分类: 恶意软件

安卓商业间谍软件 Exaspy 针对高层管理人员

据外媒报道,安全公司 Skycure 的研究人员发现了一个新的安卓商业间谍软件 Exaspy,针对高层管理人员的移动设备。研究人员已经在某公司的副总裁的 Android 6.0.1 设备上发现了该恶意软件。这种恶意软件需要用户最终执行手动安装。 安装过程: 1、恶意软件请求访问设备管理员权限 2、询问许可证号码 3、隐藏软件本身 4、请求访问 root(如果设备已使用ROOT工具管理应用程序)。一旦被授权,它将安装一个系统包,使其卸载过程更加困难。 安装成功后,即可访问受害人的聊天记录和消息(短信,彩信,Facebook Messenger,Google Hangouts,Skype,Gmail,本地电子邮件客户端,Viber,WhatsApp等)。此外,软件程序包存储在 Google 服务名下的“ com.android.protect ”文件中,伪装成合法的 Google Play 服务。 恶意软件 Exaspy 还可以记录周围的音频和受害者的电话,它还可以访问设备上的照片、截取屏幕截图,并访问其他用户数据包括浏览器历史记录和通话记录。 稿源:本站翻译整理,封面来源:百度搜索

英国 NHS 网络感染恶意软件,多家医院被迫取消数百例手术

据外媒报道,近日一个计算机病毒感染了英国国家医疗服务( NHS )网络,致使英国林肯郡多家医院取消了数百个手术操作、门诊预约和诊断程序。 NHS 网站显示着“重大事故”的红色警报警告。据称,其系统在 10 月 30 日感染了病毒,NHS 基金会被迫关闭其共享 IT 网络中的所有主要系统,以便彻底隔离并清除病毒。除了少数例外,所有系统正逐步关闭,门诊预约和诊断程序已于 11 月 2 日星期三取消。一些患者包括重大创伤和高危妇女等重患都被转移到邻近的医院。 虽然现在大多数系统已经恢复工作,但 NHS 基金会没有披露病毒有关的详细情况。在此之前,美国和加拿大刚联合发出网络警报,警告医院和其他组织,以防勒索软件感染计算机、加密数据,索要赎金解锁,因此人们猜测,该病毒可能是一种针对医院和医疗设施的勒索软件。 针对医院的网络攻击是今年值得关注的网络安全风险问题,这不仅威胁到高度敏感的隐私信息,而且还可能会危机患者的生命。随着勒索软件威胁的上升、比特币交易的增长,我们看到恶意软件业务的巨大发展。医疗领域的技术进步,让患者数据以电子医疗记录( EMR )的形式数字化存储在医院的中央数据库中。但自今年年初以来,已有十多家医院成为勒索软件的目标,为争取患者最佳治疗时间,医院不得不支付赎金解锁数据库。 稿源:本站翻译整理,封面来源:百度搜索

这个 VMware 安装程序有毒,强制终止进程或致系统蓝屏

防病毒软件公司 Malwarebytes 的安全研究员近日发现了恶意软件的一种最新战术,伪装成盗版或破解版的 VMWare 传播恶意软件,一旦发现用户强制终止其进程将会导致系统蓝屏。 研究员解释,在用户安装 VMWare 时,安装程序将会悄悄链接到一个网页下载 Visual Basic 脚本运行,该脚本也将链接到恶意软件在线服务器下载执行另一个 Tempwinlogon.exe 文件,随后自动安装 Bladabindi 远程访问木马(RAT),该木马也被称为 Derusbi 或 njRAT。该木马具有键盘记录功能,会将所有信息传回 IP 37.237.112.*。 目前 malwarebytes 论坛已公布详细的解决方案。 稿源:本站翻译整理,封面来源:百度搜索

网络间谍 BLACKGEAR 针对台湾、日本活动,C&C 服务器具有高度隐蔽性

据趋势科技报道,BLACKGEAR 是一起针对台湾多年的网络间谍活动,最近该活动新添加了日本用户作为目标。该活动在 2012 年首次被发现,使用 ELIRKS 后门工具,采用博客和微博服务以掩盖其实际的命令和控制(C&C)服务器位置。这种技术允许攻击者通过博客实现命令通信、改变博客和微博实现快速更换 C&C 服务器,具有高度的隐蔽特性,此外,后门与 C&C 服务器之间的通信也被伪装成访问博客的正常流量。 趋势科技对其进行研究并得出结论: 1、用于感染用户的恶意文件已近在日本出现 2、C&C 服务器活动使用的是基于日本地区的博客网站和微博服务 稿源:本站翻译整理,封面来源:趋势科技博客

新木马”FakeFile”:无需 root 即可执行,针对 openSUSE 以外所有 Linux

据外媒报道,俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”,该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则:如果系统使用的 Linux 发行版是 openSUSE,则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马,具备常见的一系列操作功能。此外木马还可以运行文件、shell命令,获取或设置所需文件和文件夹的权限,终止进程或将其从受感染的主机中移除。最令人担忧的是,木马不需要root权限就可以执行这些操作。 稿源:本站翻译整理,封面来源:百度搜索

手游语音服务 Discord 被恶意利用传播木马,黑客盗号卖装备

Discord 是一款免费的 VoIP 网络电话聊天服务,在游戏玩家中非常流行,今年初曾获得 腾讯、Greylock Partners 等融资 2000万美元。然而近日国外安全厂商曝出 Discord 已成为传播远程访问木马的渠道。赛门铁克安全研究人员 表示,他们发现该服务上进行着多个垃圾邮件广告活动,传播 NanoCore、njRAT、SpyRat 等木马。垃圾邮件制造者通常使用两种方法,一方面,他们创建 Discord 服务器邀请用户访问其频道,另一方面,加入其它频道并在主聊天窗口中留下恶意链接。在大多数情况下,这些 URL 指向恶意应用程序。通过木马病毒,黑客获得相关帐户信息并设法盗走游戏金币、武器装备,之后在暗网市场上出售。 稿源:本站翻译整理,封面来源:百度搜索

无需翻墙也可上 Twitter ?恶意软件只针对中国用户、窃取登录凭证

据外媒报道,一个新安卓恶意软件“双重实例”( Dual Instance )可以窃取用户 Twitter 登录凭据,并将其上传到在线服务器。该恶意软件允许用户同时登录多个帐户且目前只针对中国用户。由于中国的网络保护,用户不能直接使用 Twitter 需使用代理等技术,但并不是每个人都有足够的能力来安装 VPN 。该恶意软件就利用这点,向用户表示只需下载安装该“ Twitter ”应用即可越过网络限制登录账号。恶意软件使用沙箱环境来实现同时登录多个帐户,通过启动 VPN 连接 Twitter 服务器解决网络问题。因此一时间在中国网络论坛迅速传播。但暗中却收集 Twitter 登录凭证、上传服务器。 稿源:本站翻译整理,封面来源:百度搜索

勒索软件 Exotic 作者想与安全研究人员做“朋友”

据外媒报道,安全团队 MalwareHunter 在 10 月 12 日发现了一个新的勒索软件 Exotic ,它采用 AES-128 算法加密文件、以希特勒图像为背景、勒索 50 美元,除了可加密可执行文件外并没有其他亮点。最让人感到奇怪的是,研究人员将分析视频上传到YouTube后,勒索软件作者 EvilTwin 竟然用Twitter联系安全研究人员称想做“朋友”。EvilTwin 表示,很感谢这么用心的研究他制作的勒索软件还录制成视频、希望研究员留下 Skype 联系方式继续交流。接下来两天勒索软件升级到 V2、V3 ,但变化不大,目前还没有垃圾邮件或恶意广告活动传播这一勒索软件。 稿源:本站翻译整理,封面来源:百度搜索

勒索软件 Locky 成第三季度霸主,占比达 97%

根据 邮件安全软件开发商 Proofpoint 发布的 2016 年第三季度威胁报告,在过去三个月中,如果您收到的垃圾邮件带有文件附件,它很可能包含一个勒索软件 Locky , Proofpoint 发现相较于第二季度的相对平静,第三季度垃圾邮件数量急剧增多。在数十亿封利用垃圾邮件活动来传播恶意软件的所有勒索软件中,勒索软件 Locky 占了被发现总数的 96.8 %,在第二季度它占 28 %、第一季度它占 64 %。在绝大多数情况下,垃圾邮件附件包含一个含 JavaScript 文件的 ZIP 文件,此外还有恶意脚本宏, HTA( HTML 可执行文件)文件, WSF( Windows 脚本)文件。 稿源:本站翻译整理,封面来源:百度搜索

黑客恶意利用含 Windows 脚本垃圾邮件传播勒索软件

国际知名安全厂商赛门铁克发现,过去三个月里恶意利用 Windows 脚本文件(WSF)进行邮件攻击数量显著增加,上两周已发布博客称拦截了多项 WSF 文件传播恶意软件 Locky 的邮件 。 Windows 脚本文件是含有可扩展标记语言 (XML) 代码的文本文档,可使用支持 XML 的任意编辑器编辑。文件后缀为 .wsf。 部分电子邮件客户端不会阻止 .wsf 文件的自动运行,常被攻击者利用来转播勒索软件。赛门铁克同时强调利用 .wsf 文件传播恶意软件将会成为趋势。 下图为赛门铁克统计过去几个月中含有此类恶意附件的邮件数量: 稿源:本站翻译整理,封面来源:百度搜索