分类: 恶意软件

手机银行木马新时代:Svpeng 通过无障碍访问服务窃取用户敏感数据

据外媒报道,卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能,允许黑客通过无障碍访问服务窃取用户敏感数据。 无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面(UI)。倘若黑客滥用此系统功能,不仅能够从设备上的其他应用程序中窃取敏感数据,还可获取管理员权限。此外,该木马新增功能还具备卸载拦截功能。 相关数据表明,尽管当前黑客尚未大范围部署 Svpeng,但受害目标却跨越 23 个国家,其中多数受害用户位于俄罗斯(29%)、德国(27%)、土耳其(15%)、波兰(6%)与法国(3%)。值得注意的是,即使大部分受害用户位于俄罗斯,但该木马程序并不会在俄语设备上运行,因为这是俄罗斯黑客规避侦查与逮捕的标准策略。 Svpeng 恶意软件家族一向以创新闻名。自2013年以来,Svpeng 是首批攻击银行短信业务的木马软件,允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年,黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng,使其跻身高危手机恶意软件行列。 有趣的是,一旦设备感染 Svpeng 后,该木马就会自动检测设备运行语言,如果不是俄语,设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外,每当用户使用键盘按键时,该木马都会截图并上传至恶意服务器。 近期,研究人员从 Svpeng 命令与控制服务器( CnC )拦截到一个加密配置文件,解密后可查找受攻击的应用程序,进而获取钓鱼网址。据悉,该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址,还包括一款手机赚钱软件应用 Speedway。 目前,黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称,该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示,黑客仅需访问其中一个系统功能,即可获取所有必要的附加权限。 原作者:Roman Unuchek, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒曝部分 Android 智能设备 OEM 厂商预装 Triada 木马

据外媒报道,Google 安全人员此前披露一款恶意软件 Lippizan,能够录制通话记录、拍摄照片、以及监视设备其它活动。近期,又有其它安全研究企业在线曝光国产智能手机厂商的设备中发现预装 Triada 木马。 研究人员 Dr.Web 指出,这是一种相当复杂的恶意软件,因为它可以直接将自身注入到了名叫 “ Zygote ”的 Android 父进程中。Zygote 在手机正常运行期间处于活跃状态,因此能够访问到任意应用程序的内容。在最新变种中,该木马已获得沙盒机制的加持、被更新得无法追踪。 Dr.Web 已经披露了部分被感染机型上的 Android 核心库(libandroid_runtime.so),包括 Leagoo M5 PlusLeagoo M8、Nomu S10、Nomu S20 等。目前,Dr.Web 怀疑 ROM 制作者、或者其他可访问到用于这些设备的 Android 代码的人别有用心,在设备出货前将恶意软件灌注到了这些设备中。 尽管设备制造商已被告知该恶意软件问题,但鉴于其主打低成本市场,预计它们不太可能会为这些设备推出任何安全更新。 稿源:cnBeta,封面源自网络;

银行木马 Trickbot 变种新添蠕虫病毒攻击模块

据外媒报道,网络安全公司 Flashpoint 专家近期发现黑客通过银行木马 Trickbot 新变种的蠕虫病毒攻击模块肆意传播国际金融垃圾邮件,旨在瞄准全球银行系统展开新一轮攻击活动。 调查显示,虽然 Trickbot 更新版本仍在测试,但该木马的设计理念主要是利用服务器消息模块(SMB)在线传播,与勒索病毒 WannaCry 在五月份感染 150 多个国家的 30 多万台电脑的攻击方式存在异曲同工之处。幸运的是,Trickbot 无法随机扫描 SMB 连接的外部互联网地址,这意味着它的传播范围相比 WannaCry 较小 。 Trickbot 于 2016 年首次发现,最初仅侵入亚洲、澳大利亚与新西兰银行系统。但随着木马功能的不断升级,英国、德国与加拿大各机构的客户纷纷遭受影响。目前,开发人员的身份背景尚不知晓。 银行木马 Trickbot 新变种允许黑客发起重定向攻击,诱导用户访问恶意网站输入个人凭据。据悉,攻击者大规模增加垃圾邮件每日数量、肆意传播银行木马 Trickbot,以致影响全球用户及各个地区金融指标。 目前,黑客正测试银行木马新模块,即蠕虫病毒横向移动功能,允许感染同一局域网(LAN)上的其他计算机系统并将其作为僵尸网络分发传播恶意软件。尽管蠕虫模块的当前形式过于简单,但很显然该组织是通过复制勒索病毒 WannaCry 与 NotPetya 的攻击方式后深入研究而成。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 安全专家成功拦截新型 Android 间谍软件 Lipizzan 传播

据外媒 7 月 27 日报道,Google 安全研究人员近期在 Google Play Store 中发现新型 Android 间谍软件 Lipizzan,允许黑客从移动设备中过滤任何类型数据,并将其作为监控工具使用。 Lipizzan 是一款多阶段间谍软件产品,与具备政府、情报机构背景的以色列安全公司 Equus Technologies 有关。研究人员在对恶意软件深入分析后表示,被感染应用经过两个阶段成功绕过 Google 过滤器进入应用商店下载。 第一个阶段,黑客将 Lipizzan 冒充合法应用(如 “ Backup ” 或 “ Cleaner ” 等应用),通过 Google Play 等多渠道传播。一旦安装恶意代码,Lipizzan 将下载并加载第二阶段许可证验证,即针对受害设备进行检测与验证。如果获取信息明确,那么黑客将于第二阶段利用已知漏洞将目标设备数据过滤至命令与控制服务器。 一旦感染目标设备,间谍软件除监控用户通话记录、设备麦克风、位置、摄像头外,还将收集用户联系人、短信与应用数据等信息。Google 表示,黑客成功拦截第一批受感染间谍软件的应用程序后,可通过调整绕过 Google Play Store 过滤器上传第二批受感染应用程序,包括新名称与第二阶段加密流程。 目前,仅有不到 100 台设备受到影响(占 Android 设备 0.000007%),谷歌完成检测后当即消除威胁并建议用户仅使用正规 Google Play Store 下载应用、及时更新手机系统版本。 原作者:Bogdan Popa,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

CIA 间谍软件曝光:可向苹果系统植入木马

据外媒报道,维基解密近期再次曝光新 “ Vault 7 ” 秘密文件 Imperial 项目,证明 CIA 已经拥有向苹果系统磁盘映像植入木马的能力。而此次曝光还披露了 CIA 的三个间谍软 “ Achilles ”、“ SeaPea ” 以及 “ Aeris ”。 维基解密表示,“ Achilles ” 可以生成一个或多个操作者对 OS X 磁盘映像进行访问并执行一次操作。OS X 磁盘映像包括了整个磁盘的文件或者是全部的存储设备的数据。根据描述,目标计算机只有具备英特尔酷睿 2 处理器和苹果 OS X 系统才可运行 “ Achilles ” 间谍软件。 针对苹果设备的 “ SeaPea ” 将为 OS X 内核 Rootkit 提供隐藏和工具启动功能。据维基解密透露,在 Mac OS X 10.6 和 Mac OS X 10.7 上运行 “ SeaPea ” 会隐藏文件和目录、套接字连接及进程。“ SeaPea ” 使用 root 访问进行安装,并可一直保留在设备上,除非重新格式化硬盘驱动器或升级系统。“ Aeris ” 根据描述是利用 C 语言编写的一种自动植入间谍软件,与 POSIX 兼容。一旦安装,它可进行文件过滤和加密通信。 稿源:cnBeta、威锋网;封面源自网络

新 Windows 后门 CowerSnail 与恶意软件 SHELLBIND 密切相关

据外媒 7 月 26 日报道,卡巴斯基实验室研究人员近期发现新 Windows 后门 CowerSnail 与 Linux SambaCry 恶意软件 SHELLBIND 密切相关。 SHELLBIND 利用 SambaCry 漏洞感染多数网络附加存储(NAS)设备后,将共享文件传输至 Samba 公共文件夹并通过服务器加载,允许攻击者远程执行任意代码。 调查显示,由于 SHELLBIND 与 Backdoor.Win32 CowerSnail 共享一台命令与控制(C&C)服务器(cl.ezreal.space:20480),因此极有可能由同一组织创建。 CowerSnail 后门设计基于跨平台开发框架 Qt 编写,允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 环境。另外,该框架还提供了不同操作系统之间的跨平台功能与源代码转移,从而使平台传输代码变得更加容易。然而,在便捷传输的同时也增加了生成文件大小,导致用户代码仅占 3MB 文件的很小比例。 CowerSnail 在升级进程/当前线程优先级后通过 IRC 协议与 C&C 服务器通信,实现经典后门功能,包括收集受感染系统信息(例如:恶意软件编译时间戳、已安装操作系统类型、操作系统主机名称、网络接口信息、物理内存 ABI 核心处理器架构)、执行命令、自动安装或卸载、接收更新等。 目前,安全专家推测,如果同一黑客组织开发两款特定木马且每款均具备特殊功能时,那么想必这一组织在未来将会设计更多恶意软件。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

部分 Mac 设备感染 FruitFly 恶意监控软件

据福布斯报道,针对 Mac 设备的恶意软件爆发现象不常见。然而,一旦出现,便会立即引起人们关注。前美国国家安全局员工、现就职于网络安全公司 Synack 研究人员 Patrick Wardle 表示,部分 Mac 用户遭到 FruitFly 恶意监控软件入侵。 据统计,约有 400 台左右的设备感染这一恶意软件,但由于他只找出部分用于控制恶意软件服务器,因此这一数字还将继续上升。通过追查黑客曾利用过的域名备案,Patrick Wardle 发现了 FruitFly 的受害者,而这些域名都是被黑客盗用的。他可以由此查出受害者 IP 地址,据透露其中 90% 的设备位于美国境内,而他也可以看到受害者 Mac 设备的电脑名称,所以甚至可以具体指出是哪一台 Mac 设备感染了 FruitFly。 Patrick Wardle 认为,监视是 FruitFly 的主要目的,通过入侵用户的网络摄像头来进行窥视并截图。与普通网络犯罪类型不同,它没有弹出广告、键盘记录器或是勒索软件。当用户在 Mac 设备上活动时会提醒黑客,并且它也可以模拟鼠标点击和键盘事件。 此外,这似乎是一款老式的恶意软件,因为在其代码中有对 Mac OS X Yosemite 更新的引用,而这一系统最初发布于 2014 年。这也意味着在此之前这一恶意软件就已经存在了。目前,苹果尚未就这一报道做出回应。 稿源:cnBeta,封面源自网络

神秘僵尸网络 Stantinko 潜伏 5 年感染逾 50 万系统设备

安全公司 ESET 研究人员警示,僵尸网络 Stantinko 于过去五年内一直处于雷达控制状态,其成功感染逾五十万台计算机设备,并允许攻击者在受感染主机上执行任意操作。自 2012 年以来,僵尸网络 Stantinko 为大规模恶意软件活动提供动力,其主要针对俄罗斯与乌克兰等国家。由于该僵尸网络具备加密代码及迅速适应能力,方可规避安全软件检测。 Stantinko 是一款模块化后门,其中包括加载程序执行 C&C 服务器并直接在内存中发送任何 Windows 可执行文件。由于插件系统较为灵敏,攻击者可在受感染系统上执行任意代码。 调查显示,为检测受感染用户设备,攻击者使用应用程序 FileTour 作为初始感染媒介,能够在受害者设备上安装各种程序,同时启动僵尸网络 Stantinko 进行传播。Stantinko 不仅会安装浏览器扩展、执行广告注入与点击欺诈,还能在 Windows 服务中执行任意操作(例如:后门攻击、Google 搜索以及强制操控 Joomla 与 WordPress 管理员面板等)。 研究人员表示,僵尸网络在攻击后将会安装两款恶意 Windows 服务,每款均具备重新安装其他程序的能力,因此用户必须同时删除这两款程序才能完全去除恶意软件。目前,僵尸网络幕后黑手正试图通过多款恶意活动访问 Joomla 与 WordPress 网站管理帐户,并在暗网转售帐户登录凭证,或是通过与 Facebook 交互插件进行社交网络欺诈。 虽然这一僵尸网络对用户来说影响并不广泛,但它仍是极大的威胁,因为它为网络犯罪分子提供了充足的欺诈收入来源。此外,功能齐全的 Stantinko 后门还能允许攻击者监视所有受害设备。 原作者:Ionut Arghire,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 公布 2017 年 6 月全球十大最受 “ 欢迎 ” 恶意软件

安全公司 Check Point 最新报告《 全球恶意软件威胁影响指数 》在线公布 6 月十大最受 “ 欢迎 ” 的恶意软件。广告恶意软件 RoughTed 因影响全球 28% 组织机构名列榜首。以下是全球十大最受“欢迎”恶意软件列表: 1、广告恶意软件 RoughTed:大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接,不仅可以攻击任意类型的平台与操作系统,还可绕过广告拦截器与指纹识别功能,提高了黑客攻击的成功率。 图一:RoughTed 受攻击地区分布 2、浏览器劫持软件 Fireball:是一款功能齐全的恶意软件下载程序,允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 3、内存驻留蠕虫 Slammer:主要针对 Microsoft SQL 2000 通过快速传播实现拒绝服务攻击。 4、勒索软件 Cryptowall:最初是一款加密软件,经过扩展后成为当下最知名的勒索软件之一,主要特色是 AES 加密与 To r匿名网络 C&C 通信,其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 5、HackerDefender Rootkit:用于隐藏 Windows 用户设备文件、进程与注册表项,还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下,无法采用传统手段找到隐藏后门。 图二:全球威胁风险指数(绿色:低风险;红色:高风险风险;白色:数据不足) 6、勒索软件 Jaff:自 2017 年 5 月开始由 Necrus 僵尸网络传播。 7、Conficker 蠕虫:允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C&C 服务器接收指令。 8、多用途机器人 Nivdort:又名 Bayrob,用于收集密码、修改系统设置、下载其他恶意软件,通常利用垃圾邮件进行大规模传播,收件人地址以二进制编码确保唯一性。 9、银行木马 Zeus:通过捕获浏览器中间人(Man-in-the-Browser,MitB)按键记录与样式窃取银行账户信息。 10、漏洞工具包 Rig ek:于 2014 年首次推出,提供 Flash、Java、Silverlight 与 Internet Explorer 漏洞,致使感染链重定向至目标登录页面。 调查显示,Fireball 恶意软件 5、6 月全球影响范围从 20% 下降至 5%;Slammer 则影响全球 4% 组织机构;而 RoughTed 体现了网络犯罪分子采用广泛攻击媒介与目标,影响感染链各个阶段。与 RoughTed 相反,Fireball 接管目标浏览器并使之成为僵尸网络,用于安装其他恶意软件、窃取有价值证书等各种操作;Slammer 则是一款可导致拒绝服务攻击的内存驻留蠕虫。 据悉,各大组织于今年 5、6 月的重点防御对象是 WannaCry、Petya 等勒索软件。然而,本月影响指数则反映了攻击媒介呈广泛分布趋势。在此,安全专家提醒各组织机构加强安全基础架构建设,充分掌握网络犯罪分子可能使用的所有策略与手段,并采用多层次网络安全防御方法有效规避零日恶意软件新变种。 稿源:Check Point,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究报告:恶意软件即服务为黑客提供更多网络犯罪平台

近年来,随着网络犯罪分子以组织化形式存在,黑客攻击手段已越来越多的被用于商业化发展。即网络犯罪分子可通过租用扩展黑客工具与技术(漏洞套件、勒索软件)构建威胁发动攻击,将其演变成大型企业攻击活动。调查显示,恶意软件即服务(MaaS)的普及滥用日益增加,为网络犯罪分子提供了包括勒索软件即服务(RaaS)、DDoS 即服务、网络钓鱼即服务等在内的一系列服务攻击模式。近期,两组研究人员发现两起类似服务攻击活动。 恶意软件 Ovidiy Stealer7 攻击活动 Proofpoint 安全研究人员发现恶意软件 Ovidiy Stealer7 在以俄语为主的暗网论坛中低至 7 美元出售,即便是技术小白也能轻松窃取目标设备信息。 Ovidiy Stealer 于今年 6 月开始在暗网销售,有开发团队定期更新。分析显示,该恶意软件目前具有多个版本,主要攻击包括英国、荷兰、印度与俄罗斯在内的用户设备。 研究人员发现,虽然恶意软件 Ovidiy Stealer7 单一可定制的版本价格低廉,但目标系统可执行文件仍然能够被攻击者加密并难以检测与分析。此外,恶意软件的窃取功能攻击多个应用程序与浏览器(包括 Google Chrome、Opera、FileZilla、Amigo、Kometa、Torch与Orbitum),不过网络犯罪分子也可购买仅在单个浏览器上运行的版本。目前,恶意软件正通过恶意电子邮件附件、下载恶意链接、虚假软件或各文件托管网站上的工具分发传播。 网络钓鱼攻击平台 Hackshit Netskope Threat 研究人员发现的另一种新 Phishing-as-a-Service(PhaaS)平台 Hackshit,为初学网络犯罪分子提供了低成本的 “ 自动化解决方案 ”,允许窃取用户登录凭据及其他敏感信息。 Hackshit 允许网络犯罪分子为多个目标站点(包括 Yahoo、Facebook与Google Gmail)生成独特网络钓鱼页面。 另外,Hackshit 还能够利用 Let’s Encrypt 颁发的 SSL 证书为 Web 服务器提供免费 SSL / TLS凭证,使假冒网站看起来更为逼真。 原作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。