分类: 恶意软件

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

虚假微软应用借助 Google 搜索引擎传播勒索病毒

微软旗下的 Windows Movie Maker 是友好且易用的视频编辑应用,最早于 2000 年作为 Windows Essential 套件组成发布,最后一次更新是在 2012 年。今年 1 月 17 日,伴随着微软停止对该套件的支持,这款视频编辑应用也成为了部分用户的美好回忆。 据悉,当那些还不知道已经停止支持的用户尝试在 Google 上搜索 “Windows Movie Maker”,就会跳出一个名为 www.windows-movie-maker.org 的网站。点击链接之后,页面的布局和设计看上去像是正规网站,并且提供了 Windows 7/8/10/XP/Vista 系统版本的下载。 然而,当你尝试下载 Windows Movie Maker 时用户需要支付 29.95 美元才能享受“完整版本”。事实上,真正的 Windows Movie Maker 是完全免费的。除 Google 搜索网站外,用户在 Microsoft Store 上搜索这款视频编辑应用,虽然名字相同,但完全不具备微软官方应用的编辑功能。 安全公司 ESET 表示,很多网站利用 Google 搜索引擎的算法,使其自家网站在搜索结果中有更高的排名。公司表示在 2017 年 11 月 5 日,Win32/Hoax.MovieMaker 在以色列肆虐,11 月 6 日蔓延到菲律宾、以色列、芬兰和丹麦地区。 稿源:cnBeta,封面源自网络;

微软警示:银行木马 Qakbot 和 Emote 瞄准企业/家庭用户展开攻击活动

据外媒报道,微软在过去数月内确定了两款特洛伊木马 Qakbot 和 Emote 的更新活动,并且还指出这两款恶意软件具有相同的最终目标,即窃取用户资金或银行凭证。 调查显示,这两款银行木马原本针对网上银行用户,但现在,中小企业和其他组织也被感染。更糟糕的是,一些变种能够在系统和网络上传播,可能会恶化感染率。通常,作为附件提供的特洛伊木马将启动攻击过程。一旦下载执行并安装时,它会欺骗合法的 Windows 服务以降低怀疑。然后,它还会与命令与控制(C&C)服务器通信,该服务器将负责提供有关如何执行恶意软件说明。 据说 Qakbot 和 Emotet 可以感染网络共享文件夹和驱动器,包括可移动的 U 盘等。它们还可以使用服务器消息块(SMB)在其他机器上复制自己的副本。如果用户系统受到感染,微软建议断开与互联网连接以防止与(C&C)服务器通信。该公司还建议停止恶意软件的自动执行,并监控网络中断后可能的再次感染。 稿源:cnBeta,封面源自网络;

Google Play 商店自检测系统无效,逾 100 万安卓用户不幸下载冒牌 WhatsApp 应用

据外媒 Reddit 于 11 月 4 日报道,安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play 商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前,已有超过 100 万的安卓用户下载使用。研究人员表示,这似乎又是谷歌自动检测系统失败的一次例证。 左边是冒牌的 WhatsApp 应用,右边是合法的 WhatsApp 应用 据悉,研究人员在对该款冒牌的恶意应用进行反编译后发现它是一个广告加载的包装器,其中包括了下载另一安卓应用程序包(apk)的代码。值得注意的是,第二款相关联的恶意应用试图隐藏自己,因此它不仅没有名称,而且还使用了一个空白的图标进行伪装。 调查显示,这个冒牌的应用似乎由合法的 WhatsApp 公司开发,但仔细观察后发现开发人员在名字的末尾添加了两个字节(0xC2 0xA0),使其最终形成一个隐藏空间。然而,最令人难以置信的是,该黑客所开发的这款应用竟能绕过谷歌安全检测感染超过一百万设备。 目前,该款冒牌应用已被谷歌官方应用商店删除。其相关人员透露,尽管 Google 已经付出很大的努力,但谷歌在其官方应用商店上部署的自动检测系统仍然无效。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客利用 SEO 技术随机传播银行木马“ Zeus Panda ”

HackerNews.cc 11 月 3 日消息,思科 Talos 团队近期发现网络犯罪分子正利用搜索引擎优化(SEO)的关键字集合部署恶意链接,旨在传播银行木马 “ Zeus Panda (宙斯熊猫)” 后窃取用户财务凭证与其他敏感信息。据悉,黑客主要针对与金融相关的关键字集合进行重定向链接嵌入。目前,谷歌搜索引擎也未能幸免黑客攻击。  调查显示,启动此次攻击活动的载体似乎不像以往一样使用电子邮件为基础,而是通过特定的搜索关键字集合进行恶意部署。据称,黑客通过受攻击的 Web 服务器确保恶意搜索结果在搜索引擎中排名靠前,从而增加了被潜在受害者点击的可能。目前,安全专家已发现数百个恶意网页,其专门用来将受害者重定向至托管恶意 Word 文档的另一受感染网站。一旦用户点击该恶意文档,其系统将会自动下载并执行一个 PE32 可执行文件,从而通过银行木马 Zeus Panda 感染用户设备。 据称,相同的重定向系统和相关的基础设施已被黑客用于技术支持和杀毒软件攻击,以便分发 Zeus Panda。目前,搜索引擎的查询结果指向恶意网页,包括由黑客使用的 JavaScript 代码将用户重定向至其他中间站点,这将会执行另一页面的 HTTP GET 请求。此外,黑客为了改善感染过程,还实施了多阶段攻击部署。 值得注意的是,该恶意软件会自动检查系统语言,发现设备使用俄语、白俄罗斯语、哈萨克语或乌克兰语的键盘布局,则会暂停攻击。此外,安全专家还发现该恶意软件会造成大量异常调用,从而导致沙箱崩溃、阻止杀毒软件的检测与分析。安全专家表示,黑客还在试图寻找新攻击方式诱使用户运行恶意软件,而这些恶意软件可以通过各种有效负载感染潜在受害设备。对此,他们提醒用户在加强系统安全防御体系的同时,不要轻易点击未经检验的文件链接,从而有效规避黑客攻击活动。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意软件 CryptoShuffler 已从流行的加密货币钱包中获利逾 15 万美元

据外媒 11 月 2 日报道,卡巴斯基实验室研究人员近期发现黑客正利用一款恶意软件 CryptoShuffler 设法从众多流行的加密货币(例如:Bitcoin、ZCash、 Ethereum、 Monero)钱包中窃取用户资金。目前,该黑客已获得逾 15 万美元比特币。 调查显示,该恶意软件最早可追溯至 2016 年年初,并一直针对流行加密货币钱包展开攻击。虽然 CryptoShuffler 活跃状态于去年年底达到顶峰后出现下滑现象,但研究人员近期发现该恶意软件于今年 6 月就已开始试图在雷达监控下运行。知情人士透露,CryptoShuffler 在感染受害用户的计算机设备后,开始监控用户剪贴板记录。据称,该恶意软件仅用于替换用户比特币钱包的合法地址时拦截了货币的传输,从而窃取用户大量资金。 卡巴斯基实验室的恶意软件分析师 Sergey Yunakovsky 表示:“该恶意软件运行方案简单有效,既无需访问池、无需网络交互、也无需任何可疑的处理器负载,因此 CryptoShuffler 是一个完美的例证。” 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加拿大出现升级版 ATM 红外卡槽盗刷器 “Shimmers”,执法部门提醒全球银行机构加强防范

网络安全专家 Brian Krebs 于今年 7 月发布一份报告,指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。据悉,插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。虽然该设备构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 近期,加拿大安全专家发现黑客正利用一款名为 “Shimmers” 的升级版红外插入卡槽器开展新一轮攻击活动,旨在窃取目标用户基于芯片的信用卡和借记卡数据。 据悉,Coquitlam RCMP 经济犯罪部门的研究人员在一次例行的日常检查中发现一款测试卡正插在 ATM 机终端运行。随后,当他们将该终端打开时,看到 4 款超薄的塑料芯片,经检测发现均附带非法获取的信用卡或借记卡数据。研究人员表示,如果这些数据被成功窃取,其极有可能被用于伪造信用卡或借记卡后获取用户资金。 调查显示,Shimmers 已经被用来攻击位于零售商店和其他公共区域的 POS 设备,且都是通过存储在芯片背面磁条上的纯文本数据实现。另一方面,Shimmers 在信用卡芯片与 ATM 机上的芯片读取器之间存在一个夹层,使其可以在芯片上记录数据并由底层机器读取。 虽然此类攻击目前只在加拿大检测发现,但执法部门正警示全球的金融机构加强安全防御措施。此外,ATM 巨头 NCR 公司曾在一份警告中写道:“黑客攻击 ATM 设备是利用了一个原理,即部分金融机构没有实现 EMV 芯片卡标准,从而导致黑客在钻取漏洞后可以窃取用户大量资金。” 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中国电信(江苏)校园门户提供的“天翼校园客户端”被植入后门,可用于挖矿生产加密货币

虽然虚拟货币受到各种限制约束,但其中蕴含的财富依然让太多人趋之若鹜,甚至做出一些不齿之事,尤其是散播病毒,让中毒者的电脑为自己挖矿。近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的 “天翼校园客户端” 也被植入后门病毒,可接受黑客远程指令,利用中毒电脑刷广告流量,挖矿生产 “门罗币”。 安装包运行后,后门病毒即被植入电脑,随即访问远程 C&C 服务器存放的广告配置文件,然后构造隐藏 IE 浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。安装包整体逻辑如下图所示: 客户端安装后,安装目录中会释放 speedtest.dll 文件,扮演病毒“母体”角色,执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。 解密后的广告刷量模块被执行后,它会创建一个隐藏的 IE 窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。该病毒下载的广告链接有 400 多个。由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。 通过分析病毒的挖矿模块发现,天翼校园客户端挖的是“门罗币”。这是一种模仿“比特币”出现的数字虚拟币,一枚价格接近 500 元。当病毒开始“挖矿”时,用户能观察到计算机 CPU 资源占用飙升,电脑性能变差,发热量上升,电脑风扇此时会高速运行,电脑噪音也会随之增加。 排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。分析结果令人震惊,安全厂商们普遍认为大型互联网公司签名的程序是安全的,但中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。 稿源:cnBeta、快科技,封面源自网络;

安全报告:勒索软件 Matrix 卷土重来,掀起新一轮攻击浪潮

据外媒 10 月 29 日报道,网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来,旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年,但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时,发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初,研究人员以为这是勒索软件研发失败的情景,而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 (CVE-2016-0189)与 Flash 漏洞(CVE-2015-8651)传播恶意代码。 调查显示,当目标设备感染勒索软件 Matrix 时,其恶意代码将会加密受害机器上的所有文件,并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外,该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函,要求受害用户缴纳赎金后才可解密文件。 目前,由于研究人员尚不了解黑客此次攻击的真正意图,因此他们仍在继续展开调查。另外,他们建议用户要想保护自身系统免遭攻击,则需要将计算机上的所有软件更新至最新版本,同时加强系统安全、及时备份设备重要数据。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

NotPetya 恶意软件导致默克关闭 HPV 疫苗的生产线

今年上半年爆发的 NotPetya 恶意程序一度导致制药巨头默克停产 HPV 疫苗 Gardasil,迫使该公司借用美国疾病预防控制中心的库存以满足需求。这一消息是默克在其递交到美国证券交易委员会(SEC)的 8-k 季度公报中披露的。 默克在文件中称,它因为 NotPetya 恶意程序感染而遭受严重经济损失,导致第三季度销售和收入减少了数亿美元。默克称网络攻击相关的市场销售损失约 1.35 亿美元,因为恶意程序导致的疫苗停产而导致第三季度销售额减少约 2.4 亿美元。 稿源:solidot奇客,封面源自网络