标签: 后门木马

投资者当心!黑客伪造比特币交易工具投放 Orcus RAT 木马

近年来比特币价格呈现爆发式增长,价格已逾黄金 10 倍,估值甚至超过部分国家货币,仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注,近日安全研究人员发现,有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马(RAT),其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。 来自 FortiGuards  实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动,有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或  Gunthy 开发的新的合法比特币交易机器人 Gunbot,可帮助监测不同交易平台之间的价格差异。若出现盈利的机会,软件将会根据用户此前的设定在平台之间自动买卖比特币。 研究人员表示,垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的,它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件,其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。 “乍一看,下载的可执行文件似乎是一个良性的库存系统工具,包含很多对 SQL 命令的库存程序的引用。然而,通过进一步的分析,我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验,只是使用了在别处购买的网络钓鱼组件,又或者是对方并不在意钓鱼行为被检测到,只要有用户触发了 VB脚本他们便能够得逞。 据脚本的评论表明,网络钓鱼背后的黑客无意隐瞒其行为 自 2016 年以来,恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传,因为它具有 RAT 软件能够提供的所有功能,并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务(DDoS)攻击。就像其他远程访问木马一样,Orcus还具有密码检索和关键日志功能,可以窃取受害者在其设备上输入的所有内容,并且还可以实时远程执行被感染机器上的任意代码。另外,它还可以在网络摄像头上禁用指示灯,以避免提醒用户他们的网络摄像头处于活动状态,如果用户试图关闭进程则会触发系统蓝屏(BSOD),这也使得用户难以将其从系统中移除。 调查显示,该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org,通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。 研究人员指出,该域名似乎已经注册到了 “ Cobainin Enterprises ”,并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中,研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围,无论开发者如何辩解,这些应用程序被用于网络犯罪活动都已成事实。 相关阅读: 来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》 消息来源:IBTimes,编译:榆榆,审校 :FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

这个 VMware 安装程序有毒,强制终止进程或致系统蓝屏

防病毒软件公司 Malwarebytes 的安全研究员近日发现了恶意软件的一种最新战术,伪装成盗版或破解版的 VMWare 传播恶意软件,一旦发现用户强制终止其进程将会导致系统蓝屏。 研究员解释,在用户安装 VMWare 时,安装程序将会悄悄链接到一个网页下载 Visual Basic 脚本运行,该脚本也将链接到恶意软件在线服务器下载执行另一个 Tempwinlogon.exe 文件,随后自动安装 Bladabindi 远程访问木马(RAT),该木马也被称为 Derusbi 或 njRAT。该木马具有键盘记录功能,会将所有信息传回 IP 37.237.112.*。 目前 malwarebytes 论坛已公布详细的解决方案。 稿源:本站翻译整理,封面来源:百度搜索

新木马”FakeFile”:无需 root 即可执行,针对 openSUSE 以外所有 Linux

据外媒报道,俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”,该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则:如果系统使用的 Linux 发行版是 openSUSE,则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马,具备常见的一系列操作功能。此外木马还可以运行文件、shell命令,获取或设置所需文件和文件夹的权限,终止进程或将其从受感染的主机中移除。最令人担忧的是,木马不需要root权限就可以执行这些操作。 稿源:本站翻译整理,封面来源:百度搜索

巴基斯坦官员遭到针对性网络间谍活动、木马窃取敏感文件

据外媒报道,巴基斯坦政府官员最近遭受来自网络间谍组织的鱼叉式网络钓鱼邮件攻击。攻击者使用 .doc 和 .xls 文件利用 cve-2012-0158 漏洞,实现自动下载安装远程访问木马、窃取敏感文件。安全公司 Forcepoint 发现 代码中用来窃取数据所使用的HTTP请求,与 2013 年 11 月“ BITTER ”间谍组织使用的相同。该后门木马 AndroRAT 被伪装成克什米尔新闻应用,窃取设备中各种类型文档数据。 稿源:本站翻译整理,封面来源:百度搜索