分类: 恶意软件

谷歌商店 132 款应用试图使用 Windows 恶意软件感染用户

安全公司 Palo Alto Networks 发现,谷歌应用商店中有 132 款 Android 应用程序正在尝试使用 Windows 恶意软件感染用户。 调查表明,这些恶意应用并不是开发人员故意上传的,开发方可能也是受害者之一。安全专家认为,应用程序开发者的开发平台很可能也感染了恶意软件,应用程序包含一个隐藏的 IFrames 标签,该标签将链接到本地 HTML 页面中的一个恶意网页,恶意软件将搜索 HTML 页面并在页面末尾插入恶意网页链接。恶意页面会尝试下载、安装恶意 Microsoft Windows 可执行文件。但由于大部分用户是通过 Android 设备浏览谷歌商店的,所以恶意文件并不会真正执行。目前这些问题应用已经下架。 所有应用程序都有一个共同点,它们都使用 Android WebView 来显示静态 HTML 页面,虽然看起来这些页面只加载本地存储的图片并显示硬编码文本,但是深入分析后发现页面中含有一个隐藏的 iframe 标签链接到恶意网址。目前该链接的网址页面已经关闭。此外,这些开发人员都来自印度尼西亚,他们很可能从同一网站下载了受感染的集成开发平台。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Necurs 僵尸网络不断发展,新增 DDoS 攻击模块

近日,BitSight 的 Anubis 实验室发现,Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一,主要用于发送垃圾邮件活动,而 Necurs 则是一种恶意软件,用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前,Pereira 和他的团队发现,除了通常用于通信的 80 端口之外,恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析,研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信,其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型,按头部中 msgtype 字节来区分: ○ 启动 Proxybackconnect( msgtype 1); ○ 睡眠( msgtype 2); ○ 启动 DDOS( msgtype 5),包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前,研究人员还未发现 Necurs 被用于 DDOS 攻击,只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过,基于 Necurs 僵尸网络现有的规模,产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ASERT 小组分析恶意软件 Shamoon 2 阐明 C&C 与感染过程

ASERT( Arbor 安全工程响应小组 )研究员对恶意软件 Shamoon 2 进行了分析发现 C&C 基础设施以及感染过程的更多细节。 2012 年,Shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(Saudi Aramco)。在针对阿美石油公司的攻击中,Shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录( Master Boot Record,MBR ) Shamoon 2 则在 2016 年 11 月被首次发现,今年 1 月安全公司 Palo Alto Networks 发现它的新变种可针对虚拟化产品展开攻击。 研究员对 X-Force 的恶意软件样本进行分析发现,攻击者使用恶意宏文件传播恶意软件,并通过 PowerShell 命令连接 C&C 服务器。研究员在 IP 上执行了被动 DNS 查找发现,get.adobe.go-microstf[.]com 托管在 04.218.120[.]128 上,这个通信活动发生在 2016 年 11 月。go-microstf[.]com 托管在 45.63.10[.]99 上,该域名最初设置为伪装成 Google Analytics 登录页面。 研究员还发现 X-Force 的恶意软件样本创建了一个新文件“ sloo.exe ”,该文件存储在 C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe 中。该样本还与 104.238.184[.]252 连接并执行 PowerShell 命令。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Swift 语言勒索软件出现:面向 macOS 伪装成破解工具

据外媒 AppleInsider 报道,一种新的以 Swift 语言编写的恶意勒索软件开始浮现互联网,其攻击目标为 macOS 系统的盗版软件用户,其伪装成 Adobe CC 软件或者微软 Office for Mac 2016 等常用生产力套件的破解工具传播。一旦感染,其就会开始将用户的文件和数据加密并要求支付来解锁,更加恶意的是即使用户真的按要求支付,该勒索软件也不会为你解锁任何文件。 据安全研究人员 Marc-Etienne M.Léveillé 发现,该恶意软件始于 BitTorrent 站点传播,其伪装成 Patcher 破解工具,使用盗版软件的用户常用破解工具来绕开正版保护或者认证系统。常用创意或者生产力套件软件,目前发现有伪装成 Microsoft Office for Mac 2016和Adobe Premiere Pro CC 2017 的破解工具,不过报道有更多实例出现。当用户点击恶意软件中的开始按钮准备破解时,软件就会弹出“请先阅读”文本来吸引用户注意力,而在后台开始加密用户文件,随机生成 25 位密钥,并且删除原文件。“请先阅读”会向用户说明其文件已经被加密,需要在 7 日内支付 0.25 比特币来解锁,或者选择支付 0.45 比特币以一日内解锁 然而即使用户按要求支付了赎金,也不会帮你解密文件。而安全人员表示,这款由 Swift 语言编写的恶意勒索软件的编码技巧差,有很多错误。比如窗口被关闭了就无法打开,调用根目录磁盘实用工具抹掉磁盘空间的路径也是错的。而且经过专家发现,该源文件中根本就未包含支付后向目标发送密钥解锁的指令,而密码长度也难以通过暴力破解完成。 Léveillé建议用户尽量为其重要数据和安全软件进行离线备份,小心使用不明来源的文件,尤其是破解工具很有可能包含恶意代码,尽量使用正版授权。 稿源:cnbeta,有删改,封面来源于网络

新型恶意程序利用硬盘 LED 指示灯窃取信息

以色列本古里安大学网络安全研究中心的科研人员近日成功研发出了新型恶意程序,能够通过相对高速的硬盘 LED 指示灯窃取密码和加密密钥等数据。目前计算机受到的攻击都来自网络,而这种方式在离线状态下也能发起攻击。 科研人员研发的这款恶意程序能够以每秒 5800 次的速度不断闪烁,通过这款恶意软件能够对敏感数据进行编码,通过不断闪烁的 LED 指示灯传递给其他硬盘上。科研人员将这款恶意程序称之为 LED-it-GO (PDF)。 为了接收机械硬盘 LED 编码的数据,科研人员使用无人机和包含相机的其他设备进行传输,通过这项技术能够每秒传输 4000 bits 的文件容量。科研人员表示相比较依赖于光学发射的 air-gap 隐蔽渠道要快 10 倍。而且科研人员表示各种新型的信息窃取方式已经涌现,例如通过 PC 的音响、风扇的速度和发出的热量等等。 稿源:cnBeta,封面源自网络

针对 Android 平台的勒索软件攻击一年内增长了 50%

趋势科技进行的一项调查发现,针对 Android 操作系统的勒索攻击在短短一年内增长了超过 50%,因为越来越多的消费者从他们的 PC 切换到他们的智能手机,使移动操作系统生态系统成为网络犯罪分子更有价值的目标。 根据安全公司 ESET 的报告,加密恶意软件攻击的最大峰值来自 2016 年上半年。还发现锁定屏幕上的所谓“警察勒索软件”一直是 Android 平台上勒索软件的主要类型,可以有效地吓唬一些受害者,这类软件声称受害者犯罪,这导致许多人向攻击者支付所谓赎金。 除此之外,研究人员还发现,犯罪者通过将恶意软件的有效载荷加密深入到被感染的应用程序内,增加了它们被发现的难度。在 ESET 发布的勒索软件白皮书中表示,东欧是勒索软件开发商的主要目标。然而,随着时间的推移,这种情况已经改变,勒索软件记录在案的成功攻击事件当中,有 72% 发生在美国。研究发现,这种转变是由于在美国的移动用户一般比东欧更富有,因此针对美国的用户的攻击将为他们带来更多的利润。 为了确保 Android 设备安全,ESET 建议用户远离第三方应用商店,及时更新移动安全软件并且小心访问那些未知网站,因为并不是每一个登陆页面都是安全的。 稿源:cnBeta;封面源自网络

恶意软件TeamSpy利用远程工具TeamViewer进行网络间谍活动

安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 DLL 劫持技术保持隐蔽性,使用合法的远程访问工具 TeamViewer 执行未经授权的操作。 DLL 劫持技术 DLL 文件为动态链接库文件,当一个程序运行时,Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL,如果没找到,则在系统目录中查找,最后才是在环境变量目录中查找。 攻击者将在程序目录下伪造 DLL 的同名函数,这样程序将优先调用伪造的 DLL 文件,先执行伪造文件中的恶意代码,处理完毕后,再调用原 DLL 文件。 攻击者发送的网络钓鱼邮件中包含一个 zip 附件,当受害者打开压缩包的同时将执行附带的 exe 文件,如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ,并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证,攻击者可访问计算机上未被加密的内容。 目前,大多数杀毒软件还无法检测到恶意软件 TeamSpy ,它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出,如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以色列国防军遭“色诱”感染间谍软件 ViperRAT,泄露敏感信息

据 Lookout 和 卡巴斯基报道,一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击,窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件,并远程泄漏了高价值的数据,包括照片和音频录音。 攻击策略:美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后,美女以各种手段诱骗士兵下载恶意软件,如 SR Chat 和 YeeCall Pro 此类的聊天软件,以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ,并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机,窃听士兵的对话并进行实况拍照,近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置,通话记录,个人照片,短信,基站信息,网络和设备数据,互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安卓木马 Marcher 窃取数十款银行 APP 账户凭证,杀毒软件无法卸载

一种新 Android 银行木马 Marcher 正在兴起,通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件,获取权限、收集数十家银行账户数据。重要的是,国内外二十多款杀毒软件拿它没办法,无法查杀卸载。 据 Securify 统计,在 11000 个受影响设备中近 5700 个属于德国移动设备、2200 个是法国移动设备。此外,大多数受感染的设备运行的是 Android 6.0.1 系统。 安全专家介绍,木马通过短信、彩信或者社交软件消息进行网络钓鱼,利用社会工程学诱骗用户点击下载木马,安装时应用程序将请求用户提供短信存储、访问以及设备管理员这样的高级权限。 木马通过两种方式发动攻击: 一种是拦截、发送带有验证的银行信息。 另外一种是“覆盖攻击”,当你使用银行 APP 时,木马会查询目标列表中是否存在该 APP,并有针对性的在屏幕上跳出对应银行的网络钓鱼窗口。黑客设计的钓鱼窗口十分逼真并要求用户输入银行凭证等信息。 许多有针对性的银行 APP 目前该银行木马主要针对国外数十家银行及社交应用 APP,银行如汇丰银行、PayPal、奥地利银行、苏格兰银行等,社交类如 Instagram、Play Store、 Facebook、Skype、Viber、WhatsApp、Gmail、Amazon 商城等详情可查看链接。 杀毒软件拿它没办法 此外,该木马有一个极大的“优势”,它可以躲避众多杀毒软件的查杀,让杀毒软件无法卸载它。众多杀毒软件受影响,如猎豹清理大师、 360 安全卫士、Norton、BitDefender、卡巴斯基、AVG 等二十多款。 它所利用的技术相当简单:查询设备是否运行杀毒软件,如果正在运行,恶意软件会强制手机返回主屏幕。即使杀毒软件检测到恶意软件,但要删除它必须要得到用户确认、授权,而一运行就返回主屏幕就导致用户无法点击确认,杀毒软件也就无法删除。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Kelihos 晋升为一月最流行恶意软件榜单首位

据安全公司 CheckPoint 报道,2017 年第一季度恶意软件排名发生了些变化。恶意软件 Kelihos 上升到榜首位置,Conficker 蠕虫下降到第四名。惊人的是,8 年前的恶意软件 Conficker 仍然仍然是 2016 年最活跃的恶意软件系列之一。 Kelihos 是一种用于比特币盗窃的僵尸网络,全球有 5% 的组织受其影响。其次是 HackerDefender 和 Cryptowall 排在第二和第三名位置分别影响 4.5% 的组织。另外还有 Conficker 、Nemucod 、RookieUA、Nivdort、Zeus 、Ramnit、Necurs。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。