标签: 恶意程序

这款伪装成 Flash Player 安装器的挖矿应用真的会更新你的 Flash

加密货币的挖矿恶意程序正伪装成Adobe Flash Player安装程序来传播挖矿恶意程序。虽然这种套路并非首次见到,但这款恶意挖矿应用会在更新Flash Player过程中安装挖矿应用。 伪装成Flash Player安装器的挖矿恶意应用并不新鲜,但过去通常只会安装挖矿应用然后退出,或者打开浏览器访问Adobe Flash Player的网站。 Palo Alto Unit 42研究员 Brad Duncan发现的最新恶意软件中,不仅会安装XMRig挖矿应用,而且会自动对Flash Player进行更新。这样在安装过程中不会引起用户的怀疑,从而进一步隐藏了它的真正意图。 Duncan表示:“这款安装器会真的访问Adobe的服务器来检查是否有新的Flash Player。整个安装过程中和正式版基本上没有差别。”这样用户以为正常升级Flash的背后,安装了coinminer的挖矿应用。一旦设备受到感染,就会连接xmr-eu1.nanopool.org的挖矿池,开始使用100%的CPU计算能力来挖掘Monero数字货币。   稿源:cnBeta,封面源自网络;

英特尔发布新技术,利用内置 GPU 扫描恶意程序

英特尔昨天在 RSA 2018 安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示,这项新功能让杀毒引擎减少 CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式 GPU 还会节省电池寿命。 给杀软跑分 目前,所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。 “英特尔测试系统跑分显示,CPU 利用率从 20% 下降到仅 2% ,”英特尔副总裁 Rick Echevarria 在新闻稿中提到。 Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP),已经使用该功能。 其他英特尔安全功能 除了加速内存扫描外,英特尔还在昨天的 RSA 活动上推出了另外两项新技术。 一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。 二是 Intel Security Essentials,它是一系列可信根硬件安全功能的集合,部署在英特尔的 Core,Xeon 和 Atom 处理器系列中。 “这些功能是用于安全启动、硬件保护(用于数据,密钥和其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序,”Echevarria 说。 尽管没有透露任何其他细节,英特尔表示,Security Essentials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。 稿源:freebuf,封面源自网络;

五万 Minecraft 用户感染了格式化硬盘的恶意程序

安全公司 Avast 报告,近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂,被认为是拷贝了已有代码,但它的隐藏在修改的游戏皮肤中,上传到了 Minecraft 官方网站,因为托管在官方域名,当安全软件弹出警告后可能会被用户认为是误报。 Minecraft 是最受欢迎的沙盒游戏之一,截至 2018 年 1 月全世界有 7400 万玩家,但只有一下部分上传修改的皮肤,绝大部分使用默认皮肤,所以只有一小部分人被感染。 稿源:cnBeta、solidot,封面源自网络;

“CIGslip”的隐形攻击技术可绕过微软 CIG 安全策略加载恶意程序

外媒 3 月 9 日消息,以色列安全公司 Morphisec 的安全研究人员发现了一种被称为“CIGslip”的隐形攻击技术,攻击者可以利用它来绕过微软代码完整性保护( Code Integrity Guard,CIG),并将未签名的恶意程序库加载到受保护的进程中。 CIG 是微软在 2015 年推出的安全机制,微软将其作为 Edge 浏览器安全缓解措施的一部分。 研究人员开发了一个利用非 CIG 支持进程的攻击 POC,旨在潜入一个支持 CIG 的目标进程中,达到在任何类型的 DLL 上加载恶意代码的目的。 例如,攻击者能够使用 CIGslip 将恶意软件插入到 Edge 浏览器,并且由于使用了 CIG ,第三方安全厂商很难对 Edge 浏览器进行保护,因为每一个 DLL 想要作用于受 CIG 保护的进程要先取得微软的签名。 Morphisec 声称已向微软报告了这一问题,但据微软公司回应,该技术超出了缓解措施的范围,也超出了漏洞防御和奖励计划范围但表示会对这个漏洞进行修复。 相关链接: “CIGslip”隐形攻击技术相关 POC 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

日本知名游戏开发商 NIS 美国分部在线商城的客户支付卡数据被盗

外媒 3 月 5 日消息,日本游戏开发商 Nippon Ichi Software 透露,其美国分公司 NIS America 的网上商城 store.nisamerica.com 和 snkonlinestore.com 于 1 月 23 日至 2 月 26 日的某个时间段遭受了严重的数据泄露,可能会影响在线客户的个人信息和财务数据。 根据 NIS America 上周向受影响客户发的一封电子邮件得知,该公司在 2 月 26 日上午发现其结账页面被链接了一个恶意程序,具体流程为: 黑客设法在用户下单后获取其付款卡细节和个人信息,然后恶意程序将用户返回到 NIS America 存储页面,以完成进一步的欺骗交易。 邮件中并未提及具体有多少客户在此次事件中受到了影响,也没有提供进一步的攻击详情。为了表示歉意,该公司通过其在线商店向客户提供了 5 美元的优惠折扣。 目前 NIS America 表示他们已解决了此次恶意事件,并增加了新的安全措施来提高其在线商城的安全性。此外,NIS America 建议客户更改帐户密码,并监控其银行或信用卡帐单的可疑活动,以及注意欺诈性电子邮件、文本、电话或请求个人信息的可疑网站。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客正在销售合法的代码签名证书

安全研究人员报告,黑客正在销售合法的代码签名证书去签名恶意代码绕过恶意程序检测。流行的操作系统如 Mac 默认只允许运行使用有效签名的应用。黑客或恶意程序作者为了绕过恶意程序检测通常会利用窃取的企业证书签名代码。 然而研究人员发现黑客销售的证书来自知名的 CA 如 Comodo、 Symantec 和 Thawte,甚至还有苹果,普通证书售价 299 美元,EV 证书售价 1599 美元。 研究人员称,黑客在六个月内售出了 60 多个证书,但随着更廉价的混淆技术的流行销量出现了下滑。 稿源:cnBeta、solidot,封面源自网络;

Mac 恶意程序在 13 年中偷拍了百万用户的照片

安全研究人员去年报告发现了一种神秘的 Mac 恶意程序,它能截屏、记录按键,访问摄像头和获取其它敏感信息。被称为 Fruitfly 的恶意程序的活跃时间至少五年,甚至可能长达十年。现在,根据本周公开的起诉书,该恶意程序存在有 13 年之久。 被告 Phillip R. Durachinsky 使用该恶意程序启动摄像头和麦克风,拍摄和下载截屏、记录按键、窃取税务和医疗记录,照片、互联网搜索和银行交易,恶意程序甚至会在用户搜索色情时警告他。 恶意程序感染了包括个人,警方甚至美国能源部的计算机。 起诉书称,Durachinsky 甚至开发了一个控制面板,让他能同时浏览多个感染计算机的实况画面。起诉书称,他还制作了未成年人性行为的图像。 稿源:cnBeta、solidot,封面源自网络;

Windows 内核 Bug 阻止安全软件识别恶意程序

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉,该 Bug 影响 PsSetLoadImageNotifyRoutine,它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名,并将恶意程序伪装成合法操作。 安全研究员称,该 bug 影响 Windows 2000 之后的所有版本,包括最近发布的 Windows 10。研究人员称,微软不认为这是一个安全问题。 稿源:cnBeta、solidot奇客,封面源自网络;