分类: 恶意软件

卡巴斯基:将跟踪软件标记为恶意程序 倡议其他安全公司跟进

经过多年的更迭,跟踪软件(stalkerware)已经发展到可以避开防病毒应用程序的严苛审查。本周三,卡巴斯基实验室表示他们已经将跟踪软件标记为恶意程序,并且在手机端上安装跟踪应用的时候会向用户发出提醒。2018年,卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。 跟踪软件也称为“间谍软件”,“消费者监控软件”等,采用应用程序的形式或对设备进行修改,使某人能够远程监控目标的活动。例如,一个名为 PhoneSheriff 的应用程序允许监视者阅读目标设备上的文本并查看照片,并秘密访问其手机的 GPS 位置。 跟踪软件可以安静地安装在用户设备上,然后访问包括GPS位置、短信、照片和麦克风等个人数据。而且使用跟踪软件并不需要很高的技术能力,甚至于每月花费数百美元就能买到。据卡巴斯基实验室称,一些供应商还提供每月68美元的订阅计划。 卡巴斯基实验室表示,在与电子前沿基金会网络安全负责人伊娃•加尔佩林(Eva Galperin)交谈后,公司已经开始行动起来将跟踪应用标记为恶意程序。卡巴斯基实验室的安全研究员Alexey Firsh在一份声明中表示:“因此,我们会对商业间谍软件进行标记,并发出特定的警报,告知用户关注跟踪软件带来的危险。我们相信用户有权知道他们的设备上是否安装了这样的程序。” 图片来自于 卡巴斯基实验室 在接受Wired采访时候,加尔佩林表示卡巴斯基实验室的这项倡议能够得到其他防病毒公司的响应,然后成为行业的标准。未来卡巴斯基实验室的扫描不仅会检测是否存在跟踪软件,而且会为用户提供删除它们的选项。这项保护目前正面向Android设备推广,不过跟踪软件在iOS上并不常见。   (稿源:cnBeta,封面源自网络。)

新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备

据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。 Palo Alto Networks 的安全研究人员在今年早些时候发现了一种新的 IoT 僵尸网络,正使用这种新型 Mirai 木马变种。该僵尸网络的制造者似乎已投入大量时间来利用新漏洞升级旧版本的 Mirai,新型变种共使用了 27 个漏洞,其中 11 个是 Mirai 的新型攻击,指向智能 IoT 设备和网络设备。 此外,该僵尸网络背后的黑客还扩展了 Mirai 内置的默认证书列表,以利用该列表来破解使用默认密码的设备,Mirai 默认证书的列表中已增加了 4 种新的用户名和密码的组合。新型变种的目标和作案手法与之前的僵尸网络相同,受感染的设备会在互联网上扫描具有公开 Telnet 端口的其他 IoT 设备,并使用来自其内部列表的默认证书来中断并接管这些新设备。受感染的设备还会扫描互联网上特定的设备类型,然后尝试使用27个漏洞中的一个来接管未打补丁的系统。 通常 Mirai 僵尸网络针对的是路由器、调制解调器、安全摄像头和DVR / NVR,极少数情况下会针对智能电视、手机和一些企业Linux和Apache Struts服务器。然而根据 Palo Alto Networks 研究人员的报告,他们今年发现的新 Mirai 僵尸网络是故意针对两种使用特制技术的新设备类型,即LG Supersign 电视和WePresent WiPG-1000无线演示系统。他们所使用的漏洞在网络上已经暴露过数月,但这是首次被利用于攻击。 新增的漏洞利用: 漏洞 受影响的设备 CVE-2018-17173 LG Supersign电视 WePresent WiPG-1000命令注入 WePresent WiPG-1000无线演示系统 DLink DCS-930L远程命令执行 DLink DCS-930L网络视频摄像机 DLink diagnostic.php命令执行 DLink DIR-645,DIR-815路由器 Zyxel P660HN远程命令执行 Zyxel P660HN-T路由器 CVE-2016至1555年 Netgear WG102,WG103,WN604,WNDAP350,WNDAP360,WNAP320,WNAP210,WNDAP660,WNDAP620器件 CVE-2017-6077,CVE-2017-6334 Netgear DGN2200 N300无线ADSL2 +调制解调器路由器 Netgear Prosafe远程命令执行 Netgear Prosafe WC9500,WC7600,WC7520无线控制器     消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Facebook 起诉两名乌克兰人 指控使用恶意扩展造成 75000 美元损失

援引外媒Daily Beast报道,Facebook于上周五向两位乌克兰公民提起诉讼,指控后者利用一系列问答游戏秘密窃取用户的数据。根据起诉书显示,Gleb Sluchevsky和Andrey Gorbachov为一家名为Web Sun Group的公司工作,他们制作了大量类似于”Supertest” “Megatest”和”FQuiz”的问答APP和浏览器扩展,允许开发者收集数据并在Facebook页面上注入广告。   根据Facebook的起诉书显示,这些恶意扩展程序主要发生在2016至2018年间,主要受害者为俄罗斯用户,已经影响了6.3万个浏览器用户。与此前剑桥分析的策略不同,Sluchevsky和Gorbachov所创建的问答应用是通过浏览器扩展方式完成,会要求受害者下载恶意工具。 安装之后这些问答应用程序会收集用户姓名、性别、年龄、好友等个人资料,此外这些恶意程序也会在Facebook账号上插入广告,并且假装是来自社交网络。据称,Sluchevsky和Gorbachov使用“Amanda Pitt”和“Elena Stelmah”这样的名字来创建这些恶意软件。在问答应用中会测试诸如:“谁是现代的吸血鬼?”以及“检查下你的电脑,你是否拥有所有这些东西?”两人在Facebook上创建了至少13个虚假账号和页面。 在法庭文件中,Facebook表示它在2018年10月12日删除了所有虚假账户。大约一个月后,黑客告诉BBC他们有来自至少81,000个Facebook账户的私人消息,这些账户主要属于乌克兰和俄罗斯的用户。对此Facebook表示本次恶意软件攻击至少损失75,000美元。     (稿源:cnBeta,封面源自网络。)    

“俄罗斯套娃”恶意软件通过海盗湾盗版下载传播

卡巴斯基实验室研究人员发现了一种新的恶意软件,通过海盗湾的torrent tracker网站进行传播。这种恶意软件以经典的俄罗斯玩偶命名,旨在通过广告软件和工具感染用户电脑,将恶意软件传播到设备上。它携带一个特洛伊木马下载程序伪装成日常电脑使用的合法软件的破解版本。 Torrent服务是希望分发恶意代码网络犯罪分子的热门目标,尤其是因为搜索非法内容的用户经常断开其在线安全解决方案连接或忽略系统警告以安装下载的内容。海盗湾使用已建立的seed服务器传播盗版,没有已知的恶意活动历史,由于其良好声誉,潜在的受害者没有理由怀疑要下载的文件是恶意木马。 安装运行后,会向受害者显示一份海盗湾网页的副本,该页面实际上是一个网络钓鱼页面,要求受害者输入凭据以继续安装。稍后,这个恶意软件使用这些证书创建新的seed服务,分发更多的盗版材料。卡巴斯基的研究表明,到目前为止,网络钓鱼链接已经被访问了大约1万次。 即使没有输入用户凭据,感染仍会继续进行。恶意软件将进一步解包恶意模块,包括一个恶意点击器,除此之外,还可以检查触发广告软件安装程序的“同意”框,用未经请求的软件“淹没“受害者的设备。卡巴斯基表示,在受害者电脑上安装的程序当中大约70%是广告软件,10%被检测为可以将其他恶意软件带到电脑上的恶意软件。     (稿源:cnBeta,封面源自网络。)

安全机构 abuse.ch 公布近10万个恶意网站

据官方博客文章,2018 年 3 月底,非盈利安全机构 abuse.ch 运行了一个名为 URLhaus 的项目。这个致力于收集和分享散布恶意软件的网站 URL 的项目取得了巨大的成功,URLhaus 在 10 个月内关闭了近 10 万个恶意软件散发站点。 在此期间,来自世界各地的 265 名安全研究人员查明并向 URLhaus 提交恶意软件站点,平均每天提交的站点数量有300个。这帮助他人保护自己的网络,也使用户免受恶意软件的攻击。 在活跃信息安全社区的帮助下,URLhaus 帮助主机提供商确认和重新调解受损网站。这并不是个简单的任务,尤其是对拥有数量庞大客户的主机提供商来说。但也因为这样,网络中存在着大量的被劫持网站,被用来散发恶意软件。 据统计,每个恶意网站平均活动期间超过一周(8天10小时又24分钟),这足够它们每天感染数千台装置。恶意网站的主机提供商中,有 2/3 是位于中国或美国。abuse.ch 希望几个国内的主机提供商可以有效减少反应所需的时间,及时处理好已知恶意网站的问题,而不是让散布恶意软件站点存在一个月以上。   稿源:开源中国,封面源自网络;

新型勒索软件 Anatova 开始爆发 手段比 Ryuk 更加老道

近日,迈克菲实验室(McAfee Labs)发现了一款远胜于 Ryuk 的加密货币勒索软件,它就是将自身隐藏在看似无害的图标文件中的 Anatova 。通常情况下,它会将自己伪装成一款流行的游戏或应用程序,以欺骗用户下载恶意软件。运行后,它会自动请求管理员权限,以便尽早对受害者的文件进行快速加密,然后索取一笔不菲的赎金(以加密货币的形式交付)。 目前,恶意攻击者选择了以 DASH 这款加密货币作为付款方式(实时报价在 700 美元左右)。分析师称,他们已经在美国检出了 100 多个 Anatova 实例,此外比利时、德国、法国也有不少中招者。 迈克菲的首席科学家 Christiaan Beek 在接受采访时称 —— Anatova 的模块化架构,可能会变得极其危险 —— 这意味着黑客能够轻松为它添加新的功能。 虽然 DASH 的名气不如比特币或门罗币,但我们并不是第一次遇到这种事情。早在 2018 年初,就有一款名叫 GandCrab 的勒索软件家族,率先要求通过 DASH 支付赎金。 Christiaan 补充道 —— 之所以选择 DASH,是因为它实施了许多隐私增强协议,让交易的追踪变得更加艰难。 不久前,Hard Fork 报道过这款席卷互联网的恶意软件威胁。在短短五个月时间里,Ryuk 恶意软件的者,就将至少 370 万美元的比特币赎金收入囊中。 迈克菲安全研究人员指出,创作 Anatova 的黑客技巧(复杂度),远胜于 Ryuk 。换言之,Anatova 比 Ryuk 更加先进。 具体来说是,想要对它展开分析和解密,是相当困难的。鉴于其采用了快速的加密设计,只有不到 1MB 大小的文件才能破轻松破解。 研究人员认为,Ryuk 源于在地下市场销售的源代码,而 Anatova 则是由具备专业的编程技能的黑客设计的。 作者的经验相当丰富,嵌入了足够多的功能,以确保传统应对措施对它无效 —— 比如在未付款的情况下尝试恢复数据、并且无法创建通用的解密工具。   稿源:cnBeta,封面源自网络;

新勒索软件 Ryuk 瞄准大企业 半年获近 400 万美元

新浪科技讯 北京时间1月14日早间消息,据美国科技媒体ArsTechnica援引信息安全公司CrowdStrike和FireEye上周四发布的两项研究结果显示,自去年8月以来,一家最近被发现的勒索软件组织已经获利近400万美元。 该组织选择了一种在行业中不常见的做法:针对被初步感染、资金实力雄厚的目标,选择性地植入恶意加密软件。这不同于用勒索软件感染所有可能受害者的常见策略。 两份报告都显示,该组织使用被称作“Ryuk”的勒索软件感染大企业。而在此之前几天、几周,甚至一年,这些目标大多就已经被感染了一种被称作Trickbot的木马。相比而言,小企业在感染Trickbot之后很少会再遭到Ryuk的攻击。CrowdStrike表示,这种方法是“寻找大目标”,而自去年8月以来,其运作者已经在52笔交易中收入了370万美元的比特币。 除了精准定位目标之外,这种方式还有其他好处:存在“驻留时间”,即从初始感染到安装勒索软件之间的一段时间。这让攻击者有时间对被感染网络进行分析,从而确定网络中最关键的系统,并获取感染这些系统的密码,随后才释放勒索软件,从而最大限度地造成损害。   稿源:新浪科技,封面源自网络;

苹果商城发现恶意 Alexa 应用:下架前工具类 App 排行第六

近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。 虽然这款恶意APP已经从App Store下架,但在背后依然存在很多的疑问。首先包含如此明显关键词的APP是如何通过审核上架的?目前外媒编辑在查询后发现App Store上还有两款不太和谐的应用程序,一个为Any Font for Instagram,而另一个为Marketplace  –  Buy / Sell,整体设计非常类似于Facebook。 这款名为“Setup for Amazon Alexa”的APP是由One World Software的,会向用户提交IP地址、序列号和名称。如果你的序列号和IP地址被泄露,那么最终可能会导致第三方恶意干扰。   稿源:cnBeta,封面源自网络;

当心!勒索病毒 WannaCry 仍然潜藏在世界各地的电脑上

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。 WannaCry利用EternalBlue攻击工具对微软Windows操作系统的服务器信息区块(SMB)漏洞展开攻击,而EternalBlue为美国国家安全局(NSA)所开发。 2017年5月12日,WannaCry在欧洲市场率先发难,加密被黑电脑上的文件并勒索赎金,并能主动侦测及入侵网络上其他有漏洞的设备,因此在短短的两天内,便在全球超过150个国家迅速感染了数十万台电脑。此外,今年造成台积电大规模停产的元凶也是WannaCry的变种。 减缓WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人员Marcus Hutchins,他发现了WannaCry的勒索元件有一个“销毁”机制,即WannaCry会连至一个网络域名。如果WannaCry未发现该域名则加密电脑文件。换而言之,如果WannaCry连接到了该网络域名,则不会加密受感染电脑上的文件。 幸运的是,该域名竟然没人注册,随后Hutchins便注册了该域名,维持该域名的运作,成功阻止了WannaCry的勒索能力。 目前此一用来支撑“销毁”机制的域名由Cloudflare负责维护,有鉴于那些已感染WannaCry的电脑还是会定期连接到“销毁”域名,这让Kryptos Logic得以持续观察感染情况。 根据Jamie Hankins12月21日在Twitter上张贴的数据,他们当天的前24小时侦测到184个国家的22万个独立IP超过270万次连结到该“销毁”域名,前一周则有来自194个国家的63万个独立IP超过1700万次连结到该“销毁”域名。 不过,Hankins也说明这些独立IP无法代表实际的感染数量,只是这样的流量仍然很惊人。前五大流量来自中国、印尼、越南、印度及俄罗斯。 依然潜伏在电脑中的WannaCry还是有爆发的风险,例如一旦网络断线,或是无法连接“销毁”域名,WannaCry的勒索元件就会再度执行。 企业或者用户可通过Kryptos Logic免费提供的Telltale服务来侦测电脑上包括WannaCry在内的安全威胁。   稿源:新浪科技,封面源自网络;

McAfee 报告:加密货币恶意软件数量过去 1 年增长 4000%

随着加密货币的价值断崖式下跌,黑客会更加猖獗地攻击最后狠狠捞一笔还是偃旗息鼓等待加密货币反弹后再割?只有时间能给出答案。根据McAfee实验室近期公布的最新研究报告,针对加密货币的恶意软件数量在过去一年中增长了4000%。 McAfee实验室发布的2018年12月威胁报告[PDF]中,这家安全公司强调称2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少,但在第三季度,环比增长近40%。McAfee注意到在过去几个季度中,这种新型勒索软件系列的数量有所下降。这表明这些攻击者正转向更有利可图的加密劫持模式(cryptojacking)。 由于普遍缺乏适当的安全控制,类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU,但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中,恶意软件总体上已经出现了稳定和可预测的增长,这一趋势没有显示出放缓的迹象。   稿源:cnBeta,封面源自网络;