标签: 恶意代码

Chrome 扩展程序包含恶意代码,窃取加密钱包私钥

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。 该扩展名为 Shitcoin Wallet(Chrome 扩展 ID:ckkgmccefffnbbalkmbbgebbojjogffn),于 12 月 9 日启动。 据介绍,Shitcoin Wallet 允许用户管理以太(ETH)币,也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币(初始代币发行)。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins 和 ERC20 tokens;同时,如果用户想从浏览器的高风险环境之外管理资金,则可以安装 Windows桌面应用。 然而,MyCrypto 平台的安全总监 Harry Denley 则在近日发现了该扩展程序包含恶意代码。 根据 Denley 的说法,对用户而言,该扩展存在有两种风险。首先,直接在扩展内管理的任何资金(ETH coins 和基于 ERC0 的代币)都处于风险中。Denley表示,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。 其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展还可以主动注入恶意 JavaScript 代码。此代码将窃取登录凭据和私钥,将数据发送到同一 erc20wallet[.]tk 第三方网站。 根据对恶意代码的分析,该过程如下: 用户安装 Chrome 扩展程序 Chrome 扩展程序请求在 77 个网站上注入 JavaScript(JS)代码的权限 [listed here] 当用户导航到这77个站点中的任何一个时,扩展程序都会从以下位置加载并注入一个附加的 JS 文件:https://erc20wallet[.]tk/js/content_.js 此 JS 文件包含混淆的代码 [deobfuscated here] 该代码在五个网站上激活:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,和 Switcheo.exchange 一旦激活,恶意 JS 代码就会记录用户的登录凭据,搜索存储在五个服务的 dashboards 中的私钥,最后将数据发送到 erc20wallet[.]tk 目前尚不清楚 Shitcoin Wallet 团队是否应对恶意代码负责,或者 Chrome 扩展是否受到第三方的破坏。 参考消息:https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/   (稿源:开源中国,封面源自网络。)

最新报告称黑客正利用 WAV 音频文件隐藏挖矿恶意代码

根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。 在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。 早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。 但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   (稿源:cnBeta,封面源自网络。)

WhatsApp 曝出漏洞 导致以色列间谍软件入侵手机

北京时间5月14日早间消息,《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称,即使用户没有应答WhatsApp呼叫,恶意代码也可以传播。在许多情况下,这样的呼叫会从日志中清除。因此,许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称,这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示:“这次攻击具备一家私营公司的所有特征。该公司与政府合作,提供间谍软件,有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报,分享我们可以提供的信息,并与他们合作告知民间社会。” 报道称,WhatsApp还处于调查起步阶段,目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题,并于周五开始在服务器端部署修复方案。为开发用户端的补丁,WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门,作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示,“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   (稿源:,稿件以及封面源自网络。)

黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。 这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScript npm包。 根据Twitter、GitHub和Hacker News上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当Copay启动(由比特币支付平台BitPay开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。 目前已经确认9月至11月期间,所有版本的Copay钱包都被认为已被感染。今天早些时候,BitPay团队发布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的Event-Stream。 建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本–Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表,其中Event-Stream作为直接或间接依赖项加载。   稿源:cnBeta,封面源自网络;

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据外媒 3 月 16 日报道,在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施: ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

一加 3/3T 被曝可通过恶意适配器入侵,现已修复

一加 3T 凭借着超高的性价比等优势获得了外媒 PhoneArea 的青睐,并评为 2017 年春季最佳手机,然而在众多荣耀和光环的背后却隐藏着一个安全隐患。近日,来自 Aleph Security 的安全研究专家发现一加 3/3T 存在安全问题,能够让攻击者在用户完全不知情的情况下使用恶意适配器来入侵手机。 攻击本质上依赖于两项已经曝光的漏洞,编号分别为能够绕过设备的防御机制并注入恶意代码,而且更为糟糕的是攻击者在破解过程中完全掩盖他们的足迹。 专家通过两段视频证明已经成功破解一加 3 和一加 3T 手机,可以从视频中观察到:只有在设备完全关闭的情况下恶意适配器才能执行入侵设备。即使下次重启过程中并没有连接恶意适配器,攻击者依然能够临时获得设备的 root 权限,从而让用户进入包含有恶意程序的系统。 在攻击者更改完成之后,受害者在不知情的情况下进入包含有恶意程序的系统,从而让攻击者掌握各种隐私数据和相关信息。好消息是这个漏洞仅限于一加 3 和 3T ,使用相同 Oxygen OS 的一加 2 并不存在该问题。Aleph Security 已经将这两个漏洞的详细信息提交给一加公司,在最新发布的 4.0.3 Oxygen OS 系统已经修复了这个 BUG。 稿源:cnBeta;封面源自网络

广告图片像素隐藏恶意代码,“Stegano” 波及欧洲五国新闻网站用户

据外媒报道,在过去的几个月里,数以百万计的用户可能已经在访问主流新闻网站时遭到恶意广告攻击。攻击者在网页广告图片的单个像素中嵌入恶意代码。 安全公司 ESET 的研究员将这起恶意广告事件称为“ Stegano ”。这起事件从 10 月开始,攻击者利用这种技术针对流行的新闻网站。将恶意代码隐藏在定义像素透明度的参数( Alpha Channel)内 ,由于修改幅度较小,用户肉眼几乎无法发现图像的外观改变。 恶意代码首先会检查确定自己不是运行在虚拟机、沙箱或安全软件中,随后将受害者的浏览器重定向至另一页面并利用三个(已修复的) Adobe Flash 漏洞 入侵电脑。此外,对于使用 IE 浏览器访问新闻网站的用户,脚本会利用 IE 漏洞 CVE-2016-0162 进行入侵。 恶意广告攻击波及加拿大,英国,澳大利亚,西班牙和意大利。为避免成为“ Stegano ”活动的受害者,用户必须及时更新系统、软件漏洞,启用安全软件。 稿源:本站翻译整理,封面来源:百度搜索