分类: 恶意软件

垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于): -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传,下载和执行文件 XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能: -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作(读取,写入和操作) -进程操作(执行和终止) -服务操作(停止,启动,创建和修改) -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析: 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

超 2000 万名谷歌浏览器用户安装了恶意的广告拦截器

多数用户在安装谷歌浏览器和火狐浏览器后都会选择立即安装广告拦截扩展工具以便能够阻挡网页上的广告。但如果你直接在谷歌浏览器在线商店里搜索 ADBLOCK 等等热门广告拦截工具的关键词时就有可能遭到欺骗。目前研究人员在该浏览器商店发现 5 款恶意广告拦截工具,这些拦截工具的下载安装总量已经达到 2000 万次。 李鬼广告拦截器控制用户电脑: 这些广告拦截器主要通过修改脚本的方式来躲避谷歌的审核,这些脚本非常常见因此审核人员没有仔细查看。但实际上这些脚本已经被修改并植入恶意代码,这些恶意代码会将用户访问的网站上传到攻击者的服务器上。为了避免被发现攻击者下发的远程控制指令全部藏在图片里,图片本身无害但恶意代码可以读取其中的内容。最终加载的恶意脚本有能力让攻击者以任何方式改变浏览器,攻击者也可以随时下发命令进行远程操作等等。被感染的用户们会组成僵尸网络供攻击者使用,但目前尚未有调查证实攻击者具体用僵尸网络都干了些什么。 榜上热门关键词吸引用户下载: 能够被下载 2,000 万次自然不能靠简单的伪装,这些恶意广告拦截器主要依靠热门关键词诱导用户主动安装。 同时在用户安装后也会发现真的可以拦截广告,因为本身这些恶意拦截器就是基于 ADBLOCK 之类进行修改。 所以部分热门的李鬼拦截器有着几千甚至几万的五星好评,这些五星好评让后来的用户更容易被吸引和上当。 李鬼拦截器包括至少包括以下五个: AdRemove for Google Chrome(这款扩展高达 1000 万次安装)、uBlock Plus(主要冒充 uBlock 拦截器) Adblock Pro(主要冒充 Adblock Plus、安装 200 万次)、HD for YouTube(拦截视频广告、安装 40 万次) Webutation 这款由于没有榜热门的广告拦截器所有只有 3 万次安装,并且整体评分也没有上面几款评分高。 稿源:蓝点网,封面源自网络;

ZLAB 发布有关勒索软件即服务平台的恶意软件分析报告

近日,CSE CybSec ZLab 恶意软件实验室的安全专家对暗网上主要 RANSOMWARE-AS-A-SERVICE(勒索软件即服务)平台进行了有趣的分析,其中包括 RaaSberry、Ranion、EarthRansomware、Redfox、Createyourownransomware、DataKeeper 等勒索软件。 多年来,暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑客还出现了其他服务,例如黑客服务和恶意软件开发。新的平台允许没有任何技术技能的不法人士创建自己的勒索软件并将其传播。 勒索软件是感染受害者的机器并阻止或加密他们的文件的恶意代码,黑客通过其来要求受害用户支付赎金。当勒索软件安装在受害者机器上时,它会搜索并定位敏感文件和数据,包括财务数据,数据库和个人文件。开发勒索软件的目的是为了让受害者的机器无法使用。用户只有两种选择:一是在没有获取原始文件的保证的情况下支付赎金,二是将 PC 从互联网断开。 由此,RaaS 商业模式的兴起使得恶意行为者无需任何技术专业知识就可以毫不费力地发起网络敲诈活动,这也正是导致新的勒索软件市场泛滥的原因。 勒索软件即服务是恶意软件销售商及其客户的盈利模式,使用这种方法的恶意软件销售商可以获取新的感染媒介,并有可能通过传统方法(如电子邮件垃圾邮件或受损网站)接触到他们无法达到的新受害者。RaaS 客户可以通过 Ransomware-as-a-Service 门户轻松获取勒索软件,只需配置一些功能并将恶意软件分发给不知情的受害者即可。 当然,RaaS 平台不能在 Clearnet 上找到,因此它们隐藏在互联网暗网中。但通过非传统搜索引擎浏览黑网页,可以找到几个提供 RaaS 的网站。在该网站上,每个人为勒索软件提供不同的功能,允许用户选择加密阶段考虑的文件扩展名; 向受害者要求的赎金以及恶意软件将实施的其他技术功能。 此外,除了使用勒索软件即服务平台之外,购买定制恶意软件还可以通过犯罪论坛或网站进行,其中可以雇佣黑客来创建个人恶意软件。从历史上看,这种商业一直存在,但它专门用于网络攻击,如间谍活动、账户黑客攻击和网站篡改。一般情况下,只有当黑客了解到它可以盈利时,他们才开始提供这种特定的服务。 ZLAB 完整分析报告: 《ZLAB MALWARE ANALYSIS REPORT: RANSOMWARE-AS-A-SERVICE PLATFORMS》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

五万 Minecraft 用户感染了格式化硬盘的恶意程序

安全公司 Avast 报告,近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂,被认为是拷贝了已有代码,但它的隐藏在修改的游戏皮肤中,上传到了 Minecraft 官方网站,因为托管在官方域名,当安全软件弹出警告后可能会被用户认为是误报。 Minecraft 是最受欢迎的沙盒游戏之一,截至 2018 年 1 月全世界有 7400 万玩家,但只有一下部分上传修改的皮肤,绝大部分使用默认皮肤,所以只有一小部分人被感染。 稿源:cnBeta、solidot,封面源自网络;

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日,腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,通过预留的“后门”云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染,潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。 更值得关注的是,感染“寄生推” SDK 的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,“我们估测超过 2000 万用户都受此威胁”,腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 (图:“寄生推”推送 SDK 恶意子包影响范围广) 传播过程酷似“寄生虫”:强隐蔽性+强对抗性 “寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。据雷经纬介绍,该信息推送 SDK 的恶意传播过程非常隐蔽,从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。 具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。 如何远离手机中的“寄生虫”?安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害,腾讯手机管家安全专家杨启波提出以下三点建议:其一,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑;其二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。 (图:腾讯手机管家查杀“寄生推”病毒) 最后,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为用户手机安全的第一道防线,腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力,进一步增强整体防御能力。据了解,腾讯 TRP-AI 反病毒引擎,首次引入基于 APP 行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒,变异病毒,和及时发现病毒恶意代码云控加载,更为智能的保护用户手机安全。 稿源:凤凰网,封面源自网络;

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。 变体 1:[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。 当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io,Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是,Matrix Ransomware 的这种变体无法免费解密。 变体 2:[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。 当文件被加密时,它将加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如, test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 #Decrypt_Files_ReadMe#.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com,RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是,像以前的版本一样,这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤: – 备份 – 如果您不知道是谁发送的,请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件, – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源:东方安全,封面源自网络;

新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身

Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比,此恶意软件的系统占用空间更小。 目前还不清楚 ATMJackpot 恶意软件的攻击媒介,通常是这种恶意软件是通过 ATM 上的 USB 手动安装的,还是从受损的网络下载的。 ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中,然后恶意代码创建该窗口,在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API,以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件,然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。 一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出命令。专家认为,恶意软件的作者将继续改进它,他们预计它很快就会在野外发现。 美国特勤局警告称,网络犯罪分子针对美国的 ATM 机器,迫使他们通过“ jackpotting ”攻击吐出数百美元,近几年 ATM 机累积奖金攻击的数量正在增加。 2017 年 5 月,欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案,2017 年 9 月,欧洲警察组织警告说,ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机,这些业务涉及钱币骡子的出钱。此外,几周前,据称 Carbanak 集团的负责人在西班牙被警方逮捕,因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑(10 亿欧元)。 消息来源:东方安全,封面源自网络;

虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体

近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体: KevDroid 和 PubNubRAT。这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告: 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源:talosintelligence,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。