分类: 恶意软件

Python PyPI 被发现含有 10 款恶意代码安装包

据外媒 9 月 15 日报道,斯洛伐克国家安全局( NBU )研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包,旨在感染目标主机系统、窃取用户敏感信息。 调查显示,攻击者主要使用一种被称为 “误植域名” 的技术,即在上传类似合法程序安装包至索引时( 例如:“ urlib ” 而并非 “ urllib ” ),PyPI 存储库不会执行任何类型的安全检查或审计,因此攻击者在线传播这些模块并不困难。另外,攻击者还会将恶意代码植入软件安装脚本,以便快速感染目标用户系统。 研究人员表示,由于这些软件安装包的恶意代码基本相同,因此它们的功能大同小异。不过,尽管在安装脚本 setup.py 时将会被植入恶意代码,但它们对于主机系统来说相对无害。此外,恶意代码只收集受感染主机的使用信息,例如伪造安装包的名称、版本、用户名以及计算机主机名。据悉,NBU 安全研究人员于上周联系 PyPI 管理员后,他们立即删除了这些含有恶意代码的安装包。其中存在恶意代码的软件安装包包括: – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3) 安全研究人员表示,恶意代码主要与 Python 2.x 一起使用,而运行在 Python 3.x 应用程序时将会发生错误。这些恶意软件安装包于 2017 年 6 – 9 月一直处于活跃状态,目前也有证据表明,多个恶意安装包已被开发人员使用。对此,安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外,还建议他们在下载 Python 安装包时避免使用 “ pip ”(一个 Python 包安装程序),因为 pip 不支持加密签名。 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 BankBot 感染 Google 商店 160 款应用程序,阿联酋金融机构成为黑客首选攻击目标

趋势科技(Trend Micro)研究人员于 9 月 13 日发布安全报告,指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示,该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动,其中 10 家受害组织来自阿联酋地区。 恶意软件 BankBot 于今年 1 月浮出水面,其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外,BankBot 还可劫持与拦截用户 SMS 信息,从而绕过基于短信的双重身份验证。 近期,研究人员再次发现 5 款受感染的新型应用程序,其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示,最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而,一旦安装并运行 BankBot 后,它将自动检查受感染设备上是否存在银行应用安装包。倘若存在,BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后,C&C 服务器还会向受感染应用发送恶意链接,从而下载包含用于覆盖页面的恶意文件库,以便攻击者后续使用。 图1. BankBot 下载覆盖网页 值得注意的是,研究人员发现该款恶意软件在针对阿联酋银行应用程序时,表现略有不同。BankBot 并非直接显示虚假的覆盖页面,而是请求用户输入电话号码等信息。随后,C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面,他们将会被提示输入银行具体信息。即使用户提供的信息正确,也会弹出一个 “ 错误页面 ” ,致使受害者必须再次输入信息进行确认。显然,BankBot 的开发人员想要再次核实受害者银行凭证,以便快速正确登录用户账号、窃取资金。 图2.伪造阿联酋银行应用程序屏幕 目前,BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围,对此,研究人员提醒用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限,以防黑客恶意攻击。 附:趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;

逾 4000 台 ElasticSearch 服务器遭 POS 恶意软件感染

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( AWS )中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一:2012 – 2014 年 PoS 恶意软件传播数量图 近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。 图二:研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三:恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。 原作者:India Ashok, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客通过操控 Facebook CDN 服务器瞄准巴西传播恶意软件、规避安全检测

HackerNews.cc  9 月 10 日消息,网络安全团队 MalwareHunter 在过去两周内发现黑客组织正通过操控 Facebook CDN 服务器瞄准巴西等地区肆意传播银行木马 Banload 、规避安全检测。 调查显示,黑客通过伪造地方当局的官方通讯域名发送诱导性电子邮件,其内容主要包含一个指向 Facebook CDN 的链接,以便受害用户在不知情下点击感染恶意软件。以下是该黑客组织使用的一个 Facebook CDN 链接与相关垃圾邮件内容。 https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1 一旦受害者点击链接,系统将会自动下载包含恶意软件的 RAR 或 ZIP 文档。该操作能够调用多数 Windows PC 端上运行的合法程序(即 Command Prompt 或 PowerShell )来运行编码的 PowerShell 脚本。如果目标系统感染恶意软件,其 PC 端上的 PowerShell 脚本将会下载并运行另一脚本,依次循环,从而感染更多用户设备。此外,研究人员还观察到黑客组织 APT32 也正使用该操作瞄准越南地区展开网络攻击活动。 有趣的是,当受害者来自其他国家或地区时,该攻击链接将会在最后阶段下载一个空的 DLL 文件,从而中断攻击。此外,该款恶意软件结构极其复杂且资源丰富,因此研究人员提醒用户切勿轻易点击任何非可信来源的邮件链接,并始终保持系统杀毒软件更新至最新版本。 原作者:Pierluigi Paganini,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件 Babar 出现新变种,疑似由法国情报机构开发使用

HackerNews.cc 9 月 7 日消息,网络安全公司 Palo Alto Networks 研究人员近期发现黑客组织正利用一款恶意软件 Babar 新变种操控刚果民主共和国常设理事会(cpcc-rdc.org)官方网站,旨在破坏命令与控制(C&C)服务器、窃取国家重要信息。 Babar 是一款强大的间谍软件,不仅能够监控当前流行媒体平台(包括 Skype、MSN、Yahoo 等)的通讯记录,还可记录受害用户击键次数,窃取登录凭证等敏感信息。据斯诺登泄露的文件显示,Babar 此前曾被法国情报机构外部安全总指挥部(DGSE )用于监控伊朗核武器研究机构、欧洲知名企业的金融活动。 调查显示,法国黑客组织 Animal Farm 曾利用该恶意软件瞄准政府机构、军事承包商、媒体企业、私营公司展开攻击活动。然而 PaloAlto Networks 研究人员近期发表声明,宣称 Babar(也被称为 Snowball)最早可追溯至 2007 年。不过,卡巴斯基早于 2015 年就已得出该结论,但当初因缺乏证据并未分享任何相关细节。 研究人员在此次攻击活动中通过分析该恶意软件样本的加载程序发现其代码编译时间戳为 11/09/2007 11:37:36 PM。 研究人员注意到,该恶意软件新变种无法在默认的 Chrome 浏览器上收集信息。不过,Babar 变种新添另一功能,可以导致配置数据加密后以便攻击者以明文形式访问。研究人员通过分析其恶意软件代码与结构后认为,该变种可能由同一黑客组织开发。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

联想被指控预装恶意软件,愿支付 350 万美元与 FTC 和解

据 VentureBeat 报道,笔记本电脑制造商联想公司日前与美国联邦贸易委员会(FTC)达成和解,同意支付 350 万美元,并对其销售笔记本电脑的方式作出调整,以换取 FTC 撤销对其销售预装软件的指控,此举被指危及用户安全。美国当地时间 5 日,联想与康涅狄格州、联邦贸易委员会以及其他 31 个州达成上述协议。 联想预装的软件名为 VisualDiscovery,从 2014 年 8 月开始安装在数十万台联想笔记本电脑上,目的是提供弹出式广告。然而当用户试图访问恶意网站而弹出警告时,也被该软件阻止。 FTC 声称,VisualDiscovery 能够访问消费者的敏感信息,比如社会保障号码。当然,这些信息并没有发送给出售 VisualDiscovery 的厂商 Superfish。FTC 主席莫林·奥豪森(Maureen Ohlhausen)在一份声明中表示:“ 联想在预装软件时侵犯了消费者的隐私,在没有给出通知或获得用户同意的情况下就可访问消费者的敏感信息。这种行为导致的后果非常严重,因为该软件破坏了消费者依赖的网络安全保护。” 联想在声明中表示,公司在 2015 年初就已经停止销售预装软件。尽管我们不同意这些申诉中的指控,但我们很高兴在两年半后结束这件事 。到目前为止,我们还没有接到任何第三方利用这些漏洞来获取用户通讯信息的实例报告 ”。FTC 表示,作为和解协议的一部分,在安装这类软件之前,联想同意首先获得消费者的同意并对任何数据收集或捆绑广告软件给予用户确切通知,且同意在未来二十年内接受安全检查。 稿源:cnBeta、网易科技,封面源自网络;

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密在线曝光 CIA 黑客工具 AngelFire:用于感染 Windows 计算机操作系统

据外媒 8 月 31 日报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )使用黑客工具 AngelFire 感染 Windows 计算机操作系统。 AngelFire 是一款恶意软件,主要通过修改 Windows 计算机上的分区引导扇区后植入持久性后门程序。不过,根据维基解密泄露的 CIA 用户手册得知,AngelFire 仅在获取目标系统的管理权限后才能下载安装。调查显示,黑客工具 AngelFire 主要包括以下五大组件: 1、Solartime:该组件主要在目标系统启动时,修改分区引导扇区以加载运行 Wolfcreek(内核代码)。 2、 Wolfcreek:它是一款自加载驱动程序( Solartime 执行的内核代码 ),主要用于加载其他驱动与用户模式应用。 3、Keystone:该组件利用了 DLL 注入技术将恶意应用直接植入系统内存,而并非文件系统。它是 Wolfcreek 植入内容的一部分,其主要负责启动恶意应用程序。 4、BadMFS:它是一款被用作 Wolfcreek 开启驱动与植入程序的储存库 ,其主要在活动分区(或更高版本的磁盘文件)末尾创建隐藏文件系统。另外,所有文件都将被加密与混淆,以避免字符串扫描。 5、Windows Transitory File system:允许 CIA 黑客为特定操作创建临时文件,而并非将其存储在隐藏磁盘中。 研究人员表示,目前 32 位的 AngelFire 工具影响主要影响 Windows XP 与 Windows 7,而 64 位的工具则会影响 Server 2008 R2 与 Windows 7 系统。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国税局发出紧急通告:警惕使用 IRS 与 FBI 名字的诈骗邮件

据外媒报道,美国税局(IRS)近期向该国公民发布警告,警惕使用其机构以及 FBI 名字的诈骗邮件。据披露,这些邮件的发布者利用国税法的调整向网络用户发出一份问卷调查,而为了制造紧迫感,他们被要求在 10 天内填好并发回这份调查。然而当用户点击链接之后,他们的设备将开始下载加密其文件的勒索软件。 IRS 局长 John Koskinen 表示,人们应当警惕这些试图利用 IRS 和其他政府机构诱骗点击链接或打开某个附件的诈骗邮件,如果人们有税务问题,IRS 是不会直接用一封邮件或一个电话警告他们。目前,IRS 建议受害者不要向网络犯罪分子支付赎金,另外它还强调,该机构是绝对不会使用电子邮件、短信或社交媒体这些途径来跟人们讨论税务问题。 这种利用政府机构身份传播勒索软件的现象存在的时间实际上已经有很长一段时间。这些所谓的 “ 警察勒索软件 ” 指控无辜的用户做了一些他们未曾做过的事情并利用勒索软件要求他们支付赎金以此换回对其设备的控制。 稿源:cnBeta,封面源自网络;