提供支持。随后,Avast 在相关部门的帮助下获取并成功掌握 CCleaner 恶意软件在服务器上发送受感染主机信息的数据库资料,这意味着研究人员拥有受 CCleaner 恶意软件(第一和第二阶段有效负载)影响的所有主机列表(服务器宕机的 40 小时内除外)。 相关数据显示,逾 160 万台计算机感染第一阶段的恶意软件 Floxif 并上报至 C&C 服务器后,研究人员经过严格过滤筛选后发现,逾 160 万台计算机中存有 40 台隶属科技巨头企业的计算机感染了第二阶段恶意软件。 图:受 CCleaner 第二阶段恶意后门影响的设备信息 此外,研究人员还从备份服务器检索的过滤规则中发现,攻击者在 9 月 10 日之前已针对不同公司设备分发恶意软件,如 HTC、Linksys、Epson、Vodafone、Microsoft 等。随后,Avast 在官方博客表示,该起攻击活动主要针对特定的科技巨头企业与电信公司展开攻击,其主要利用 CCleaner 恶意软件感染用户后选择性针对目标开展二轮攻击。 目前,研究人员发现该款恶意软件的 PHP 代码、myPhpAdmin 日志等资料与 Axiom 类似,因此他们推测该起攻击事件与中国 APT 组织有关。不过,研究人员在分析了两台服务器上的所有登录信息后发现,攻击者活跃时间并非 UTC+8,因此暂时无法确认幕后黑手真正身份。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 Retefe 新变种通过 “永恒之蓝” 肆意感染瑞士日本等多国银行网站

HackerNews.cc  9 月 23 日消息,网络安全公司 ProofPoint 研究人员近期发现黑客利用银行木马 Retefe 新变种通过 NSA 漏洞 EternalBlue(永恒之蓝,CVE-2017-0143)瞄准奥地利、瑞典、瑞士、日本等多国银行网站展开新一轮攻击活动。虽然该款木马并未达到诸如 Dridex 或 Zeus 等知名恶意软件的传播规模与影响范围,但它所针对的地区与实施方式却值得研究人员注意。 调查显示,与 Dridex 或其他依靠网络注入劫持银行在线业务的银行木马不同,Retefe 主要通过各种代理服务器(通常托管在 TOR 网络上)操控路由流量或目标银行系统。此外,研究人员还观察到攻击者使用附带嵌入式 Package Shell Objects 或 Object Linking、Embedding Objects 的恶意文档发布网络钓鱼邮件,以便感染更多银行系统。 一旦用户打开附件,该款木马就会自动触发执行 PowerShell 命令,旨在下载一份托管在远程服务器上的自解压缩存档。存档中包含了一个具有多条配置会话参数的 JavaScript 安装程序,根据研究人员的说法,其中一个参数(pseb:“pseb”)被添加执行 “永恒之蓝” 漏洞脚本。 研究人员推测,Retefe 新变种的幕后黑手或将通过 EternalBlue 漏洞进行更多针对性攻击活动。9 月 20 日,研究人员发现该恶意软件中的  “ pseb:”参数部分被 “ pslog:” 取代。然而,这部分模块只包含了 EternalBlue 记录功能。目前,虽然尚不清楚多少网站遭受攻击,但他们在发现此类攻击活动后立即通知各银行机构,并建议他们关闭 IDS 系统与防火墙的相关通信,从而预防网络钓鱼攻击活动。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 IoT 僵尸网络 Linux.ProxyM 通过感染 Linux 设备发送钓鱼邮件、开展 DDoS 攻击活动

HackerNews.cc  9 月 22 日消息,网络安全公司 Doctor Web 研究人员近期发现黑客利用新型物联网( IoT )僵尸网络 Linux.ProxyM 肆意发送钓鱼邮件,旨在感染更多 Linux 设备、开展 DDoS 匿名攻击活动。 调查显示,该僵尸网络自 2017 年 5 月以来一直处于活跃状态,其感染 Linux.ProxyM 的设备数量已多达 1 万台左右。然而,值得注意的是,僵尸网络 Linux.ProxyM 所分发的恶意软件能够在任何 Linux 设备(包括路由器、机顶盒与其他设备)上运行、还可规避安全检测。 目前,安全专家针对基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 与 SPARC 架构的设备识别出两款 Linux.ProxyM 木马。一旦 Linux.ProxyM 木马感染上述其中一台设备,它都能够连接至命令与控制(C&C)服务器,并下载两个互联网节点域名。如果用户在第一个节点提供登录凭证,那么跳转至第二个节点时将通过 C&C 服务器发送一个包含 SMTP 服务器地址命令,用于访问用户登录凭据、电子邮件地址和邮件内容。此外,相关数据显示,每台受感染的设备平均每天可以发送 400 封这样的钓鱼邮件。 研究人员表示,虽然尚不清楚受感染设备总计数量,也不了解黑客真正的攻击意图,但目前巴西、美国、俄罗斯、印度等国普遍受到影响。现今,由于物联网攻击活动一直都是网络犯罪分子的目标焦点,因此研究人员推测,黑客在未来还将继续扩展 Linux 木马所执行的功能范围,从而肆意开展 DDoS 攻击活动。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

间谍软件 FinSpy 新变种借助多国互联网服务提供商(ISP)进行 MitM 攻击传播

HackerNews.cc  9 月 21 日消息,网络安全公司 ESET 研究人员近期发现至少两个国家的互联网服务提供商(ISP)涉嫌分发间谍软件 FinSpy 新变种。研究人员推测,攻击者极有可能通过控制 ISP 进行 MitM (中间人)攻击,以传播恶意软件 FinSpy 新变种,并试图将 WhatsApp、Skype、Avast、WinRAR、VLC Player 等应用软件的下载重定向至其他恶意链接。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。 近期,研究人员通过监测间谍软件 FinSpy 在两个受影响国家中的地理分布分析,怀疑 FinSpy 可能不是通过本地网络,而是利用 ISP 进行 MitM 攻击传播。消息指出,此前维基解密泄露的文件曾透露,销售 FinFisher 间谍软件的公司提供过一个可在 ISP 级别安装的软件包,已知的两国受害者恰好都使用着同一个互联网服务提供商(ISP),但目前尚不清楚 ISP 是否主动参与其中。 以下图表详细显示了 FinSpy 新变种的感染机制: 研究人员表示,FinSpy 新变种在很大程度上得到了优化,即利用自定义代码虚拟化保护部分组件,从而使入侵目标设备时处于隐身状态以规避安全措施检测。此外,整个代码均具备反拆卸功能,致使研究人员的分析更加困难。经调查显示,这可能是 FinFisher 首次利用 ISP 分发恶意软件。然而,黑客除通过 ISP 开展 MitM 攻击外,还利用恶意软件此前的机制于其他五个国家进行分发。目前,ESET 在告知开发公司 Gamma 后立即也通知了受害国家,以避免将用户置于危险之中。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

联邦快递证实:旗下运输公司 TNT Express 受 NotPetya 影响损失约 3 亿美元

据外媒报道,联邦快递在其最新报告中披露,旗下运输公司 TNT Express 遭勒索病毒 NotPetya 网络攻击后对该公司本年最后一个季度将造成大约 3 亿美元的损失。 据悉,TNT Express 欧洲分部在受到网络攻击后导致运营中断。该公司此前曾警告称,此次事件很可能造成巨额财务损失。联邦快递首席财务官 Alan Graf 表示:“ 网络攻击对 TNT Express 的影响以及联邦陆运(FedEx Ground)业务低于预期的结果将降低我们的利润。我们正在执行减轻这些问题对全年影响的计划。” 联邦快递主席兼首席执行官 Fred Smith 表示,飓风哈维和网络攻击的影响对该公司带来了重大的运营挑战。由于此前网络攻击导致数据泄露或丢失,可能无法恢复受影响的所有系统。该公司表示:“ TNT Express 的全球业务在 6 月 27 日 NotPetya 网络攻击后受到重大影响,大部分 TNT Express 服务在逐渐恢复,但 TNT Express 的收入和利润仍然低于此前水平。” 稿源:cnBeta,封面源自网络;

流行 Steam 扩展 Inventory Helper 被发现监视用户一举一动

据外媒报道,流行的 Google Chrome 浏览器扩展 Steam Inventory Helper 近期被发现是间谍软件,旨在监视用户在浏览器上的一举一动。 根据官方商店的统计,该扩展被超过 96 万用户使用。然而,对该扩展的代码分析发现,它会监视你产生的每一个 HTTP 请求,如果条件满足就将请求摘要发送到其服务器上。 此外,该扩展还会监视你何时访问一个网站,从何处来的,又何时离开,何时移动鼠标,何时输入和按键,点击了什么。如果点击了一个链接那么这个链接就会发送到后台脚本。对此,研究人员建议安装该扩展的用户建议尽可能快的卸载。 稿源:solidot奇客,封面源自网络;

以色列安全团队研发新技术:通过具备红外功能的安全摄像头窃取数据信息

HackerNews.cc  9 月 19 日消息,以色列内盖夫本-古里安大学的研究团队近期开发出一项新型技术,将恶意软件 IR-Jumper 安装在与安全监控摄像机/软件进行交互的计算机上,即可通过具备红外功能的安全摄像头窃取目标用户数据信息。 研究人员表示,该款恶意软件主要在感染目标计算机后收集数据并将其分解为二进制数值,然后通过操控设备的 API 使摄像头的红外 LED 灯闪烁,从而利用这个机制传输信息。只要攻击者在红外二极管闪烁的范围内,就可通过闪烁记录重组信息。 值得注意的是,攻击者可在数十米至百米的距离内与摄像头通信,且数据可以以 20 bit/s 的速率从目标设备传出、以超过 100 bit/s 的速率传输至攻击者设备。另外,攻击者还可使用自身设备的红外二极管发送闪烁指令,远程操控受感染目标设备。 调查显示,由于红外线的发射对于人眼来说不可察觉,因此用户不会看到任何配备红外二极管的安全摄像头出现网络受损现象。与此同时,该款恶意软件还可 “ 部署 ” 在连接互联网的设备上,实现规避安全软件检测、窃取目标设备重要信息的功能。 更多详细内容可阅读 bleepingcomputer.com. 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 Android 恶意软件 Red Alert 2.0 已感染逾 60 款银行与社交媒体应用

据外媒 9 月 19 日报道,网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0,允许黑客窃取用户敏感信息、劫持短信邮件,并阻止与银行、金融机构相关的所有来电呼叫。目前,Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过,与其他 Android 木马不同的是,该恶意软件是由开发人员从零开始编写。 如果目标设备的 C&C 服务器被关闭时,该恶意软件可以通过 Twitter 保存所有数据信息。然而,当设备无法连接到硬编码的 C2 时,它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示,这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示,虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件,但他们日前仍在为其新添更多功能,包括远程操控受感染设备。目前,该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店,因此为保障用户系统安全,研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

清理软件 CCleaner 已遭黑客入侵感染恶意后门

无论 PC 电脑还是手机,系统和各种应用软件都会产生不少垃圾数据,必须经常清理,其中在电脑上,Piriform 出品的 CCleaner 无疑是最干练、最高效的清理工具,全球安装量已超 1.3 亿,而且已经被大名鼎鼎的安全公司 Avast 收购。但是,CCleaner 最近却捅了个篓子,公司服务器在 8 月份的时候被黑客入侵,导致安装文件被感染,大量用户莫名其妙中招。 据悉,黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具,会在用户后台偷偷连接未授权网页,下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。另外,黑客还会尝试窃取用户本机隐私信息。 Avast 直到 9 月 12 日才发现异常,当天就发布了干净的 CCleaner v5.34,三天后又升级了 CCleaner Cloud,建议使用这款软件的用户赶紧升级最新版本。 目前还不清楚有多少受害者,安全机构估计至少 200 万用户被感染。在 Avast 眼皮子底下干出这事儿,而且半个多月才被发现,真有点难以置信。 稿源:cnBeta、威锋网,封面源自网络;