分类: 恶意软件

新型 Android 木马 Xavier 爆发:可悄然窃取用户个人信息

趋势科技于近期发现一款极其狡诈的新型木马程序 “ANDROIDOS_XAVIER.AXM ” (简称 Xavier )。该木马程序能够使用多种方式覆盖活动痕迹并在用户不知情的情况下发送用户数据至远程服务器上。 首先,这款恶意程序会嵌入到常规的应用中,例如铃声录制和图片编辑应用,受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。趋势科技发现携带有该恶意程序的应用数量已经超过 800 款,而且部分应用在 Google Play 上的下载量已经超过数百万次。 而该恶意程序另一个狡诈的地方在于它们会嵌入到应用的代码中。在应用使用过程中并不会出现明显的恶意代码,因此在提交至 Play Store 审核的时候并不会触发任何 flag。然而,一旦从隐蔽的服务器下载和安装恶意代码,那么就会自动执行。而这些操作都是在用户不知情的情况下在后台进行操作的。 分析人员表示:“如果设备已经被 root,那么该恶意程序就会静默安装其他类型的 APK 文件。” 对比此前恶意广告木马,Xavier 的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet 数据加密和模拟器检测等方法来保护自己不被检测到。Xavier 窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier 还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。 稿源:cnBeta;封面源自网络

维基解密曝光 CIA 新路由器网络攻击方式

据外媒报道,路由器几乎是每一个网络的前门,除了提供访问入口,它还能为阻止远程网络攻击提供一定的安全保护作用。所以,如果路由器沦陷,那么也就意味着攻击者可以看到用户在网上做的每一个动作。根据维基解密最新曝光的文件显示,CIA 就拥有能够做到这点的工具。 根据文件描述了解到,CIA 一个叫做 Cherry Blossom 的项目可以通过一个修改过的给定路由器固件将路由器变成一个监控工具。一旦部署成功,Cherry Blossom 就能让在被攻击者的网络上展开远程代理监控、扫描诸如密码的实用信息甚至还能重定向被攻击者想要访问的网站。 获悉,维基解密曝光的文件来源于 2012 年 8 月,所以现在并不清楚 CIA 在这 5 年间是否有升级过 Cherry Blossom ,或许它已经停止使用。另外,从曝光的文件了解到,Cherry Blossom 对来自华硕、贝尔金、Buffalo、戴尔、DLink、Linksys、摩托罗拉、Negear、Senao、US Robotics 这 10 家厂商的近 25 种不同的设备都有效。 此外,文件还提到,CIA 通过 Claymore 工具或一个供应链操作将 Cherry Blossom 固件植入到无线设备中。“ 供应链操作 ” 很有可能指的是在工厂和用户之间拦截设备,这是间谍活动的常用手段。目前并不清楚该固件植入的使用范围有多广,不过文件指出该类型攻击只针对特定目标发起,而非大规模监控。 稿源:cnBeta,封面源自网络

最新 Mac 恶意软件现身,安全专家提醒不要过于自信

在“暗网(Dark Web)” 上出现了两款针对 Mac 电脑的全新恶意软件,这两款 Mac 恶意软件分别是 MacSpy 和 MacRansom ,并通过 Maas 和 Raas 方式攻击。两款恶意软件来自一个开发者,安全公司 Fortinet 和 AlienVault 认为,这位开发者经验不足,并指出恶意软件缺少数字签名文件,这意味着标准安装的 macOS 可以躲开恶意软件。 MacSpy 的威胁并不大,但 MacRansom 非常危险,因为恶意软件有能力永久摧毁用户的文件。庆幸的是,MacSpy 和 MacRansom 目前都没有大规模传播,因为开发者要求购买者与其联系,并直接进行价格谈判。 不过,Mac 安全研究人员 Patrick Wardle 表示,越来越多的黑客将目标转移至苹果电脑。此外,macOS 和 iOS 用户的安全知识并不够,很有可能成为黑客的目标。虽然这次的 MacSpy 和 MacRansom 没有大规模的传播,但未来也许会有一款影响巨大的恶意软件或勒索软件出现。 针对 Mac 电脑的恶意软件在2016年增长了 744%,虽然大部分都是捆绑在软件中的广告插件。如果想要保持安全,安全专家建议用户在 Mac App Store 以及受信任的第三方开发者网站下载应用和程序。虽然苹果一直将 Mac 宣传为不会中毒的电脑,但Wardle 还是提醒苹果粉丝,不要掉以轻心,不能过于自信。 稿源:cnBeta、MacX,封面源自网络

恶意软件 Industroyer 直击电网,拉响工控基础设施威胁警报

据外媒 6 月 12 日报道,杀毒软件公司 ESET 研究人员发现一款新型恶意软件 Industroyer,旨在破坏工控系统( ICS )工作流程( 特别是变电站 ICS )。近期,研究人员发表详细报告并推测该恶意软件与发生在 2016 年 12 月的乌克兰变电站攻击事件有关。 Industroyer 是一款集成了后门、发射器、数据擦除工具,以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C&C 服务器隐藏在 Tor 网络时,黑客可通过编程将其设定为指定时间内处于活跃状态,并有效规避安全软件检测。此外,该后门除了安装用于启动数据擦除器与负载的发射器组件外,还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。 数据擦除器组件用于攻击活动的最后阶段,以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器,实现工业通信协议。因此,ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载(例如:IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA)后发现黑客可在发动攻击时控制目标系统断路器。 根据工控安全公司 Dragos 提供的理论攻击描述,黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作,导致目标系统变电站频繁出现断电现象。此外,目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信,操作人员必须先用变电站扰乱通信后手动修复该问题。另外,黑客还可通过开启无限循环使断路器不断开关,触发保护机制、致使变电站关闭。 目前,ESET 与 Dragos 收集的证据均已证实,Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调,虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处,但部分组件概念却极其相同。 详细报告请戳 →《 WIN32/INDUSTROYER:A new threat for industrial control systems 》 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩国网络托管公司 Nayana 感染 Erebus 勒索软件

据外媒 6 月 12 日报道,韩国网络托管公司 Nayana 上周末遭受网络攻击,导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件 。 安全专家表示,勒索软件 Erebus 滥用 Event Viewer 提权,允许实现用户账户控制( UAC )绕过,即用户不会收到允许以较高权限运行程序的提示。此外,勒索软件 Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表,以劫持与 .msc 文件扩展名相关内容。 一旦 60 种目标文件扩展名遭 Erebus 加密,桌面就会出现一张赎金交纳通知,受害者在点击 “ 恢复文件 ” 后页面将跳转至 Erebus Tor 支付网站。勒索软件 Erebus 赎金金额已由今年 2 月约 90 美元( 0.085 比特币)飞涨至 29,075 美元( 10 比特币 ),最近价格为 15,165 美元( 5.4 比特币)。 目前,韩国互联网安全局、国家安全机构已与警方展开联合调查。Nayana 公司表示,他们将积极配合,尽快重新获取服务器控制权限。 原作者:Ms. Smith,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意程序利用英特尔 AMT 窃取数据和躲避防火墙

微软安全团队报告了一个恶意程序家族,将英特尔 Active Management Technology (AMT) Serial-over-LAN ( SOL ) 接口用作文件传输工具。 AMT SOL 是英特尔 Management Engine(ME) 的一部分,运行独立的操作系统,能在主机关闭的情况下工作,它被广泛批评是安全隐患或后门。 据悉,通过 AMT 的未经授权访问不会被主机记录下来,当 AMT 启用之后,所有的网络数据包会重定向到 ME,然后再到 AMT,绕过了主机操作系统,使用 AMT SOL 窃取数据不会被主机操作系统安装的防火墙和安全产品发现。 微软将开发该恶意程序的黑客组织称为 PLATINUM,它被认为是某个国家的网络间谍团队,主要目标是南中国海附近的东南亚国家。PLATINUM 活跃的最早时间不晚于 2009 年,每年专注于少数目标,以避免暴露。 稿源:cnBeta、solidot奇客,封面源自网络

谷歌应用商店出现首款代码注入式 Android 恶意软件

据外媒 6 月 8 日报道,卡巴斯基实验室研究人员在 Google Play 商店发现一款新型 Android 恶意软件 Dvmap,允许禁用设备安全设置、安装第三方恶意应用程序并在设备系统运行库时注入恶意代码以获取持久 root 权限。 有趣的是,恶意软件 Dvmap 为绕过 Google Play 商店安全检测,首先会将自身伪装成一款安全的应用程序隐藏在益智游戏 “ colourblock ” 中,然后在短时间内升级为恶意版本。据称,该款游戏在被移除前至少下载 50,000 次。 调查显示,木马 Dvmap 适用于 32 位与 64 位版本 Android 系统。一旦成功安装,恶意软件将尝试在设备中获取 root 访问权限并安装多个恶意模块,其中不乏包含一些中文模块与恶意软件 “ com.qualcmm.timeservices ” 。为确保恶意模块在系统权限内执行,该恶意软件会根据设备正在运行的 Android 版本覆盖系统运行库。而在完成恶意应用程序安装后,具有系统权限的木马会关闭 “ 验证应用程序 ” 功能并修改系统设置。 据悉,第三方恶意应用程序主要将受感染设备连接至攻击者 C&C 服务器并向其转交设备控制权限。目前,虽然研究人员仍对恶意软件 Dvmap 进行检测,但并未观察到源自受感染 Android 设备的任何恶意命令。为防止用户设备遭受感染,研究人员建议用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限并仅授予应用程序必要权限。 附: 卡巴斯基实验室分析报告《 Dvmap: 首款代码注入式 Android 恶意软件》 原作者:Mohit Kumar,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型攻击技术:网络犯罪分子采用 PowerPoint 演示文稿传播恶意软件

据外媒 6 月 5 日报道,安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件,即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。 据悉,网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前,名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播,其邮件主题包括 “ 采购订单#130527 ” 与 “ 确认函 ” 等。 调查显示,当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上,即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档,PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。 安全研究人员表示,用户设备中受视图保护的安全功能会通知用户操作风险,并提示用户启用或禁用该项操作。此外,SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Jaff 新变种涉足黑市交易,出售私人敏感信息

据外媒 6 月 3 日报道,Heimdal Security 安全研究人员于近期发现,黑客正利用勒索软件 Jaff 新变种共享后端基础设施,并在黑市贩卖被盗信用卡数据与银行账户信息,其中主要包括账户余额、位置与附加电子邮件地址等私人数据。 勒索软件 Jaff 于近期被发现涉及部分大型网络钓鱼邮件活动,即利用内含 PDF 附件与嵌入式 Microsoft Word 文档传播宏病毒恶意代码。一旦用户下载附件并点击链接,恶意软件将会在激活后自动窃取用户重要信息。 网络黑市出售的私人账户信息多数分布于美国、德国、法国与西班牙等地区,价格从 1 美元至几比特币不等,具体取决于账户自身价值。安全专家表示,勒索软件攻击的危害远不止加密用户数据。黑客在大肆收集受害者私人信息的同时还通过盗取信用卡数据谋取高额利润回报。 据悉,黑客正通过一台位于(俄罗斯)圣彼得堡的服务器( IP 地址 5[.]101[.]66 [.]85 )针对全球用户开展勒索软件攻击活动。此类案件并非仅此一例,犯罪组织还经常为获取最大利润回报改善业务操作水平,开展多元化攻击活动。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

银行恶意软件 QakBot 导致大量 Active Directory 域被锁定

据外媒 6 月 4 日报道,IBM 安全专家于近期发现成百上千的客户Active Directory 域在受到银行恶意软件 QakBot 攻击后被锁定。 Active Directory( 活动目录 )是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。活动目录服务是 Windows Server 2000 操作系统平台的中心组件之一。(百度百科) 恶意软件 QakBot 是一种主要通过共享驱动器或移动设备实现自我复制的网络蠕虫。该恶意软件主要针对企业银行账号窃取用户资金与私人数据,例如:数字证书、缓存凭证、HTTP(S)会话认证数据、Cookie、身份验证令牌以及 FTP 、POP3 登录凭证等。近期,QakBot 被发现针对美国政府机构、银行开展攻击活动,其中包括美国国家财政部、企业银行与商业银行。 调查显示,恶意软件 QakBot 除了使用了特殊的检测机制规避沙箱外,还利用了 dropper 执行 explorer.exe 并在进程中自动注入 QakBot 动态链接库(DLL),以破坏其原始文件传播恶意软件。 安全专家表示,银行恶意软件 QakBot 为了在目标网络中进行传播,还能使用 C&C 服务器的特定命令实现随需应变。此外,QakBot 还能利用“浏览器中间者”(Man-in-the-Browser,MitB)攻击,将恶意代码注入在线银行会话中,以便通过被控制的域名获取脚本。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。