标签: 垃圾邮件

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER  下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:2017 年报告技术支持骗局超 15.3 万起 比去年增长 24%

近年来技术支持诈骗已经成为窃取用户个人信息的主要方式,除了传统的邮件、伪造的网站和各种错误警告之外,黑客还会利用各种恶意软件以及未经请求的电话方式来开展恶意活动。然而外媒 ZDNet 表示,这种情况在未来只会变得更加糟糕。 在刚刚过去的 2017 年,微软客户支付服务收到来自全球 183 个国家,总共超过 15.3 起关于技术支持诈骗的案件。Windows Defender 研究项目经理 Erik Wahlstrom 表示,案件数量比 2016 年多了 24%。 Wahlstrom 表示除了个人被窃取之外,在这些案件中还有15%的人会遭遇经济损失,平均损失在 200 美元至 400 美元之间。去年 12 月份,就有不少人被诈骗为伪装的安全软件支付 25 美元。同月,微软收到来自荷兰的技术支持诈骗,结果用户银行账户损失了 89000 欧元(约合 68.7 万人民币)。 稿源:cnBeta,封面源自网络。

垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于): -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传,下载和执行文件 XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能: -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作(读取,写入和操作) -进程操作(执行和终止) -服务操作(停止,启动,创建和修改) -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析: 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

用加密货币对抗垃圾邮件也许并不是个好主意

据外媒报道,随着越来越多数据泄露事件的发生并最终导致曝光邮箱 ID,电子邮件垃圾信息正开始不断变成一种威胁。对此,许多公司开始寻找解决方案,其中一个较为流行的就是向那些不知来历的邮件提供回应。 据了解,该方法的运转主要依靠一份用户白名单。在这份名单上出现的邮箱 ID 则都是用户想要接收的目标,其余未在名单内的则会在发给用户之后收到自动回复电子邮件,届时他们将有两个选择–“进入白名单”和“付钱”。 大部分服务接受的都是法定货币,但也不乏一些接收加密货币支付的。像 Earn.com,它就允许用户通过比特币支付。 区块链初创公司 BitBounce 也已经为用户提供了类似的服务,然而其跟 Earn.com 以及其他竞争者最大的不同就在于它允许用户使用它自己的加密货币 Credo 代币。一封邮件的默认价格是 0.05 美元,其中 70% 将归用户所有,如果用户愿意可以将提成降低或提高。 截止到目前,BitBounce 软件在 Google Play Store 的下载量已经超过了 5 万并还获得了 4.5 分的评分,然而问题是,这个通过 CREDO 代币展开的交易是否比比特币更高效? 对于比特币、以太坊等加密货币来说,它们的交易成本较大,所以当交易额很小的情况下那么交易的速度则会慢很多。也就是说,这些加密货币对于那些小额交易并不是什么好选择。 不过以太坊区块链的交易费仍适用于 CREDO 代币,然而正如 BitBounce 自己也指出的那样,当需要暂停分发CREDO代币的时候,以太坊的交易费可能要增加到每笔1美元甚至更多。 最近似乎非常流行把所有的东西都放到区块链上然后建立一个 ICO,但是这种做法真的能让一切变好吗?就从现在情况来看,至少在对抗垃圾邮件中它似乎并没有起到什么作用。 稿源:cnBeta,封面源自网络

西班牙将掌管垃圾邮件网络俄罗斯程序员引渡给美国

2017 年 4 月,来自圣彼得堡的 37 岁的彼得·列瓦绍夫(Peter Pyotr Levashov)在与他的家人在巴塞罗那度假时,因列瓦绍夫涉嫌在美实施网络诈骗等网络犯罪,西班牙警方应美方请求将其逮捕。星期五晚上,康涅狄格州布里奇波特的联邦法院对他进行了审讯,虽然列瓦绍夫不认罪,但是依然被拘留了。 列瓦索夫的律师声称这起案件是出于政治动机,并争辩说,他应该在西班牙受审,因为有证据表明他在圣彼得堡学习期间通过某种方式窃取了俄罗斯国家机密。 西班牙国家法院 2017 年 10 月份就批准了引渡,驳回了俄罗斯的反引渡要求。西班牙国家警察星期五发表声明说,已经将列瓦绍夫交给了美国警方。 美国当局表示,列瓦绍夫从事犯罪活动多年,主要通过制造僵尸网络的方式,在用户不知情的情况下远程控制其受感染设备。 去年一项起诉书指控说,列瓦绍夫传播的僵尸网络,有时涉及到超过 10 万台计算机,这些僵尸网络能够发出数十亿封垃圾邮件。 这些计算机会发送电子邮件宣传假冒药品,收集用户的登录信息,并安装拦截银行账号密码的恶意软件,只需要一天,该网络就可以发送超过 2500 封垃圾邮件。 稿源:cnBeta.com,封面源自网络

全球最大僵尸网络 Necurs: 一反常态“殷勤”推销 Swisscoin 加密货币

外媒 1 月 17 日消息,全球最大的垃圾邮件僵尸网络 Necurs 已发出数百万封垃圾邮件,旨在推送一种鲜为人知的加密货币——Swisscoin 。目前垃圾邮件活动已导致 Swisscoin 损失了最初交易价格的 40% ,不过 Necurs 在其中扮演什么角色还尚未可知。 通常这种垃圾邮件被称为抽运和转储,依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣。垃圾邮件发送者预先以低价购买股票,当垃圾邮件活动抬高价格时,则以较高的价格出售股票。 第一次推动加密货币 Necurs 多年来一直从事发送垃圾邮件的网络犯罪活动,比如传播 Dridex 银行木马和一些勒索软件。但值得注意的是,Necurs 于本周第一次通过大型垃圾邮件活动宣传 Swisscoin 加密货币 ,而不是像往常一样推送低价股票。 有关 Swisscoin 的交易行为在去年的一份报告中被描述为一种多层面营销 ( MLM ) 的庞氏骗局。这种交易经过短暂停止后于 1 月 15 日恢复运营,并且垃圾邮件也在当天开始传播。目前 Necurs 僵尸网络已派出三种不同的垃圾邮件,以下为邮件主题: This crypto coin could go up fifty thousand percent this year (这个加密货币今年可能会上涨 5 万美元) Let me tell you about one crypto currency that could turn 1000 bucks into 1 million(让我告诉你一种可以将 1000 美元变成 100 万美元的加密货币) Forget about bitcoin, there’s a way better coin you can buy (忘掉比特币吧,你可以买到更好的加密货币) 据初步统计,自从垃圾邮件发出后,加密货币损失了其最初交易价格的 40%。 因为之前没有类似的垃圾邮件活动作为参考物,所以目前并不清楚 Necurs 对 Swisscoin 交易价格有什么影响,不过研究人员认为比特币的下滑可能会对 Swisscoin 的价格造成一些波动。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

匿名攻击者向 7.11 亿电子邮件账户群发银行木马病毒 Ursnif

据外媒 8 月 29 日报道,法国安全研究人员近期在荷兰的一台 “ 开放且可访问 ” 的垃圾邮件服务器上发现一个庞大的数据库,其中包含逾 7.11 亿电子邮件地址,以及来自全球数百万个 SMTP 登录凭证。调查显示,匿名攻击者主要利用该批电子邮件账户群发银行木马病毒 Ursnif。 研究人员经调查发现,通常情况下垃圾邮件主要是为发布广告以获取流量收益, 但这次的垃圾邮件群发主要是为了盗取银行账号信息,即邮件冒充各种通知信件或订单确认信息等,诱骗受害者点击链接进入攻击者事先设置的钓鱼网站。与此同时,攻击者还利用该邮件传播木马病毒 Ursnif。目前,研究人员称全球超过 10 万台电脑已感染该病毒。 据悉,群发垃圾邮件进行广告营销或者钓鱼攻击本身不是新鲜事件,因绝大多数邮箱也会自动拦截这钓鱼邮件。但这次事件中的攻击者改变了策略:利用其它资料泄露事件暴露的正常邮箱分批群发垃圾邮件躲避拦截。网上现今仍可找到诸如 LinkedIn 等泄露的数据,其中很多用户的电子邮件账户密码至今还未进行更改。因此攻击者利用这些正常邮件账户群发垃圾邮件可有效躲避拦截,最终达到广告传播并进行钓鱼攻击的目的。 目前,基于安全考虑该事件的研究人员并未发布具体文件信息,而是联系了当地的执法部门迅速获取这些数据,之后将由执法部门继续追查服务器所有者以及背后操纵者真实身份。此外,研究人员强烈建议受影响用户当即更改密码并启用双重身份认证。 本文根据 thehackernews 与 蓝点网 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告 》新鲜出炉

卡巴斯基实验室( Kaspersky  Lab )研究人员于  23 日发布《 2017 年 Q2 垃圾邮件与网络钓鱼分析报告》,指出在全球电子邮件流量中垃圾邮件的平均份额已达到 56.97%,相比上一季度增长 1.07 个百分点。调查显示,其中多数群发的垃圾邮件均以各种研讨会与培训为主题附带恶意软件进行肆意传播。 图一:2017 年第二季度十大最受 “ 欢迎 ” 的恶意软件家族 报告指出,卡巴斯基反钓鱼系统于 2017 年第二季度成功阻止全球用户超过 4650 万次的网络钓鱼页面访问。目前全球有 8.26% 的目标用户受到 “ 钓鱼者 ” 攻击,值得注意的是,“ 钓鱼者 ” 在早期攻击活动中依靠用户的粗心与低水平技术窃取敏感数据,然而,随着用户变得越来越精通网络,钓鱼者不得不想出新颖的花样引诱用户访问钓鱼网站,比如伪造知名组织域名。 图二:攻击者伪造苹果域名页面 研究人员表示,巴西(18.09%)是 2017 年第二季度受到网络钓鱼攻击影响最大的国家,尽管其份额比上季度下降 1.07 个百分点。此外,遭受攻击的中国用户百分比下降 7.24 个百分点(达 12.85%),目前居全球第二。 图三:2017 年第二季度受网络钓鱼攻击最为严重的十大国家 图四:2017 年第二季度反钓鱼系统被触发的用户数量分布 图五:2017 年第二季度垃圾邮件来源国家 研究人员在不同类别的金融组织中发现,银行(23.49%,-2.33 pp)、支付系统(18.40%,+4.8 pp)与在线商店(9.58%,-1.31 pp)是 2017 年第二季度网络钓鱼攻击的主要目标。 图六:2017 年第二季度,不同类别的金融组织受网络钓鱼攻击影响分布 卡巴斯基研究人员提醒用户不要轻易点击非官方域名或打开未知名电子邮件、关闭网络文件共享功能并确保用户安装全方位杀毒软件以避免遭受网络钓鱼攻击。 卡巴斯基详细报告内容请点击右侧链接《 Spam and phishing in Q2 2017 》 原作者:Kaspersky  Lab, 译者:青楚    本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以色列政府挫败重大网络攻击事件,或涉及境外政府

据 haaretz 报道,以色列政府在严批新网络防御法案之后,成功破获一起针对 120 个目标的重大网络攻击案件。政府方面推测,该起攻击事件与境外政府存有潜在联系。 以色列总理办公室( PMO )于 26 日发布紧急公告:停止新网络防御法案立法并对其进行严格审查,以提出更完善法案。据悉,新网络防御法案旨在授予网络权威机构更广泛权力,但未明确其目的,或将严重危害网络安全领域的核心行动。 以色列网络防御机构主要负责捍卫国家网络安全。近期,该机构警示境外政府针对以色列展开大规模网络攻击计划。据机构负责人表示,攻击者假冒合法无名组织开展鱼叉式网络钓鱼活动,利用 Microsoft Word 漏洞、伪造学术机构与私营企业服务器地址发送垃圾邮件。目前,该邮件已发送至 120 个目标邮箱,其中主要包括以色列组织、政府与个人。 原作者:Pierluigi Paganini, 译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接