分类: 恶意软件

新的 ModPipe 销售点(POS)恶意软件针对餐馆、酒店进行攻击

11月12日,网络安全研究人员披露了一种新型的模块化后门,该后门针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列(RES)3700 POS系统,这是一个在餐厅和酒店业中广泛使用的软件套件,可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说:“后门的与众不同之处在于它的可下载模块及其功能,因为它包含一个自定义算法,该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。” 值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“downloadable”模块以及命令和控制( C2)服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”,用于收集有关已安装POS系统的额外信息(如版本、数据库服务器数据),而另一个模块名为“Proclist”,收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明,它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况,包括窃取和逆向工程专有软件产品,滥用泄露的部件,或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本,并使用运行底层操作系统更新版本的设备。     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

警告!新的 Android 银行木马从 112 个金融APP中窃取数据

安全研究人员发现了针对巴西,拉丁美洲和欧洲金融机构的银行木马“Tetrade”,四个月后,调查表明,攻击者扩大了策略,利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队(GReAT)的说法,总部位于巴西的威胁集团Guildma部署了“Ghimob”,这是一种Android银行木马,针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示,“Ghimob是您一种成熟间谍:一旦感染完成,黑客就可以远程访问受感染的设备,用受害者的智能手机完成欺诈交易,从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外,Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制,从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上,其功能与其他移动RAT十分相似,它通过隐藏应用程序中的图标来掩饰自己的存在,并滥用Android的辅助功能来获得持久性,禁用手动卸载并允许银行木马捕获击键信息,操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示:“即使用户有适当的屏幕锁定模式,Ghimob也能够记录下来,然后再解锁设备。” “当攻击者准备执行交易时,他们可以插入黑屏作为覆盖或以全屏方式打开某些网站,因此当用户查看该屏幕时,攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外,Ghimob的目标多达153个移动应用程序,其中112个是巴西的金融机构,其余的是德国,葡萄牙,秘鲁,巴拉圭,安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说:“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

打印机驱动程序被标记为恶意软件 戴尔已紧急撤下链接

近日有报道称,某些防病毒产品会将戴尔的打印机驱动程序标记为恶意软件。目前尚不清楚到底是什么情况,但戴尔已经紧急撤除了下载链接。Windows Central 援引网络安全观察记者 Brian Krebs 的话称,大家应暂时尽量避免安装任何戴尔打印机的驱动程序更新。 戴尔在致 Windows Central 的一份声明中称:公司网络安全团队已将问题驱动文件从可被公共访问的资源库中剔除,并就此事展开深入的调查。该公司致力于保护客户的信息,网络和产品的安全性一直是其第一要务。 如果你正在使用戴尔的打印机产品,目前看来最好还是临时避免安装任何驱动程序更新,直到本次被防病毒软件标记为恶意软件的事件被调查得水落石出。以下是 VirusTotal 上的检测清单: Virus Total 的结果表明,已有超过 24 款反病毒软件的引擎,在本次戴尔打印机驱动程序更新文件中检测到了恶意软件,其中包括 Avast、BitDefender、Microsoft Security、以及 McAfee 等知名厂商。 这些大牌软件都将本次驱动更新标记为不安全,普遍认定其具有特洛伊木马或通用恶意软件的特征。至于是否有人攻击、替换、或篡改了戴尔的文件下载服务器,仍有待进一步的调查去澄清。       (消息来源:cnBeta;封面来自网络)

苹果笔记本电脑组装厂商仁宝遭勒索软件攻击

一场勒索软件攻击已经影响到了苹果组装合作伙伴仁宝公司,导致其企业网络出现问题,并可能导致部分客户的生产出现短期延误。周一,仁宝公司证实其在周日遭到了勒索软件的攻击。据悉,此次攻击对其计算机系统造成了严重破坏,但由于被发现得早,只瘫痪了整个网络的30%左右。 据ZDNet报道,在发现问题后,工人们被要求将他们的工作站的健康状况告诉仁宝的IT支持团队,并尽可能地备份任何重要文件。目前已经开展工作修复受影响的电脑,仁宝也提醒其他供应链供应商注意这个问题。 据信,该勒索软件是DoppelPaymer恶意软件的产物,由一个同名团伙创建,并具有典型勒索软件攻击的所有特征。这包括一张勒索纸条,告知被加密的文件,并要求与该团伙合作,否则将面临所有文件仍被加密。 尽管有报道称这是一次勒索软件攻击,但仁宝代表最初坚持认为根本没有勒索软件攻击。该代表向UDN表示,自动化办公系统出现异常,并强调没有受到勒索。该代表还声称生产正常,与向供应商发出的警告潜在短期问题的通知相悖。 目前还不清楚这是否会影响苹果,因为仁宝是组装MacBook Pro和MacBook Air产品线的主要合作伙伴。预计周二采用苹果处理器的iMac即将上市,对于苹果供应链来说,这很可能是一个忙碌的时刻,因为它要赶在年底前制造出第一台非英特尔Mac。     (消息及封面来源:cnBeta)

朝鲜黑客利用 Torisma 间谍软件进行攻击

这是一场针对航空航天和国防部门的网络间谍活动,目的是在受害者的机器上安装数据收集植入程序,以进行监视和数据过滤。 他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商(ISPs)以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma,它在暗中监视并利用受害者。 McAfee研究人员在代号为“Operation North Star”的追踪下,今年7月的初步调查结果显示,有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件,诱骗国防部门的员工,并侵入他们的组织网络。 这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。 攻击者对美国国防和航天承包商进行恶意攻击,利用其核武库中的攻击者来支持和资助其核武器计划。 虽然初步分析表明,植入程序的目的是收集受害者的基本信息,以评估其价值,但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。 该活动不仅使用了美国著名国防承包商网站上的合法招聘内容,诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件,攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司,以及一家IT培训公司(负责命令与控制(C2)能力)。 McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示:“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施,因为大多数组织不会阻止可信网站。” 此外,嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据(日期、IP地址、用户代理等),方法是通过与预定的目标IP地址列表进行交叉检查,以安装第二个名为Torisma的植入程序,同时将检测和发现的风险降到最低。 除了主动监视添加到系统中的新驱动器以及远程桌面连接之外,此监视植入程序还用于执行自定义shellcode。 研究人员说:“这项活动很有趣,因为攻击者有一个特定的目标清单,在决定发送第二个植入程序(32位或64位)进行深入监测之前,这个清单已经过验证。” “攻击者监视由C2发送的植入程序的进度,并将其写入日志文件中,从而了解哪些受害者已被成功渗入并可以进行进一步监控。”     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

臭名昭著的勒索软件组织 Maze 宣布“正式关闭”

Maze 是最活跃、最臭名昭著的数据窃取勒索软件组织之一,不过现在它宣布“正式关闭”。这是一个令人费解的公告,公告中不仅多处出现拼写错误,而且是在暗网网站上发布的。在过去一年中,该组织已针对大量目标公司发起了攻击,包括信息技术咨询及业务流程提供商 Cognizant、网络安全保险公司 Chubb、制药巨头 ExecuPharm、特斯拉和SpaceX的零件供应商 Visser 和国防承包商 Kimchuk。 通常情况下,勒索软件会对硬盘数据进行加密,用户只有交付赎金之后才能解锁。而 Maze 的做法更加激进,它们会首先泄漏受害者的部分数据,并威胁他们如果不支付赎金就公开这些数据。它很快成为勒索软件组织的首选策略,勒索软件组织通常在黑暗的网络上建立网站,以在受害者拒绝付款时泄露其窃取的文件。 Maze最初使用漏洞攻击工具包和垃圾邮件活动来感染受害者,但后来开始使用已知的安全漏洞专门针对大型公司。Maze 随后使用易受攻击的虚拟专用网(VPN)和远程桌面(RDP)服务器对受害者的网络发动有针对性的攻击。 部分要求的赎金高达数百万美元。据报道,Maze向一家佐治亚州的电线和电缆制造商索要600万美元,并向一个未具名的组织索要 1500 万美元。但是,在 3 月宣布 COVID-19 大流行之后,Maze 以及其他勒索软件组织承诺不会以医院和医疗设施为目标。 安全公司 EMSIsoft 的勒索软件专家和威胁分析师布雷特·卡洛(Brett Callow)说:“显然,Maze 的这次退休是将信将疑的。这可能是该团体已经赚够了钱,可以关门大吉。不过更大的可能是他们要重新命名。由于迷宫是一个附属机构,他们的犯罪伙伴不太可能退休,而只会与另一个团体结盟。”       (消息来源:cnBeta;封面来自网络)

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnbeta;封面来自网络)

谷歌从 Play Store 中删除了 21 个恶意 Android 应用

谷歌已从Play Store中删除了几款Android应用程序,原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现,称21个恶意应用(从此处列出)从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用,并带有HiddenAds恶意软件,该恶意软件是一个臭名昭著的木马,以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初,Avast发现了类似的HiddenAds广告活动,其中涉及47个游戏应用程序,下载量超过1500万次,用于显示设备范围内的入侵广告。 Avast的JakubVávra说:“广告软件开发商越来越多地使用社交媒体渠道,就像普通的营销人员一样。” “这次,用户报告显示,他们的目标是在YouTube上宣传游戏的广告。” “9月份,我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台,也使攻击者以年轻的受众为目标。” 安装后,这些应用程序不仅会隐藏其图标以防止删除,而且还隐藏在具有相关外观的广告后面,从而使其难以识别。 此外,这些应用还可以覆盖其他应用,以显示无法跳过的定时广告,在某些情况下,甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序,并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”,以降低基于应用程序的恶意软件的风险。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美财政部宣布对 Triton 恶意软件幕后开发者实施制裁

在 2018 年的一份报告中,FireEye 推测俄罗斯 CNIIHM(又名 TsNIIKhM)就是 Triton 恶意软件的幕后开发者。经过长时间的深入调查,美方现已决定对该机构实施制裁。据悉,Triton 恶意软件又被称作 Trisis 或 HatMan,能够有针对性地向特定类型的工业控制系统发起攻击,比如施耐德电气的 Triconex 安全仪表系统(SIS)控制器。 网页截图(来自:US Treasury) FireEye、Dragos、赛门铁克等机构的技术分析报告表明,Triton 类恶意软件主要通过网络钓鱼的形式进行诱骗传播。一旦感染了工作站,它就会在受害网络上寻找 SIS 控制器,然后尝试修改目标设置。 当然,这并不是我们首次听闻针对工业控制系统的恶意软件攻击报道。毕竟早在 2010 年,美方针对伊朗核设施的“震网”(Stuxnet)病毒就曾引发过强烈的争议。 研究人员指出,Triton 包含的指令可能导致生产中断、或使 SIS 控制的机器在可能引发爆炸的不安全状态下工作,对人类操作者的生命造成了巨大的威胁。 2017 年的时候,这款恶意软件在成功入侵后被初次发现,受害者是沙特私营企业 Tasnee 旗下的一座石化厂,当时差点造成了工厂的爆炸。自那时起,此类恶意软件还针对其它企业发起了攻击。 美国财政部在今日的一份新闻稿中补充道,调查发现该恶意软件背后的组织(TEMP.Veles 或 Xenotime)正在对美国至少 20 家电力公司进行漏洞扫描和探测。 作为制裁的一部分,美方宣布禁止该国实体与 CNIIHM 接触,并没收该研究机构在美国境内的所有资产。     (消息来源:cnBeta; 封面来自网络)

Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用(即Travel Mate Pro)时检测到的,该应用会窃取联系人、电子邮件和文件,这些文件会被发送到在线命令和控制服务器,这个服务器也被另外两个针对Windows和macOS平台的恶意应用(Enigma和Titanium)也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码,它允许攻击者向,它们可以获取系统信息,搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器,获取运行中的进程列表,窃听,截屏,任意执行shell命令,录音和扫描端口。 “总的来说,发现了超过10个版本的GravityRAT,被伪装成合法的应用程序进行分发,这些模块一起使用,使该集团能够进入Windows操作系统,MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们会从C&C服务器上下载GravityRAT有效载荷,并在被感染的设备上添加一个预定任务以获得持久性。     (消息来源:cnbeta,封面来自网络)