分类: 恶意软件

恶意软件 DNSChanger 通过恶意像素图片传播,更改 DNS 设置、劫持流量

不久前,我们报道过一个新的恶意广告活动“ Stegano ” ,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。 现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击。 攻击原理: 攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。 包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。 恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。 影响范围 目前,上百款路由器型号都受到影响,包括 · D-Link DSL-2740R · NetGear WNDR3400v3 (一系列型号) · Netgear R6200 · COMTREND ADSL Router CT-5367 C01_R12 · Pirelli ADSL2/2+ Wireless Router P.DGA4001N 解决方案 建议用户确保路由器运行最新版本的固件,使用强密码。此外还可以禁用远程管理,更改其默认本地 IP 地址,用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。 稿源:本站翻译整理,封面来源:百度搜索

安卓恶意软件 Tordow 释出 2.0 版本,可获手机 root 权限窃取财务信息

据外媒报道,近日安全公司 Comodo 发现恶意软件 “Tordow” 已更新至 2.0 版本,主要针对俄罗斯用户获取手机 root 权限、盗取密码以及财务信息。 恶意软件 “Tordow“ 是一种手机银行木马,今年 2 月份首次被发现,通过第三方应用市场感染用户。“Tordow“ 木马除了从安卓手机上获取 root 权限外,还会执行一系列操作包括:拨打电话、控制短信、下载并安装程序、窃取登录凭证、访问联系人、文件加密、处理银行业务数据、删除安全软件等,并以此作为勒索。 Tordow 如何感染安卓手机 需要提及的是,Tordow 主要通过第三方应用商店进行传播,用户对于可信度不高的应用商店应该敬而远之。Comodo 表示,攻击者通过对正规应用进行逆向、注入恶意程序,然后重新上传至第三方商店,如冒充 Pokemon Go、 Telegram、地铁跑酷等应用上传。这些应用程序还可以通过社交媒体或其他网站传播,因此选择可信的第三方应用商店下载软件非常重要。 Tordow 是如何运行的 感染 Tordow 的恶意程序被安装后,木马首先会尝试获得 root 权限,然后连接到外部控制中心以等待攻击者的更多命令。从目前调查情况看,Tordow 主要针对银行账户,网络犯罪分子似乎对俄罗斯用户的财务信息很感兴趣。 稿源:本站翻译整理, 封面:百度搜索

微软警告:购物狂欢季当心钓鱼邮件含 Cerber 勒索软件

随着假日快速来临,许多人已经开始了他们的圣诞购物,无论是从实体店,还是通过互联网。微软现在警告在线购物者有一个新的网络钓鱼活动正在使用假信用卡消息让 Cerber 勒索软件感染不知情的受害者。 这种电子邮件包含 Cerber 勒索软件附件,打开时会提供接收方分步说明,如何启用宏以查看“受保护的文档”。 如果受害者单击“启用内容”的启用宏,就将释放 Cerber 勒索软件到用户电脑,它将开始加密受害人的文件。解密受影响的文件唯一方法是支付 1.3 比特币,这大约相当于 1000 美元。为了使它看起来更真实,提示还包含一个微软徽标,并将版式设计成一个微软支持文章。宏在 Word 和类似的文件已经成为网络犯罪分子的流行攻击媒介,许多人不知道宏有能力运行脚本和安装程序,这显然是被勒索软件开发商利用。 为了能够在勒索软件面前保持安全,微软建议在点击之前考虑,并警惕打开来自未知发件人的电子邮件。他们还建议只从可靠的来源安装软件。Cerber 勒索软件是从受害者赚大钱的许多加密恶意软件程序之一,即使只有 0.3% 的受感染者付费,恶意软件作者还能够从利润当中赚取近 100 万美元。 稿源:cnbeta.com,封面来源:百度搜索

Mac 版“ Skype”即时通讯存后门,可查看、修改用户消息

据外媒报道,Trustwave 公司安全实验室 SpiderLabs 研究员发现,苹果 macOS 和 Mac OS X 操作系统版本的即时通讯软件 Skype 存在隐藏的后门,攻击者可以监视用户的通信信息。 该后门是一个桌面应用程序编程接口( API ),它为第三方插件和应用程序提供接口与 Skype 进行信息交互。 该后门早在 2010 年版本的 Mac OS X 就已经存在,允许任何恶意的第三方应用程序绕过身份验证过程通过 Skype 的 API 接口对系统进行访问操作。 如何利用后门 恶意应用程序将自己伪装成“ SkypeDashboard Widget”程序,就可以绕过系统的身份验证直接通过 Skype 桌面 API 进行访问操作。 伪装过程也很容易,只需将程序的文本字符串值改为“ Skype Dashbd Wdgt Plugin ” 攻击者可利用隐藏的后门进行以下操作 ·读取消息通知内容 ·拦截、读取和修改消息内容 ·记录 Skype 语音消息 ·创建聊天会话 ·检索用户的通讯录。 研究人员认为该后门是由微软公司正式收购 Skype 之前的开发人员创建,至少 3000 万 Mac OS X 用户受影响。 Trustwave 称该后门可能是开发人员无意间留下的,因为 Skype dashboard widget 插件至今没使用过该“功能”。Trustwave 在 10 月份将漏洞提交给微软公司,目前后门已被修复,Skype 7.37 及之后版本不受影响。 稿源:本站翻译整理,封面来源:百度搜索

恶意软件 TeleBots 迅速崛起:乌克兰金融业的噩梦

近日,安全公司 ESET 发布研究报告称,一种名为 TeleBots 的新恶意软件针对乌克兰金融行业进行攻击,通过鱼叉式网络钓鱼攻击传递恶意 Excel 文档感染计算机。据 ESET 分析 TeleBots 背后团队的作案方式与 2016 年初乌克兰电网被黑的手法非常相似,甚至怀疑 BlackEnergy 团队已经转变成了 TeleBots 团队。 ESET 报告显示,攻击者会将带有恶意宏的 Excel 作为初始媒介附在电子邮件中,通过鱼叉式网络钓鱼攻击目标电脑、自动下载恶意软件,同时进一步感染系统、盗取文件甚至渗透整个网络。攻击者能够从电脑中获取想要的任何信息。 ESET 研究员透露 “攻击者利用 excel 执行宏主要是为了通过 explorer.exe 获取木马下载器、使目标感染其他恶意软件。这个木马下载器由 rust 语言编写” 。 TeleBots 会使系统无法开机 此时受害者电脑中会存在一种 Python 编写的 “Python/TeleBot.AA” 后门,这是 TeleBots 的主要部分, “TeleBots” 之名也因此得来。攻击者还会在系统中部署 BlackEnergy 的 KillDisk 组件,使计算机或其中关键系统无法正常启动。 BlackEnergy 和 TeleBots 恶意宏代码的相似之处 系统感染 TeleBots 后,KillDisk 组件便会删除系统文件并将开机页面改为 Mr. Robot 的电视节目画面。 报告指出,KillDisk 本身并不存储这张图片,而是利用 Windows GDI 实时画出了这幅图。很显然,攻击者也是投入了大量精力在编写这段绘制图片的代码上。 俄罗斯黑客或是幕后黑手? 目前 TeleBots 的感染范围尚未可知。安全公司在溯源过程中发现可与 TeleBots 进行通讯的 BCS 服务器,其中包含部分俄语说明文档,俄罗斯黑客也一度被怀疑是幕后黑手。 稿源:本站翻译整理, 封面:百度搜索

俄罗斯大量低价安卓手机预装木马,自动下载软件、显示广告

Android 智能手机和平板设备固件中预装有恶意软件,恶意软件可暗中收集设备数据、显示广告、自动下载无用的 APK 文件。 俄罗斯反病毒厂商 Dr.Web 的安全研究人员发现,基于联发科平台运行的 26 款 Android 设备固件中存在两种类型的下载器木马。值得注意的是,这些受影响的设备大多投入在俄罗斯市场。 这两种木马都能够联系 C&C 服务器、自动更新自己、后台下载安装软件、随开机重新启动。恶意广告程序 H5GameCenter 会显示广告且没有选项可以禁用它,即使用户删除该应用程序,固件木马 Android.DownLoader.473.origin 将重新下载安装应用程序。木马 Android.Sprovider.7 也可自动下载 Android 应用程序文件、拨打电话到特定号码、在状态栏上方显示广告。 木马很可能是参与固件开发的外包公司为赚取外快所为。 Dr.Web 已经通知了联发科和相关设备制造商。受感染用户应该尽快联系厂商以获取最新更新,重装系统软件。 稿源:本站翻译整理,封面来源:百度搜索

攻击者诱骗 Facebook 用户点击明星“成人”链接,安装恶意软件

据外媒报道,国外社交网站 Facebook 出现了一个新的“欺诈”骗局。如果你在 Facebook 上看到某某明星流出的成人视频,请不要点击,骗子正试图诱骗 Facebook 用户点击该视频链接、随后会下载安装恶意软件。一旦安装,恶意软件会不断在浏览器中显示广告页面,如伪造的彩票网站。研究团队 Cyren 还发现了一种恶意 Chrome 扩展插件通过这种 Facebook 骗局传播。 这些消息中包含一个 PDF 文件,其中含播放按钮图像的明星裸体图片,诱骗用户认为这个 PDF 包含一个视频链接,点击后链接重定向至 IE 浏览器、Firefox 或 Safari ,并显示相关照片、弹出窗口和虚假彩票广告页面。 谷歌 Chrome 浏览器受影响最为严重 一旦点击链接,Chrome 浏览器会重定向到一个假的 YouTube 页面,并弹出窗口要求受害者安装 Chrome 扩展插件来查看视频。一旦安装恶意扩展插件,浏览器又将显示 Facebook.com 登录页面,并提示他们重新进行身份验证。因而,攻击者就可获得 Facebook 用户的登录凭据,进一步执行恶意活动。 Cyren 团队分析了 Chrome 扩展的源代码发现,扩展附带了监测和拦截实时网络流量等恶意功能。此外,恶意扩展插件还可以防止受害者访问 Chrome 扩展程序设置页面,使受害者无法禁用恶意插件。 稿源:本站翻译整理,封面来源:百度搜索

勒索软件 Popcorn Time 出损招:传染他人、发展“下线”可免费解密

据外媒报道,安全团队 MalwareHunterTeam 研究员发现了一个新的勒索软件“ Popcorn Time ” 。 Popcorn Time 的工作原理与 TeslaCrypt、孤岛危机这些主流勒索软件相似,加密文件并勒索比特币赎金解密文件。值得注意的是,勒索软件提供了另外一种免费解密的方法:将勒索软件链接转发并感染另外两个受害者,如果他们都缴纳了赎金,你将免费得到解密密钥。 工作原理: 一旦感染,勒索软件 Popcorn Time 将检查 PC 上是否已运行勒索软件,如果是,则自行终止。否则,Popcorn Time 将下载各种图像作为背景图片并使用 AES-256 加密文件,加密文件将以 “.filock” 或 “.kok” 扩展名结尾。加密过程中,勒索软件将在桌面显示正在安装应用程序。 一旦加密完成,将形成 restore_your_files.html 和 restore_your_files.txt 类型的赎金笔记,并自动显示 HTML 勒索信,索要 1 比特币的赎金。 解密文件 勒索软件给受害者七天时间支付 1 比特币($ 750)赎金,否则解密密钥将在云端永久删除。 此外,勒索软件还提供给受害者另外一个免费获得解密密钥的方法。受害者需要将勒索软件链接转发给其他人并感染设备,如果有两个“下线”缴纳了赎金,受害者可以免费获得赎金。 这简直是另类传销,发展下线,祸害亲友。 格外注意 Popcorn Time 的源代码中包含一个提示:如果受害人输入解密密钥错误四次,加密文件也将被删除。 稿源:本站翻译整理, 封面:百度搜索

苏格兰足球协会邮件数据库遭入侵,向球迷群发恶意软件

当地时间 12 月 5日,苏格兰足协证实第三方电子邮件数据库遭黑客入侵,黑客访问了数据库并向订阅用户发送包含恶意软件的垃圾邮件。 电子邮件以“尊敬的客户”为标题,要求用户在 48 小时内支付账单。当点击账单后,系统会提示用户下载了一个文件,该秘密格式文件包含恶意软件可感染用户电脑。 苏格兰足协在 Twitter 上发表申明,提醒用户不要点击邮件并尽快删除电子邮件。此外,苏格兰足协也在其官方网站中发表声明陈述了入侵事件,并表示用户的银行或信用卡详细信息没有遭黑客窃取。 目前,调查正在进行,但苏格兰足球支持者协会在 Twitter 上声称攻击服务器来自中国。 稿源:本站翻译整理,封面来源:百度搜索

新恶意软件“ Gooligan ”已盗取 100 万谷歌账户,74% 安卓设备受影响

据外媒报道,安全公司 Check Point 发现一个命名为“ Gooligan ”的新 Android 恶意软件。恶意软件已经感染了超过 100 万个谷歌账户的 Android 设备,并以每天 13000 部设备的感染速度增长。 恶意软件 Gooligan 利用 Android 设备的漏洞获得 Root 权限,窃取电子邮件地址和存储在本地的身份验证令牌,从而劫持 Google 帐户,访问相应 Google 应用的敏感信息。如 Gmail、谷歌照片、谷歌文档、Google Play、云盘、G Suite 等其他程序的数据。 据 Check Point 博客显示,Gooligan 伪装成合法应用隐藏在第三方应用平台,一但安装,Gooligan 会利用安卓 VROOT (CVE-2013-6282) 和 Towelroot (CVE-2014-3153) 漏洞 下载、安装 Root 工具。受影响的设备包括 Android 4.x (Jelly Bean, KitKat) 和 5.x, (Lollipop) ,这些安卓版本的市场占有率超过 74% ,其中有 57% 的设备在亚洲,大约 9% 的设备在欧洲。 如何确定账号是否被盗? 安全公司 Check Point 提供了一个在线工具来检查你的 Android 设备是否已经感染了 Gooligan 恶意软件。 登录 https://gooligan.checkpoint.com 网站,输入邮箱号码。 如果被盗 1、关机并找专业售后刷机 2、更改谷歌密码 稿源:本站翻译整理,封面来源:百度搜索