分类: 恶意软件

新款 macOS 恶意软件也耍起了 Windows 平台上的“老伎俩”

虽然 Mac 恶意软件很罕见,但这并不表示 macOS 系统能完全免疫。外媒 Ars Technica 报道称,研究人员已经发现了一款新型 macOS 病毒,它使的都是曾经在 Windows 平台上耍过的“老伎俩”,利用了 Word 文档的“宏”(macro)功能来隐藏和执行恶意代码。 攻击者会引诱粗心的用户打开已被感染的 Word 文档,恶意软件会在加载恶意宏文件后被立即执行。万幸的是,识别这些受感染文件并不困难,因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求,但只要在这一步刹住车,就可以阻止恶意软件的传播。但是万一,你还是“手滑”点击了“运行”,那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染(下载额外的恶意软件)。 昨天,本站也报道了一款来自伊朗的 macOS 恶意软件 MacDownloader ,伪装成虚假的软件更新,然后开始窃取用户的 Keychain,通过钓鱼手段骗得用户名和密码(以及其它凭证),最终将数据传回给攻击者。 对于 macOS 用户来说,避免此类攻击的最佳方式,就是慎从第三方或不被信任的网站下载软件,而是直接前往苹果 App Store、或者应用程序制作者的官方网站。 稿源:cnbeta,有删改,封面来源于网络

新 Mac 恶意软件伪装成 Flash 更新,攻击美国国防行业

安全研究人员最近发现了一款来自伊朗的 macOS 恶意软件 MacDownloader ,企图攻击与美国国防工业相关的个人和企业。研究人员在一个冒充是美国航空航天公司“联合科技公司( United Technologies Corporation )”的网站中发现这个恶意软件。该网站声称可提供“特殊项目和课程”,试图吸引潜在的攻击对象。此前该网站曾被用于传播 Windows 恶意软件。 目前访问该网站的访客会被恶意 Windows 或 MacOS 攻击,取决于访客使用的操作系统。如果是 MacDownloader,它会创建一个虚假的 Adobe Flash Player 对话提供 Flash 播放器的升级,或者是关闭窗口。研究人员表示 MacDownloader 起初伪装成一个虚假病毒删除工具,后来才重新包装成虚假 Flash Player 更新。 恶意软件会收集 Mac 用户数据将 Keychain 发送到攻击者服务器上。它还能够给出一个虚假的系统偏好对话框,骗取用户名和密码,用于访问加密的 Keychain 数据。 除了攻击美国国防工业之外,据悉该恶意软件还曾攻击过一位维护人权的人士,也就是说黑客还可以用这款恶意软件来攻击其他他们感兴趣的社区。 稿源:cnbeta,有删改,封面来源于网络

新木马以 Windows 为跳板传播恶意软件 Mirai

安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。 Windows 木马传播恶意软件 Mirai 该 Windows 木马被称为 Trojan.Mirai.1 ,其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写,用于扫描指定范围 IP 地址的 TCP 端口,以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件( wpd.dat )、提取 IP 地址列表,并对设备多个端口进行扫描。如果感染设备运行 Linux 操作系统,它将执行一系列命令将其纳入 Mirai 僵尸网络,如果感染设备运行 Windows 系统,它将潜伏下来并继续传播寻找新目标。 Mirai Windows 版本针对更多端口 22 – Telnet 23 – SSH 135 – DCE/RPC 445 – Active Directory 1433 – MSSQL 3306 – MySQL 3389 – RDP 值得注意的是,木马虽然扫描 3389 端口但不通过 RDP 协议连接设备执行指令,而是通过 Telnet 、SSH 等端口连接到 Linux 设备,执行相关操作。 此外,木马还执行其他恶意操作。如果被攻击的计算机含有数据库管理系统 Microsoft SQL Server ,它将创建登录名:Mssqla 密码:Bus3456#qwein ,以管理员权限执行窃取数据等恶意操作。 以下是 Trojan.Mirai.1 的 SHA1 9575d5edb955e8e57d5886e1cf93f54f52912238 f97e8145e1e818f17779a8b136370c24da67a6a5 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e 938715263e1e24f3e3d82d72b4e1d2b60ab187b8 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

全球超过 140 家银行、电信和政府感染“无文件式”恶意软件

安全研究人员警告,世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件,几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果,表明一个或多个黑客群体针对至少 140 家银行和组织进行了这种攻击,旨在盗取凭证和金钱。 这种恶意软件特别狡猾,因为它属于一类“无文件”软件攻击程序,它完全存在于设备的内存中,几乎没有任何痕迹。这种类型的恶意软件不是全新的,但它的日益普及让安全研究人员和网络管理员非常担心,这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告,攻击者使用恶意软件监视受感染机器,获得来自受感染机构内部的凭据和信息,但也控制 ATM 和盗取现金。根据卡巴斯基实验室的调查结果,这些最近感染的常见特征之一是它们依靠 Windows PowerShell 等合法工具来获取设备控制权。他们还在注册表中隐藏 PowerShell 命令,以留下较少的证据。 卡巴斯基实验室将继续调查,发布进一步的信息,有关攻击者如何从 ATM 中盗取资金的详情将在 4 月提供。 稿源:cnBeta;封面源自网络

Slammer 蠕虫卷土重来,继续利用漏洞攻击 SQL Server 2000

据 Check Point 报道,世界上最著名的计算机蠕虫之一的 SQL Slammer 沉寂 13 年后,似乎又重新开始活动了。该蠕虫于 2003 年 1 月 25 日首次出现,曾在 10 分钟之内感染了约 7.5 万台计算机。 SQL Slammer 也被称为“蓝宝石”( Sapphire ),它利用 SQL Server 2000 的解析端口 1434 的缓冲区溢出漏洞对其服务进行攻击。它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为 376 字节的蠕虫病毒,随机产生 IP 地址并向其扩散。庞大的数据流量令全球的路由器不堪重负,如此循环往复,更高的请求被发往更多的路由器,导致它们一个个被关闭。(百科) 十多年后,Slammer 似乎要重出江湖。据 Check Point ThreatCloud 收集的全球数据显示,2016 年 11 月 28 日至 2016 年 12 月 4 日之间次类型攻击数量大幅增加,SQL Slammer 蠕虫成为此时间范围内最具威胁的恶意软件之一。 Check Point 检测到攻击尝试的目标多达 172 个国家,其中 26% 的攻击是针对美国网络,这表明这是一起大范围的攻击而不是有目标的针对性攻击。 攻击尝试的 IP 地址多来源于中国、越南、墨西哥和乌克兰。 虽然微软早已发布该漏洞的补丁,但是仍有很多服务器迟迟不愿及时打上补丁,这让蠕虫有了死灰复燃的可能性。就像微软去年发现,震惊一时的震网( Stuxnet )蠕虫所利用的漏洞 CVE-2010-2568 仍未被某些服务器打上补丁。 本文由 HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄亥俄州县政府感染勒索软件,911 调度等系统全部瘫痪被迫“手动”办公

据外媒报道,美国俄亥俄州利金县政府被迫关闭了感染勒索软件的计算机系统和电话系统,县各办事处回归“手动”处理工作。 县政府官员称:感染始于 1 月 31 日,系统已被及时关闭并尽可能多的“抢救”数据。当地媒体报道称,所有县级办事处都处于开放状态,但大量的在线服务和电话线已不再运作。此次网络攻击影响了许多地方政府部门,包括 911 指挥中心、审计办公室、警察局。政府员工无法使用电脑和电话,只能手动执行工作,庆幸的是尽管 911 指挥中心无法使用 IT 指挥调度系统,但公民仍可以通过拨打 911 报警专线进行求助。 目前,FBI 已经介入调查。县委员 Tim Bubb 表示没有发生数据泄露,文件仅被加密无法打开,政府相关事务也不受影响,只是运行效率没有往常那么高。县政府表示不打算支付赎金解密文件并拒绝透露勒索软件及赎金信息。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部

据卡巴斯基实验室周四报道,被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。 Turla 是一个俄罗斯网络间谍 ATP 组织(也称为 Waterbug 、Venomous Bear、KRYPTON )自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。 去年 11 月,卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”,据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统,恶意代码可执行一系列命令并收集信息,被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C&C 服务器 IP 地址以硬编码的形式存储在恶意代码中,并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。 目前已发现了一个受害者:攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会( Dina Mersine Bosio 大使的秘书).doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。 从内容上推断,它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统,从而发送钓鱼邮件。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

特朗普就职前,华盛顿近 70% 监控设备曾被黑客控制

据 华盛顿邮报 27 日报道,就在特朗普就职前八天,华盛顿地区 70% 监控摄像数据存储设备遭到黑客攻击、感染勒索软件,全市迫使重新安装监控设备。 勒索软件是目前最常用的黑客攻击手段之一。黑客会诱使用户点击链接或打开电子邮件附件(如 PDF )使计算机感染恶意软件。感染勒索软件的计算机文件会被加密或锁定,直到用户支付赎金(通常是比特币)为止。 市政府官员上周五表示,勒索软件使监控设备丢失 1 月 12 日至 15 日之间的数据。1 月 12 日华盛顿警方注意到 4 个网络监控摄像头无法正常工作并上报相关部门, 技术人员在录音设备中发现了两种勒索软件,随后发起了全市范围内的网络扫描从而发现更多受感染设备。警方透露网络攻击影响了整个城市闭路电视系统中 187 部录像机中的 123 部,由于发现及时勒索软件并未大规模扩散。 据悉,华盛顿政府方面此次没有选择支付赎金,而是通过使设备脱机、删除所有软件且在每个站点重新启动系统解决问题。 近几年来,公共设备遭遇网络攻击事件屡见不鲜,去年 11 月就曾发生过旧金山公共交通系统 感染勒索软件导致整个地铁售票系统停止工作的情况。此前早有多位安全专家感叹:物联网设备目前抵御网络攻击的水平实在堪忧。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器

据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

研究发现众多 Android VPN 应用含有恶意间谍软件

越来越多的国家开始屏蔽盗版网站,也促使越来越多的人寻找 VPN 之类的工具绕过屏蔽。然而对 Android 用户而言,使用 VPN 应用需要谨慎,来自澳大利亚和美国的研究人员发现有大量的Android VPN 应用含有间谍软件、病毒和其它恶意的广告软件。 在他们分析的 283 款 VPN 应用中有 38% 含有恶意代码,这些应用的下载量有的多达上百万。研究人员发现,超过 80% 的应用会访问用户的敏感信息,如用户数据和短信;五分之一的 VPN 应用提供商没有加密流量;名叫 sFly Network Booster 的应用含有间谍软件,能访问甚至转发短信;OkVpn 和 EasyVPN 会在其它应用上展示广告;许多不安全的 VPN 应用已经从商店下架,但还有很多仍然留在应用商店内。 稿源:solidot奇客;封面:百度搜索