分类: 恶意软件

挖矿病毒泛滥:黑客利用 Youtube 劫持电脑挖掘门罗币

近日,YouTube 视频网站用户抱怨他们的反病毒程序在访问 YouTube 时检测到了加密货币挖掘代码。据安全专家的研究发现,有黑客将一段恶意 JavaScript 注入网站和广告中,用户加载 Youtube 的时候,名为 Cryptojacking 的恶意代码就会启动,占用掉用户 80% 的 CPU 性能来挖掘一个名为 Monero 的加密货币。 Monero(门罗币)是一种新型的加密虚拟货币,它比之前的比特币更加匿名,用户交易时完全隐蔽,因而受到矿工们的热烈欢迎。而 Cryptojacking 正是基于挖掘门罗币提出的一个脚本程序,本意是为网站用户和脚本所有者建立一种协议,脚本所有者利用用户电脑CPU采矿,用户换取免费的电影、去广告等等。 但是,人总是贪婪的,这个脚本很快就泛滥开来,一些黑客开始无节制得利用 Cryptojacking 在别人电脑上挖矿,甚至将用户的 CPU 占用 90% 以上。去年,一些黑客开始将 Cryptojacking 做成病毒的形式植入到各种网站上,用户只要打开这些网站,电脑就会被劫持作为黑客的挖矿工具。 这也不仅仅是针对外网,2017 年 11 月,就有消息称中国电信江苏分公司校园门户网站提供下载的“天翼校园客户端”被植入后门病毒,学生运行安装包以后,该后门病毒接受黑客远程指令,利用中毒电脑刷广告流量和挖矿生产“门罗币”,还有之前星巴克的公共 Wi-Fi 也出现了类似劫持脚本。 目前,门罗币的价格约在 300 到 400 美元之间浮动,而且总体呈上涨趋势,估计网络上还会出现更多劫持病毒,提醒大家尽量不要在网络上胡乱下载文件和点击不明出处的广告。 稿源:cnbeta.com,封面源自网络

马士基董事长谈 NotPetya 惊魂10天:重设 4000 台服务器/ 4.5 万台 PC

本周召开的世界经济论坛上,马士基(Møller-Mærsk)集团董事长Jim Hagemann Snabe在演讲过程中再次谈及发生于去年的 NotPetya 网络攻击事件,导致公司整个“基础设施”几乎都重新安装了一遍。在 10 天时间内,马士基重新安装了 4000 台服务器,4.5 万台 PC 主机以及 2500 款应用程序,而如果按照正规流程下来至少需要 6 个月时间,因此董事长称之为“英雄的努力”。 Hagemann评测到:“想象下一家公司每隔 15 分钟就有 1 万到 2 万个集装箱进入港口,而在这 10 天时间内都没有 IT 方面的支持。你根本想象不出是怎么样混乱的场景。” 不过在员工的协作努力下,公司的出货量仅经历了 20% 的下降,依然有 80% 在手工方式下得以成功运作,直到系统恢复正常。马士基此前透露,此次袭击事件可能会使它的利润损失高达 3 亿美元。 相关阅读: 全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元 稿源:cnBeta.COM,封面源自网络

新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备

外媒 1 月 25 日消息,一个名为 Hide’N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现,和其他与 Mirai 有关的物联网(IoT)僵尸网络并不相同。因为 HNS 有着不同的起源,且不共享其源代码。事实上,Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道: “ HNS 僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞( CVE-2016-10401 和其他针对网络设备的漏洞),对一系列设备进行 Web 开发。 除此之外,HNS 还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个 IP 地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功,僵尸程序将查找设备提供的 “ buildroot login ” 横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置 TFTP 服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。 一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是,像大多数物联网僵尸网络一样,HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动, 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能,这意味着 HNS 将被部署为一个代理网络。另外,研究人员透露 HNS 僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

大规模 EvilTraffic 恶意广告活动感染数万 WordPress CMS 网站

外媒 1 月 22 日消息,CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍,参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。该文件夹包含以下内容: ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件,; 它最初只有 “  .suspected ” 扩展名,只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录,其中包含一系列文件。 下图显示了这种结构的一个例子: EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据,hitcpm.com 排名世界第 132 位,全球互联网用户访问量约为 0.2367% 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据: 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发,例如: ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置,如 DNS,设置,主页等,以便尽可能多地将流量重定向到调度器站点。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

内鬼作祟:俄罗斯南部加油站设备感染恶意软件 ,黑客非法牟利数亿卢布

外媒 1 月 21 日消息,俄罗斯联邦安全局( FSB )发现黑客组织正在实施一项加油站设备的欺诈计划,旨在利用电子加油机上安装的恶意程序,达到在抽送汽油时每加仑减少 3 % 至 7 % 的目的,从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者,并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道, FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ,指控其开发了多个恶意软件程序,并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中,Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外,据 FSB 猜测,欺诈计划可能已为其带来 “ 数亿卢布 (1 人民币相当于 8.99 俄罗斯卢布)”的收益。 FSB 透露,恶意软件不仅可以在加油机上显示虚假数据,允许加油站员工为顾客抽送汽油时每加仑减少 3% 至 7% ,并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是,Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此,远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见: 早在 2014 年,纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年,研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称,遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击,通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源:ThreatPost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

银行木马 Exobot 原作者愿出售源码,或致 Android 用户处境艰难

外媒 1 月 17 日消息,安全研究人员称一个先进的 Android 银行木马 Exobot 的源代码在知名的黑客论坛上出售给不同的人群后,Android 用户的处境将会变得更糟。 这个令人担忧的木马是一种 Android 恶意软件,最早出现在 2016 年 6 月的恶意软件攻击场景中。就像今天大部分专业编码的桌面或移动银行木马一样,Exobot 一直按月租用给客户。 虽然客户无法访问 Exobot 木马的源代码,但他们可以使用 Exobot 作者提供的配置面板来编译每个客户端自定义设置的恶意应用程序。然后,租借人必须分发这些应用程序给受害者。过去两年来,Exobot 一直是最活跃的 Android 移动木马之一(其中还包括 BankBot、GM Bot、Mazar Bot,以及 Red Alert)。 最初,一些安全公司把该木马称为 Marcher,但是最终还是以其作者的名字来称呼它。在 2016 年下半年,Exobot 初期带来的利润刺激了 Exobot 的作者创造了 Exobot v2。当木马在暗网、黑客论坛、XMPP 垃圾邮件,甚至在公共互联网上大肆宣传时,Bleeping Computer 覆盖了Exobot v2 的崛起。 根据记者过去与众多安全研究人员进行对话的证据,Exobot 似乎是一个有利可图的业务,被用于全球许多国家的用户。 Exobot 作者将银行木马出售 出乎意料的是,Exobot 的作者以 “ android ” 的通用假名进行了一项重大举措,虽然事后看来这可能会给未来的用户带来很多问题。就在近日Exobot 的作者决定关闭 Exobot 租赁计划,并将源代码出售给一小部分客户。 以下是 Exobot 的作者销售广告的两幅图片,由 SfyLabs 的移动安全研究员 Cengiz Han Sahin 提供。 安全人士 Sahin 称恶意软件领域的这种说法一般意味着以下两点之一: 要么是恶意行为者注意到执法部门或竞争对手反击市场份额的兴趣激增,要么是他的生意确实非常丰富,风险或者收入不再为利益所驱动。 公众担忧 Exobot 源码被公开 但是,尽管有这些原因,Exobot 的销售会对Android恶意软件的攻击场景产生深远的影响是毋庸置疑的,即使不是马上。 有记者过去曾经报道过很多这样的事件,根据这位记者的经验和 Sahin 的预测,源代码在网上泄露只是时间问题。这样的销售几乎从不保密,而且当 Exobot 的作者不提供买方需要的支持时,不满意的客户就会泄露源代码。例如在过去的十年里,有很多家庭桌面银行木马被泄露。 一旦泄露,Exobot 代码 将和 Slempo、BankBot 和、GM Bot Android 银行木马的命运相同,重新组织成数百个分支木马,从而降低进入移动恶意软件场景所需的成本和技术技能。 Exobot 的出售或衍生新型恶意软件活动 但是,在低技能的恶意行为者泄露 Exobot 版本之前,这个木马的新客户已经开始使用了。 安全人士 Sahin 表示:“ 在恶意行为者开始销售 Exobot 源代码之后,不到一个月,在奥地利,英国,荷兰和土耳其就发现了新的活动。土耳其是受这些活动影响最大的国家,共有 4400 多台设备牵涉其中。 这种恶意 Exobot 应用程序的增加是由于 Exobot 源代码的一些私人销售引起的。如果源代码泄漏, Exobot 攻击的规模可能会超出安全人士的想象,如同 BankBot 木马一样。据悉,BankBot 在 2016 年底在线泄露,其一直是通过 Google Play 商店传播的恶意应用程序的核心, 分散的 Android 操作系统市场、不及时交付补丁的移动运营商、以及谷歌的游戏商店团队似乎无法跟上恶意软件作者的步伐,这种种原因使得 Android 用户在移动恶意软件上处于严重的劣势。而唯一能保护大多数用户的方法就是移动杀毒解决方案和一些使用常识,例如拒绝从不受信任的来源安装应用程序、不安装需要不必要权限的游戏商店应用程序等。 消息来源:Bleeping Computer,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球最大僵尸网络 Necurs: 一反常态“殷勤”推销 Swisscoin 加密货币

外媒 1 月 17 日消息,全球最大的垃圾邮件僵尸网络 Necurs 已发出数百万封垃圾邮件,旨在推送一种鲜为人知的加密货币——Swisscoin 。目前垃圾邮件活动已导致 Swisscoin 损失了最初交易价格的 40% ,不过 Necurs 在其中扮演什么角色还尚未可知。 通常这种垃圾邮件被称为抽运和转储,依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣。垃圾邮件发送者预先以低价购买股票,当垃圾邮件活动抬高价格时,则以较高的价格出售股票。 第一次推动加密货币 Necurs 多年来一直从事发送垃圾邮件的网络犯罪活动,比如传播 Dridex 银行木马和一些勒索软件。但值得注意的是,Necurs 于本周第一次通过大型垃圾邮件活动宣传 Swisscoin 加密货币 ,而不是像往常一样推送低价股票。 有关 Swisscoin 的交易行为在去年的一份报告中被描述为一种多层面营销 ( MLM ) 的庞氏骗局。这种交易经过短暂停止后于 1 月 15 日恢复运营,并且垃圾邮件也在当天开始传播。目前 Necurs 僵尸网络已派出三种不同的垃圾邮件,以下为邮件主题: This crypto coin could go up fifty thousand percent this year (这个加密货币今年可能会上涨 5 万美元) Let me tell you about one crypto currency that could turn 1000 bucks into 1 million(让我告诉你一种可以将 1000 美元变成 100 万美元的加密货币) Forget about bitcoin, there’s a way better coin you can buy (忘掉比特币吧,你可以买到更好的加密货币) 据初步统计,自从垃圾邮件发出后,加密货币损失了其最初交易价格的 40%。 因为之前没有类似的垃圾邮件活动作为参考物,所以目前并不清楚 Necurs 对 Swisscoin 交易价格有什么影响,不过研究人员认为比特币的下滑可能会对 Swisscoin 的价格造成一些波动。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球 50 多万用户或受到四种恶意 Chrome 扩展影响

外媒 1 月 16 日报道,美国网络安全公司 ICEBRG 发现了四种恶意 Chrome 扩展,用于执行点击欺诈或搜索引擎优化。目前受影响的用户数量已经超过 50 万 ,并且攻击者可能会利用该扩展进一步访问企业网络和用户信息。为了做好防护措施,ICEBRG 通知了荷兰国家网络安全中心(NCSC-NL)、美国计算机应急部署小组(US-CERT)以及 Google 安全浏览运营团队。 近日,ICEBRG 发现客户工作站到欧洲 VPS 提供商的出站流量出现了异常激增,其中包括一些全球主要组织的工作站。因此 ,ICEBRG 对该情况展开了调查。根据调查结果,四种恶意 Chrome 扩展的名称分别是: 1、Change HTTP Request Header(ppmibgfeefcglejjlpeihfdimbkfbbnm) 2、Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph) 3、Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj) 4、Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae) 研究人员称这四种 Chrome 扩展允许攻击者以 JavaScript 代码的形式向用户浏览器发送恶意命令,但攻击者只能通过在后台加载一个网站以及点击广告来执行点击欺诈。 在媒体报道该事件时,除了 Nyoogle 之外其他三个恶意扩展已经从 Chrome 网上应用商店删除。不过尽管如此,许多用户仍然在其浏览器中加载了这些恶意扩展程序。 注意: 虽然 Chrome 网上应用商店删除了该恶意扩展,但是可能无法将其从受影响的主机中删除。此外,使用第三方 Chrome 扩展程序库可能仍然允许安装扩展程序。 目前 ICEBRG 已经发布了关于四种恶意 Chrome 扩展的详细报告,并建议用户检查浏览器以及删除其计算机的恶意扩展。 详细报告: <MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES> 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国一家医院被迫支付 5.5 万美元赎金,以摆脱“SamSam” 勒索软件

外媒 1 月 16 日消息,美国印第安纳州汉考克地区一家医院(Hancock Health)被迫向黑客组织支付了价值 5.5 万美元的比特币赎金,以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉,该黑客组织通过暴力破解 RDP 端口,达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四( 1 月 11 日),Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录,但并没有窃取患者数据 。随后,经过相关研究人员展开调查发现,该组织使用 SamSam 勒索软件加密文件,并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过, 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施,例如通过 IT 人员介入暂停了整个网络;要求员工关闭所有计算机,以避免勒索软件传播到其他计算机;更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份,但从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间,以至于不得不向黑客组织支付赎金。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

网络现 Meltdown/Spectre 假升级:实为恶意软件

据外媒报道,Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称,假补丁虽然主要针对的是德国用户,但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件,其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件,它能打开更多有效载荷的门,而这些未来可被用到多种场合,包括窃取凭证和其他敏感数据。 Malwarebytes 解释称,一旦该恶意软件感染了电脑,那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似,比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载,而不是任何第三方来源。微软已经就这两个漏洞发布了升级,并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前,反病毒解决方案正在开发中,但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源:cnBeta、封面源自网络;