分类: 恶意软件

谷歌应用商店再现新型恶意软件 SonicSpy,可窃取音频图像、通话记录及监控用户日志

HackerNews.cc 8 月 10 日消息,研究人员近期在 Google Play 商店发现一款新型恶意软件 SonicSpy,不仅可以窃取用户通话记录、音频图像,还可以监控用户日志调用、联系方式与 Wi-Fi 接入站点等信息。总而言之,SonicSpy 允许攻击者远程执行 73 种不同命令。此外,该恶意软件还被怀疑是伊拉克开发人员的研究成果。    调查显示,恶意软件 SonicSpy 主要作为消息应用程序出售,以避免用户在下载时产生任何疑惑,在感染用户设备后能够自动窃取数据并将其传输至命令与控制服务器。目前,研究人员在 Google Play 商店中发现三种不同版本的 SonicSpy(称为 soniac、hulk messenger 与 troy chat),其每个版本都可作为一种监控信息应用程序。虽然 Google 在检测后已删除上述恶意程序,但在第三方应用程序市场中可能仍存在其他版本。据悉,soniac 在 Google 移除时已被下载 1,000 至 5,000 次。 研究人员在分析 SonicSpy 样本后发现,它与间谍软件 Spyote 存在相似之处。SonicSpy 与 Spynote 不仅共享同一代码,还都使用动态 DNS 服务且运行在非标准的 2222 端口。对此,研究人员猜测上述两款恶意软件可能由相同的开发人员研发。 研究人员 Michael Flossman 表示,恶意软件幕后黑手利用加密通信应用程序也显示了他们对收集敏感信息的强烈兴趣。虽然 SonicSpy 目前已从 Google Play 商店中移除,但它极有可能还会再次进入。为防止用户设备遭受感染,研究人员建议用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限并仅授予应用程序必要权限。 原作者:Danny Palmer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

伪装 Flash 播放器的恶意广告程序变种重现 Mac 平台

安全研究机构 Malwarebytes 计算机专家近期发现一款古老的 Mac 平台恶意广告程序新变种 Mughthesec,能够绕过苹果 Mac OS 系统的安装前程序验证安全机制。据称,这种恶意广告程序是 OperatorMac 家族恶意程序升级变种。 安全专家指出,Mughthesec 可以将其伪装成一款 Adobe Flash 播放器安装程序。如果该恶意程序检测到一台虚拟机器,它将自动安装并合法拷贝;但如果是真实机器,它会安装上 Advanced Mac Cleaner、Safe Finder 与 Booking.com 三款恶意广告程序。其将会劫持并拦截受感染系统的主页和域名,接下来它还会修改浏览器默认搜索引擎为 AnySearch。随后,Advanced Mac Cleaner 则出来提醒用户系统需要优化和修复问题。如果设备受到感染,安全专家建议彻底清洁重装整个 Mac OS 系统。 稿源:cnBeta,封面源自网络;

卡巴斯基安全报告:勒索软件 Mamba 卷土重来,掀起新一轮攻击浪潮

据外媒 8 月 9 日报道,卡巴斯基实验室(Kaspersky Lab)研究人员近期发现勒索软件 Mamba 卷土重来,瞄准巴西与沙特阿拉伯各组织机构展开新一轮攻击活动。 Mamba 是一款典型的加密硬盘驱动器的恶意软件,首次于 2016 年 9 月被 Morphus Labs 安全专家在巴西能源公司的机器设备上发现。此外,黑客曾于同年 11 月利用该勒索软件针对旧金山市政交通局展开大规模攻击活动。 调查显示,Mamba 仍使用合法的磁盘加密开源工具 DiskCryptor 锁定目标计算机硬盘,对其进行数据加密处理。一旦感染 Windows 设备,它将强制系统重新启动,然后自定义修改主引导记录( MBR )并使用 DiskCryptor 工具加密磁盘分区。如果整个加密过程顺利完成,计算机系统将再次重新启动。此外,Mamba 感染目标设备后将出现一份不寻常的 “ 赎金票据 (如下图)”,其受害者并不需要缴纳任何费用,只被要求提供两个电子邮件地址与一个 ID 号码即可恢复系统页面。 遗憾的是,研究人员暂时无法解密使用 DiskCryptor 实用程序加密的数据,因为该程序利用了强大的加密算法。目前,卡巴斯基研究人员提醒用户远离恶意网站、安全上网,以降低勒索软件锁定硬盘数据风险。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密在线曝光 CIA 新黑客工具 CouchPotato:用于远程视频拦截

据外媒报道,维基解密近期在线曝光美国中央情报局( CIA )新黑客工具 CouchPotato,用于拦截 RTSP/H.264 视频流,特别是来自联网摄像头的视频。 调查显示,此次曝光的是首版 CouchPotato 样本,至于 CIA 之后有没有更新版本来解决存在于首版的问题目前还无从求证。知情人士获悉,第一个版本需要占用大量的 CPU 时间,这意味着 CIA 的截获行为极有可能已经被发现。 曝光的文件显示,CouchPotato 可以收集 AVI 格式的视频文件或来自流媒体中的JPG格式图片。在拦截过程中,该工具还利用了视频 ffmpeg、图像编码与解码、RTSP 连接。为了尽可能减小 DLL 二进制的大小,许多音频、视频编解码器以及一些不必要的功能都从 ffmpeg 中移除。此外,图像三列算法 pHash 也被整合到 ffmpeg 的 image2 demuxer 中,这样能够发挥图片更改检测的能力。目前,CouchPotato 难以检测,仅依靠兼容 ICE v3 Fire 和 Collect 的加载器展开运行。 稿源:cnBeta,封面源自网络;

黑客使用多功能木马程序 HawkEye 窃取用户敏感数据

据外媒 8 月 2 日报道,安全公司 FireEye 研究人员于近期发现黑客以商业发票或交易费用为主题传播网络钓鱼电子邮件,旨在诱导用户下载恶意软件 HawkEye,窃取电子邮件密码与 Web 浏览器登录凭证。 HawkEye 是一款多功能木马程序,具备键盘记录与截图功能,允许黑客窃取用户服务器名称、操作系统等数据后发送至 C&C 服务器。目前,该恶意软件已面向公众网站出售发行,以致不同黑客组织踊跃购买使用。此外,令人担忧的是,HawkEye 还能通过 USB 进行传播。 研究人员近期表示,恶意软件 HawkEye 在此次攻击活动中新增键盘记录功能,允许黑客窃取更多数据。然而,令人不解的是,黑客似乎并未专门针对任何企业或特定地区展开攻击活动。 据悉,FireEye 研究人员此前就曾报告过多起恶意软件 HawkEye 威胁活动,包括商业电子邮件攻击、中东组织网络钓鱼攻击等活动。目前,恶意软件 HawkEye 不断演变,研究人员期望找到更多防御策略以避免类似攻击活动再度发生。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Cerber 新变种通过窃取比特币钱包获利

据外媒 8 月 3 日报道,趋势科技( Trend Micro )研究人员近期发现勒索软件 Cerber 历经六个不同版本后再现新变种,旨在窃取比特币钱包进行获利。 研究人员经调查分析后表示,勒索软件 Cerber 新变种与 5 月检测的版本相比结构和传播方式基本相同,但该变种却存在一处细微差异:瞄准比特币钱包进行盗窃活动。据悉,Cerber 新变种通过窃取比特币钱包 Bitcoin Core、Electrum、Multibit 应用程序的相关文件完成这一操作。 此外,Cerber 新变种还尝试从 IE、Google Chrome 与 Mozilla Firefox 浏览器中窃取用户已保存的登录凭证,而这些凭证与所有比特币钱包信息都将通过命令与控制服务器发送给攻击者。值得注意的是,当 Cerber 新变种将相关文件发送至服务器时,它还会自动删除原有数据,以增加受害者损失。目前,研究人员提醒用户不要随意打开未经验证的电子邮件附件以降低感染风险。 稿源:Trend Micro, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密:CIA 借黑客工具 Dumbo 屏蔽监控摄像头以保护外勤特工

据外媒报道,维基解密近期最新披露一批据说被美国中央情报局( CIA )所使用过的网络操纵工具 Dumbo,旨在关闭监控摄像头、以保护需要执行一系列任务的特工。 黑客工具 Dumbo 不仅可以屏蔽摄像头、麦克风、监控软件,还能扫描音视频记录、以及用一种不允许进行恢复的方式损坏文件。维基解密公布的这份手册,最后一次更新时间为 2015 年 6 月。此时 Dumbo 版本已经升到 3.0,支持市面上所有版本的 Windows 操作系统(从 Windows XP 开始往上、但不支持 64 位版本的 XP)。 维基解密称:“ Dumbo 能够暂停网络摄像头的使用,以及通过 PAG 破坏任意视频记录。PAG 全称 ‘ 物理访问组 ’(Physical Access Group),它是 CCI(网络情报中心)的一个特殊支队,主要帮助 CIA 获取目标计算机的物理访问 ”。 与 CIA 所使用的其它恶意软件和黑客工具相比,Dumbo 的最大不同是需要对目标计算机进行物理访问,具体操作经常通过插入一块 U 盘而发起。此外,攻击者还需要获得管理员权限,才能访问和破坏监控软件。但从维基解密此前的爆料来看,CIA 显然可以轻易获得 Root 权限。 攻破一个系统之后,Dumbo 还会提供工具来关闭监控设备与软件之间的连接,但也会查看网络中的部分附加设备、搜索特定的进程和记录,最终提供对损坏的文件的控制、或彻底将之删除。如果禁用监控系统的操作未能起效,CIA 特供还能够让与之相连的 Windows 系统产生蓝屏死机,以强制设备离线、让监控摄像头无处施展。 稿源:cnBeta,封面源自网络;

Android 勒索软件 SLocker 新变种通过社交网络 QQ 服务传播

据外媒 8 月 2 日报道,趋势科技( Trend Micro )研究人员于 7 月首次发现模仿 WannaCry 的 GUI( 图形用户界面)的 Android 勒索软件 SLocker 新变种滥用社交网络 QQ 服务与锁屏功能肆意感染移动设备。目前,警方已逮捕 SLocker 开发人员,但其他非法操作人员仍逍遥法外。 调查显示,多数攻击者主要利用移动端 QQ 聊天讨论组 “ 钱来了 ” 或 “ 王者荣耀修改器 ”传播 SLocker 新变种。“ 王者荣耀 ” 是当前中国市场最受欢迎的网络游戏之一,拥有 2 亿注册用户。 图1. 赎金票据截图 SLocker 新变种除利用 GUI 诱导用户下载勒索软件外,还在内部设计上作出部分更改,即具备变换设备壁纸功能。由于 SLocker 新变种使用 Android 集成开发环境(AIDE)创建,因此可直接用于 Android 设备开发应用程序。值得注意的是,攻击者利用 AIDE 环境更加容易开发简单的 Android 工具包(APK),以吸引更多新用户输出其他变种。此外,勒索软件供应商还可使用合法云存储服务(bmob)更改解密密钥。 尽管该变种新附加功能看上去更为高级,但实际加密过程并不复杂。与上一版本使用 HTTP、TOR 或 XMP P与 C&C 远程服务器进行通信相比,此变种甚至不使用任何 C&C 通信技术。研究人员分析勒索软件样本后发现,一旦受感染设备执行命令,SLocker 新变种将加密目标 SD 卡中包括缓存、系统日志与 tmp 文件在内的所有文件类型。另外,SLocker 新变种似乎还使用 AES 算法与过时的 DES 算法加密文件数据。 图2. DES 加密算法的代码片段 或许是为了弥补加密 SD 卡所有文件类型这一缺陷,该变种还具备持久锁屏功能。如果受害者点击赎金缴纳界面的 “ 解密 ” 按键,将会出现管理员页面;如果点击 “ 取消 ”,攻击者就会持续劫持用户屏幕;如果点击 “ 激活 ”,该变体将重置设备 PIN 并进行锁屏。 相关数据表明,黑客目前并未放缓传播速率。研究人员建议移动用户从 Google Play 等合法应用商店下载应用、自行设置应用程序权限、定期备份数据并安装全方位傻毒软件。 附:原文报告《 新 WannaCry — SLocker 变种滥用 QQ 服务 》 原作者:Lorin Wu,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全美餐饮连锁企业网络系统遭新型恶意软件 Bateleur 感染

据外媒 8 月 1 日报道,Proofpoint 安全研究人员近期发现黑客组织 Carbanak 利用网络钓鱼电子邮件大规模传播新型恶意软件 Bateleur,旨在感染全美餐饮连锁企业网络系统。 黑客组织 Carbanak 此前不仅针对零售商、商业服务与供应商等酒店组织展开攻击活动,还通过非法手段窃取全球银行数十亿美元。然而,Carbanak 在此次攻击活动中主要通过后门程序绕过企业 Windows 防御系统,进行截图、窃取用户密码、执行命令等操作。 与多数网络攻击活动类似,使用网络钓鱼邮件主要是为了引诱目标用户下载恶意附件。据悉,此次攻击活动使用的恶意附件以金融支票为主题并通过伪造 Outlook 或 Gmail 地址发送至目标邮箱。另外,该附件由 “ Outlook 保护服务 ” 或 “ Google 文档保护服务 ” 进行加密处理。在此情况下,真实的防病毒公司名称将会出现在 JScript 文档管理器上,以便诱导受害者安心打开文档。如果用户打开文档编辑,该附件将会通过一系列预定任务访问恶意软件有效负载 。 此外,恶意软件 Bateleur 还具备渗透密码功能,尽管这一特定指令需要命令与控制服务器的额外模块才能运行。目前,新型恶意软件 Bateleur 攻击活动仍未停止,研究人员提醒用户时刻保持警惕,提高安全意识以防网络钓鱼攻击。 原作者:Danny Palmer,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国制药巨头默克证实:NotPetya 网络攻击活动严重危及全球多领域业务

HackerNews.cc  1 日消息,美国制药企业默克近期在线公布《 2017 第二季度财务业绩报告 》,指出勒索软件 NotPetya 于 6 月袭击公司后,大规模破坏生产、研究与销售等多个关键领域业务,影响全球逾 65 个国家数万台系统设备。 科技公司 Comae 创始人 Matt Suiche 针对此前乌克兰攻击活动中使用的 NotPetya 样本进行分析后发现该勒索软件具备擦除器功能,允许破坏磁盘 24 个扇区的同时复制恶意代码。此外,研究人员推测,攻击者可能通过转型战略隐藏境外政府针对乌克兰关键基础设施展开攻击活动。 卡巴斯基安全专家进行类似研究后得出结论:与其他勒索软件不同,NotPetya 不会加密受感染系统文件,而是针对硬盘驱动器的主文件表( MFT )锁定用户数据访问权限,并利用恶意代码替代计算机主引导记录( MBR )使其无法运行。由于攻击者利用 NotPetya 重写硬盘驱动器的 MBR,导致 Windows 设备处于崩溃状态。当受害者尝试重启计算机时,甚至位于安全模式下也无法加载操作系统。 NotPetya 攻击活动不久后,默克成为全球众多受害企业之一。调查显示,受到该起攻击活动影响的其他公司分别包括乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、航运巨头 AP Moller-Maersk、TNT 快递与律师事务所 DLA Piper 等。据悉,默克仍在努力恢复业务并尽量减少损失。目前,他们已大幅度恢复包装业务及小部分配方业务。另外,公司外部生产业务在此期间并未受到影响且仍在执行订单与产品运输。 关联阅读:联邦快递公司证实:旗下荷兰运输公司 TNT Express 尚未自 NotPetya 勒索软件攻击中恢复 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。