分类: 恶意软件

安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日,腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,通过预留的“后门”云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染,潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。 更值得关注的是,感染“寄生推” SDK 的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,“我们估测超过 2000 万用户都受此威胁”,腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 (图:“寄生推”推送 SDK 恶意子包影响范围广) 传播过程酷似“寄生虫”:强隐蔽性+强对抗性 “寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。据雷经纬介绍,该信息推送 SDK 的恶意传播过程非常隐蔽,从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。 具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。 如何远离手机中的“寄生虫”?安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害,腾讯手机管家安全专家杨启波提出以下三点建议:其一,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑;其二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。 (图:腾讯手机管家查杀“寄生推”病毒) 最后,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为用户手机安全的第一道防线,腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力,进一步增强整体防御能力。据了解,腾讯 TRP-AI 反病毒引擎,首次引入基于 APP 行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒,变异病毒,和及时发现病毒恶意代码云控加载,更为智能的保护用户手机安全。 稿源:凤凰网,封面源自网络;

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。 变体 1:[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。 当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io,Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是,Matrix Ransomware 的这种变体无法免费解密。 变体 2:[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。 当文件被加密时,它将加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如, test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 #Decrypt_Files_ReadMe#.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com,RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是,像以前的版本一样,这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤: – 备份 – 如果您不知道是谁发送的,请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件, – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源:东方安全,封面源自网络;

新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身

Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比,此恶意软件的系统占用空间更小。 目前还不清楚 ATMJackpot 恶意软件的攻击媒介,通常是这种恶意软件是通过 ATM 上的 USB 手动安装的,还是从受损的网络下载的。 ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中,然后恶意代码创建该窗口,在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API,以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件,然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。 一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出命令。专家认为,恶意软件的作者将继续改进它,他们预计它很快就会在野外发现。 美国特勤局警告称,网络犯罪分子针对美国的 ATM 机器,迫使他们通过“ jackpotting ”攻击吐出数百美元,近几年 ATM 机累积奖金攻击的数量正在增加。 2017 年 5 月,欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案,2017 年 9 月,欧洲警察组织警告说,ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机,这些业务涉及钱币骡子的出钱。此外,几周前,据称 Carbanak 集团的负责人在西班牙被警方逮捕,因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑(10 亿欧元)。 消息来源:东方安全,封面源自网络;

虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体

近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体: KevDroid 和 PubNubRAT。这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告: 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源:talosintelligence,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

谷歌将禁止所有加密货币挖矿扩展程序进入 Chrome 商店

谷歌周一在 Chromium 博客中发文称,该公司将不允许任何新的加密数字货币“ 挖矿 ”扩展程序进入 Chrome 浏览器的网络商店,而此前已经进入了这个商店的挖矿扩展程序也将在不久之后被移除。谷歌 Play Store 应用商店中已有大量基于数字加密技术的虚假应用,这些应用以“抢劫”下载者、获取用户数据或秘密为第三方开采加密数字货币而闻名。 而现在看来类似的问题已在 Chrome Store 网络商店中浮出水面,有些挖矿扩展程序未遵守谷歌的相关政策。 谷歌在博文中称:“到目前为止,Chrome Web Store 的政策允许上传加密数字货币挖矿扩展程序,前提为挖矿是其唯一用途,并需就挖矿行为向用户发出适当的通知。不幸的是,在开发者尝试向 Chrome Web Store 上传的带有挖矿脚本的扩展程序中,约有 90% 都并未遵循这些政策,因此已被拒绝进入该商店或已被移除。从今天开始,Chrome Web Store 将不再接受开采加密数字货币的扩展程序,现有扩展程序将于 6 月底被下架。区块链相关用途而非挖矿用途的扩展程序则仍可继续上传到 Chrome Web Store。” 虽然 Facebook、职业社交网站领英(LinkedIn)、Twitter、谷歌、“阅后即焚”通信应用 Snapchat 和邮件营销工具 MailChimp 都已禁止对 ICO(首次代币发行)或其他区块链相关产品做广告,但谷歌看起来不会对区块链而非挖矿用途的扩展程序“动刀”,这对 MetaMask 等服务来说是个好消息。 当然,谷歌致力于打击的并非只有明确与挖矿相关的扩展程序。举例来说,号称可“保护浏览”的扩展程序 MetaMask 被发现在后台秘密开采门罗币(Monero),而该程序的 14 万余名用户对此毫不知情,更不必说同意其这样做了。 稿源:cnBeta、新浪科技,封面源自网络;

新型 Android 恶意软件 HiddenMiner 开启「毁机」挖矿模式,危害中印两国手机用户

趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner,它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 (通常在 SLocker Android 勒索软件中看到的技术)。另外,由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性,这意味着它很可能会持续挖掘 Monero,直到设备资源耗尽。根据研究人员的说法,HiddenMiner 是在第三方应用商店发现的,大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似,不仅如此,HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner,发现 Monero 矿池和钱包与恶意软件连接,并获悉其中一家运营商从钱包中提取了 26 XMR(截至 2018 年 3 月26 日价值为 5,360 美元)。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序,使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出,并要求用户以设备管理员身份激活它。一旦获得许可,HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中,例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活,它将通过调用 “ setComponentEnableSetting()”从应用程序启动器隐藏自己。需要注意的是,恶意软件会自行隐藏并自动以设备管理员权限运行,直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标(左),然后一旦授予设备管理权限就会消失(右) 除此之外,HiddenMiner 还具有反仿真功能,可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中,受害用户无法将 HiddenMiner 从设备管理员中删除,因为当用户想要停用其设备管理员权限时,恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷(不包括 Nougat 「Android 7.0」和更高版本的设备,因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。) 的确,HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言,提高网络安全意识刻不容缓:仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案: 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源:Trendmicro,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府

据外媒报道,一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron  可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。   Gray Heron 间谍能力 在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢? 一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章: 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波音遭遇勒索软件攻击, WannaCry 成为最大怀疑对象

据西雅图时报报道,波音公司于本周三遭遇了勒索软件攻击(疑似“ WannaCry ”), 其商用飞机制造总工程师 Mike VanderWel 警告称,该勒索软件正在从波音公司南卡罗来纳州北查尔斯顿的工厂扩散出去,并且可能已经导致 777 的翼梁自动装配工具产线瘫痪。VanderWel 担忧 恶意软件可能不仅会感染用于飞机功能测试的设备,也可能扩展到“飞机软件”中。 但随后波音在 Twitter 上发表声明说,媒体的报道与真实情况具有一定差距,因为根据波音网络安全运营中心的检测,恶意软件的入侵仅影响到少数系统,并且安全人员也已经采取了补救措施。 虽然 WannaCry 偶尔还是会被发现试图传播,但大多数情况下,安全研究人员已经能够有效地拦截这个勒索软件。这就是为什么一年之后,所有发布的补丁程序和 AV 软件都能检测到它。 目前,波音公司遭受的勒索软件还没有被 100% 确认为 WannaCry,安全人员猜测它也有可能只是 WannaCry 的模仿版。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

谷歌应用商城存多款安卓二维码恶意应用 下架前下载量超 50 万次

上周安全公司  SophosLabs 报告了在谷歌 Play 官方应用商城有多款安卓二维码恶意应用,下架前这些恶意应用的下载量超过了 50 万次。SophosLabs 的研究人员检测到了 6 款二维码扫码应用和一款智能罗盘应用均包含着利用二维码的恶意代码“ Andr/HiddnAd-AJ ”,利用漏洞向用户发送恶意广告。 ZDNet 网站的 Danny Palmer 披露了相关报告,“在安装后,恶意软件会潜伏六个小时开展恶意活动,提供恶意广告推送服务,向用户推送全屏恶意广告,并在网页中打开相关广告,发送大量包含广告连接的推送通知等。” Sophos 公司的安全人员称这些隐秘的恶意应用在被谷歌下架前,已经被下载了超过 50 万次。谷歌没有立即回应置评请求。 稿源:cnBeta,封面源自网络;