分类: 恶意软件

科罗拉多交通部感染 SamSam 勒索软件,被迫关闭 2000 台电脑

据外媒 2 月 23 日报道,科罗拉多州交通部(DOT)于本周三发生了一起勒索事件 — 黑客利用 SamSam 勒索软件感染 DOT 计算机系统,并以恢复数据为要挟条件来获取比特币赎金。不过日前 DOT 方面已采取了补救措施,但其表示不会通过支付赎金的方式,而是选择关闭 2000 多台员工计算机设备。 SamSam 是一款由单个团体部署的勒索软件,在 2016 年冬季被广泛使用。但据媒体介绍,目前黑客组织似乎准备利用 SamSam 开展新的攻击活动。 研究人员介绍了 SamSam 的部署方式:攻击者通过暴力破解 RDP 连接来访问公司内部网络,从而感染目标设备系统,以达到利用 SamSam 勒索软件加密相关文件的目的。 在最近的一些攻击活动中,SamSam 运营商通常会要求受害用户支付 1 比特币赎金,并在其计算机上留下 “ 我很抱歉 ” 的消息。 此外,研究人员还发现在今年 1 月份感染医院、市议会以及 ICS 公司的勒索软件似乎也是 SamSam。目前根据初步统计结果显示,黑客组织从这些攻击中赚取的赎金已超过 30 万美元。其中印第安纳州的一家受害医院在有备份数据的情况下也同意支付黑客 55,000 美元的赎金需求,因为该医院认为支付赎金比从备份恢复所有计算机数据更容易、更快。 但 DOT 表示,他们不会屈服黑客的赎金威胁,将会选择从备份中恢复数据。交通部官员告诉当地媒体其关键系统受到影响,例如管理道路监控摄像头、交通警报、留言板等重要模块。除此之外,DOT 的 IT 人员也正在与其防病毒提供商 McAfee 合作,在将 PC 重新引入网络之前,对受影响的工作站进行补救,并保护其他终端。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒:伊朗秘密监视用户,苹果安卓应用皆中招

据英国每日邮报报道,伊朗可能正借助苹果和谷歌应用商城中一些由政府秘密赞助的应用,对美国、英国和世界各地的数百万用户进行秘密监视。这一消息来自于伊朗反抗力量政府全国议会(NCRI)周四发表的一份最新报告,NCRI 是伊朗的反政府政治组织。 据这份报告称,伊斯兰革命卫队(IRGC)研发了多款能够通过后门程序激活的监视 App 应用,而且上传到苹果、谷歌和 GitHub 应用平台,目的就是为了监视和防止新的政治暴动出现。 报告指出,苹果和谷歌 Play 商城上一款名为 Mobogram 的即时通讯 App,就是由伊朗政府研发和监控的间谍 App 。NCRI 华盛顿办公室的副局长 Alireza  Jafarzadeh 称:“ IRGC 已经将西方网络技术武器化,并且将那些试图解放自己国家的人们为目标。伊朗政府目前正在伊朗人民身上进行这些 App 的初步测试。如果没有阻碍,它的下一个目标将是其它国家的用户。” 据分析公司 App Annie 的分析数据,Mobogram 在苹果 App 商城的美国社交网络 App下载数量上排名 156。创立了俄罗斯端对端加密通信软件 Telegram 的 Pavel Durov 对用户发出警告称:“用户应当避免下载 Mobogram,它或许存在安全隐患。” 自去年 12 月份反政府抵抗活动期间 Telegram 被临时禁用之后,伊朗的智能手机用户已经转向 Mobogram 等 App。伊朗的大部分用户都使用 Telegram 进行交流,而不是推特或者脸书。Telegram 在伊朗的用户数量大约为 4 千万,伊朗之外的用户数量大约为 4500 万。 Durov 也声称,伊朗政府曾经想要他帮助政府使用 Telegram 对用户进行监视,但是他拒绝了这一要求。生活在伊朗之外的家庭成员通常会借助 Mobogram 或者其它通讯 App 与生活在国内的亲属进行联系。NCRI 声称,那些用户很可能成为伊朗军方大规模监控计划的受害者,伊朗政府正借助嵌入在App中的恶意代码对反对者和持反对意见者进行监控。 此外据 NCRI 宣称,Mobogram 正借助 IRGC 支持的一个“本土商城”进行推广,也就是 Café Bazaar。Café Bazaar 模仿的就是谷歌的 Play 商城,其中拥有成千上万的 App 应用。Jafarzadeh 称,伊朗政府能够借助间谍 App 发现用户的电话号码、地址和其它敏感信息,因为他们能够接触到用户 SIM 卡上的信息。NCRI 相信,伊朗政府已经研发了大约 100 款嵌入恶意代码的 App,其中就包含了 Mobogram、Hotgram、Wispi 和其它通信软件。 稿源:cnBeta,网易科技;封面源自网络

CSE ZLab 实验室发布关于 Dark Caracal 间谍组织及其恶意软件分析报告

外媒 2 月 12 日消息,来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出,该恶意软件能够收集目标应用程序的大量敏感数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃,不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的,该活动使用了一系列木马化的 Android 应用程序,旨在从受害者的移动设备中窃取敏感数据。 据悉,在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的? 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本,具体流程是:从合法的应用程序开始,在重新构建 apk 之前注入恶意代码。一般来说,目标应用程序属于特定类别,例如社交聊天应用程序(Whatsapp、Telegram、Primo)、安全聊天应用程序(Signal、Threema)或与安全导航相关的软件(Orbot,Psiphon)。 在恶意软件制作成功之后,攻击者利用社交工程技术欺骗受害者安装恶意软件,比如使用 SMS、Facebook 消息或 Facebook 帖子,诱骗受害用户通过特定网址下载新版流行的应用程序,目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后,攻击者利用恶意应用程序收集大量数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 以下为该木马的具体功能: – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口,以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见: < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

调查显示 49% 的加密挖矿脚本部署在色情网站上

外媒 2 月 12 日消息,安全专家近年来发现加密挖矿脚本的数量不断增加,尤其是那些通过在线黑客服务器非法部署的脚本。目前初步统计,大约 49% 的加密挖矿脚本部署在相关色情网站上。  据悉,安全专家在其 DNSMon 系统上通过 DNS 流量在线分析加密挖掘脚本,以确定哪些网站从域名中(这些域名与浏览器内的挖掘服务相关联)加载了该脚本。 研究表明,约 49% 的加密挖掘脚本部署在相关色情网站上。其实这一结果并不意外,因为访问者会花费大量时间来观看网站上的内容,从而间接带给攻击者一定的利用空间。当然这些挖掘脚本也部署在一些欺诈网站(占 8%)、广告领域(7%)以及采矿业务(7%)上。不仅如此,研究还显示最常用的加密挖掘脚本是 Coinhive(68%+ 10%),其次是 JSEcoin(9%)。 △ 挖矿网站 TOP 10  △ 上图显示了采矿地点的 DNS 流量趋势 以下是大多数采矿活动新参与者的分类: — 广告商 :一些网站的采矿活动是由广告商的外部链引入的。 — Shell 链接 :某些网站将使用 “ Shell 链接 ” 来隐藏源代码中的挖掘站点链接。 — 短域名服务提供商 :goobo.com.br 是个短域名服务商,该网站主页、包括其生成的短域名在被访问时都会加载 coinhive 的链接进行挖矿。 — 供应链污染 :www.midijs.net 是一个基于 JS 的 MIDI 文件播放器,在网站源代码中使用了coinhive 进行挖矿。 — 自建矿池 : 有人在 github 开放的源代码可用于自建矿池。 — 用户自主的 Web 挖矿 :authedmine.com 是一个正在兴起的采矿网站。该网站声称,只有已知和授权的用户才能进行挖矿活动。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英美政府网站被植入恶意软件 电脑被迫挖掘加密货币

据美国科技新闻网站 The Register 报道,包括美国和英国政府机构在内的数千家网站都在周日被一组代码感染了数小时,导致访问受感染网站的电脑秘密地挖掘数字加密货币。The Register 称,共有 4200 多个网站感染了该恶意软件,这款恶意软件是英国软件公司 Texthelp 公司开发的 Browsealoud 工具的恶意版本,这款工具原本的目的是为有视觉问题的人朗读网页内容。 最近一段时间,利用恶意软件感染电脑,使之为黑客挖掘数字货币的网络攻击日益猖獗。随着比特币和其他数字加密货币的交易量暴增,这种攻击模式最近几个月也越来越流行。 The Register 表示,访问受感染网站的电脑会被迫运行专门挖掘“ 门罗币 ”的软件,从而为幕后黑客谋取利益。 美国和英国执法部门以及 Texthelp 发言人均未对此置评。 Texthelp 此前对 The Register 表示,为了制止这一黑客活动,他们已经停用了 Browsealoud,该公司的工程团队也展开了调查。 稿源:cnBeta、新浪科技,封面源自网络;

Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

在 IT 行业,“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下,当受害者访问到某个受影响的网站的时候,其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援,那么动手能力不佳的用户可能就要干瞪眼了。此前,这类攻击通常面向于微软 Windows 操作系统自带的旧款 IE 浏览器。但是现在,研究人员发现 Google Chrome 也会中招了。  据悉,新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件,让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示,该漏洞利用了 Blob 和 msSaveblob 接口(允许将文件保存到计算机本地的功能)。 当用户不小心踩到地雷(陷阱页面)的时候,就会触发大量的下载,让 CPU 和内存占用率瞬间飙升: ● Segura 将这些网页称作 “ 恶意广告 ”,且其能够通过标准的广告拦截器来应对。 ● 此外,如果下载已被触发,用户也可以调出 Windows 任务管理器,然后手动终结浏览器进程。 Segura 指出,虽然 Chrome 有着严格的批量突发下载限制(文件下载间隔时会征求用户许可),但这种攻击的速度实在是太快了,浏览器根本来不及弹窗询问。 我们在 Windows 7 / 10 系统上进行了测试,在弹出对话框之前,浏览器就已经被卡死了。 如上方动图最后一帧所示,当浏览器弹出是否取消下载的提示时,下载就已经完成了。 甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候,浏览器就已经失去响应了。 在此期间,我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。 虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用,但目前不清楚该软件是否有能力拦截这类下载攻击。当然,我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。 稿源:cnBeta,封面源自网络;

欧洲刑警组织联合英国国家犯罪调查局取缔 Luminosity RAT 幕后团伙

外媒 2 月 6 日报道,隶属欧洲刑警组织的欧洲网络犯罪中心和英国犯罪调查局于近期披露了一项国际执法行动的细节 — 来自欧洲、美国和澳大利亚的十几家执法机构联合拆除了一个 与 “ Luminosity RAT ” 远程访问木马(又名 LuminosityLink)有关的犯罪团伙。 据悉,Luminosity RAT 可以禁用目标设备上的防病毒和反恶意软件,执行诸如记录击键、窃取数据和密码、开启网络摄像头监视用户等命令。 英国犯罪调查局透露,Luminosity RAT 首次于 2015 年被发现, 2016 年开始变得非常流行。根据媒体资料,英国一个小型犯罪团伙通过使用恶意网站为遍布 78 个国家的 8,600 多名买家分发了 Luminosity RAT。 据悉,买家只需花费 40 美元就能获得 Luminosity RAT 远程访问木马,尽管该木马成本只要 30 美元。此外,Luminosity RAT 在技术方面也给买家提供了方便,例如买家掌握很少的技术知识也能部署该木马。 目前数以千计的受害用户被窃取了敏感信息,其中包括密码、私人照片、录像等。欧洲网络犯罪中心负责人史蒂芬·威尔逊表示虽然如今网络犯罪在不断升级更新,但通过跨越国界和强有力的协调行动,即使世界各地黑客人士通过远程犯罪也不能免于被捕。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客渗透热门软件下载网站 MacUpdate 分发 Mac 加密货币矿工

外媒 2 月 6 日报道,网络安全公司 SentinelOne 的安全研究员发现,黑客利用热门的软件下载网站 MacUpdate 向 Mac 用户分发一个名为 OSX.CreativeUpdate 的加密货币挖掘矿工,其主要目的是通过劫持用户设备的 CPU,秘密窃取门罗币 。 据研究人员介绍,MacUpdate 网站提供的软件官方下载链接遭到黑客替换,从而导致用户设备受到感染。除此之外,这些假冒链接的域名还做了细微改变,使其看起来合法且令人信服。一旦用户下载安装,合法网站 public.adobecc.com 会被迫使安装一个有效负载,并试图打开原始应用程序的副本作为诱饵来触发恶意软件激活。 目前通过调查发现 Firefox、OnyX 和 Deeper 等应用被黑客替换了下载链接。研究人员认为黑客选择这三个应用程序的原因在于它们都是由 Platypus 开发的。因为 Platypus 开发工具可以从各种脚本(如 shell 或 Python 脚本)中生成完整的 macOS 应用程序,这意味着创建应用程序的门槛并不是很高。 据悉,MacUpdate 方面已针对该事件向用户表示了歉意,并就如何删除恶意软件提供了相关说明。 1、删除 可能已安装的上述应用[ Firefox、Onyx、Deeper ]的任何副本。 2、下载并安装应用的新副本。 3、在 Finder 中,打开主目录的窗口( Cmd-Shift-H )。 4、如果 Library 文件夹没有显示,按住 Option / Alt 键,点击“ Go ” 菜单,选择 “ Library(Cmd-Shift-L)”。 5、向下滚动找到 “ mdworker ” 文件夹(〜/ Library / mdworker /)。 6、删除整个文件夹。 7、向下滚动找到 “ LaunchAgents ” 文件夹(〜/ Library / LaunchAgents /)。 8、从该文件夹删除 “ MacOS.plist ” 和 “ MacOSupdate.plist ”(〜/ Library / LaunchAgents / MacOS.plist 和 〜/ Library / LaunchAgents / MacOSupdate.plist)。 9、清空垃圾。 10、重新启动系统。 MacUpdate  负责人建议用户在下载软件之前检查其是否合法,不要完全相信第三方网站或 Mac App Store 上的星级或评论,因为这些内容可能是伪造的。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯暗网出现新型勒索软件 GandCrab ,要求支付达世币赎金、不得感染独联体国家

外媒 2 月 4 日消息,网络安全公司 LMNTRIX 的专家发现了一种名为 GandCrab 的新型勒索软件,通过感染受害用户系统以获得达世币(DASH)赎金(该服务由托管在 .bit 域中的服务器提供)。目前一些俄罗斯黑客团体正在暗网上为 GandCrab 广告宣传,主要通过使用 RIG 以及 GrandSoft 等开发工具包来分发该勒索软件。 在过去的几天里,LMNTRIX 实验室一直在追踪 GandCrab 勒索软件的流入,并发现此款勒索软件被设定为不得用于感染独联体(即前苏联成员国)国家的系统。 此外,一些有趣的地方也在追踪活动中被揭露: 1、有意向的买家被要求加入“ 合作伙伴计划 ”,其中勒索软件的利润分成 6:4  ; 2、大型合作伙伴能够将其收益比例提高到 70%; 3、作为一项勒索软件服务产品,GandCrab  需向 “ 合作伙伴 ” 提供技术支持和更新,比如输出了一个用户友好的管理控制台,可以通过 Tor 网络访问,以允许定制恶意软件(例如赎金金额、加密掩码等); 4、禁止合作伙伴针对独联体国家发起攻击(比如阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰); 5、合作伙伴必须申请使用勒索软件,并且可用数量有限; 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全专家发现最新僵尸网络的控制主机也提供游戏私服

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”,其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡,有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外,还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网,研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务,玩家们可以在中创建 Mod,并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务,售价为每月 16 美元。 而与此同时,这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务,每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务,而在他们建立好 JenX 僵尸网络后,攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源:cnBeta,封面源自网络;