标签: 恶意软件

微软将防病毒软件添加到 Office 应用程序以解决宏恶意软件问题

微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和WindowsDefender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。   稿源:cnBeta,封面源自网络;

CoinHive 挖矿劫持仍在肆虐 至少 28 万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。 截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。 8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。 攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。 最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。 一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。 Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。 安全研究人员 Lukas Stefanko 指出,最近持续的威胁很是严重。因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。 由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。 如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。     稿源:cnBeta,编译自:TNW,封面源自网络;

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

Twitter 清理逾 14.3 万款应用 防止剑桥分析式丑闻

凤凰网科技讯 据《财富》北京时间7月25日报道,Twitter当地时间星期二表示,它在2018年4-6月期间对恶意应用进行了清理,共下架逾14.3万款应用。Twitter曾在一篇博文中称,它“不容忍利用我们的API(应用编程接口)制造垃圾信息、操控会话、借助Twitter侵犯人们的隐私”。 Twitter清理恶意应用正值Facebook的剑桥分析数据泄露丑闻发酵之际。Facebook面临国会议员的激烈批评:没有能阻止一名学术研究人员通过在其平台上开发的一款应用窃取大量用户信息。 与Facebook和谷歌旗下YouTube一样,Twitter也因没有能阻止俄罗斯相关部门在其服务上创建账户,在美国大选期间传播虚假信息受到密切关注。 Twitter没有披露从4月起开始清理其平台上恶意应用的原因,但可能与Facebook的剑桥分析数据泄露丑闻有关。这一丑闻彰显了各大互联网公司平台上第三方应用的普遍性,以及它们对第三方应用开发者如何使用其用户数据漠不关心。 Twitter没有披露被清理的具体应用,但称发送垃圾信息、自动执行恶意操作、监视和侵犯隐私的应用都在被清理之列。 Twitter现在还要求,希望使用“Twitter标准和高级API”的所有开发者都需要完成一个申请过程。 Twitter高管在博文中称,“我们知道,新的过程增加了开发应用所需要的准备步骤和时间。我们的目标是,打造开发者遵守我们相关规则的平台,有利于第三方开发者顺利地开展业务。”   稿源:凤凰网科技,封面源自网络;

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件伪装成《堡垒之夜》作弊外挂 作弊者遭感染被投送恶意广告

《绝地求生》《堡垒之夜》这些现象级游戏背后最令人厌恶的非作弊行为莫属,近日有尝试使用作弊外挂的《堡垒之夜》玩家感染恶意软件被劫持用于中间人攻击,注入各类恶意广告,而他们都曾经尝试过下载一款伪装成自瞄功能的外挂软件。 近日,据串流软游戏软件Rainway报道,从6月26日开始他们收到了超过38.1万起错误报告。通过发掘日志公司工程师发现,这些用户尽管有者不同的硬件和IP,但他们都曾经在平台串流玩过《堡垒之夜》,而造成这一异常错误报告现象的原因是这些感染了恶意软件的玩家,发起中间人攻击试图通过Rainway服务器代理向多个广告平台发起连接请求。由于Rainway采用了内部白名单,这些无法连接的请求产生了许多错误报告。工程师通过网址追踪到了这一恶意软件的源头,并且对比数千种外挂插件,找到了使用相同URL的《堡垒之夜》外挂插件。这一外挂插件号称能够提供自瞄功能,并且获得免费的V货币。 而起真实的目的是让作弊者劫持发动中间人攻击,投送多个广告或者恶意网址。工程师发现这一伪装成作弊外挂的恶意软件已经被下载了超过7.8万次。   稿源:cnBeta,封面源自网络;

特斯拉起诉前员工:黑进内部生产系统 盗取并泄露机密数据

新浪科技讯 北京时间6月21日凌晨消息,本周三,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名前员工,称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。 据诉讼文件显示,特斯拉起诉了曾在内华达州Tesla Gigafactory超级工厂工作的前过程技术人员马丁·特里普(Martin Tripp)。该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。 特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。 另外,特里普还向媒体发表不实言论。诉讼文件写道:“特里普曾称有缺陷的电池元组被用在了部分特斯拉Model 3车型中,而事实上并没有。特里普还夸大了特斯拉在生产制造过程中生产的有缺陷物料的数量。” 诉讼文件写道:“在特里普加入特斯拉几个月后,特里普的领导认为他的工作绩效不佳,并时常与同事发生冲突。由于这些原因,在2018年5月17日前后,特里普被安排到了新岗位。特里普对此表示不满。” 本周早些时候,特斯拉首席执行官伊隆·马斯克(Elon Musk)在一封发给员工的邮件中提到,有一名员工曾对公司的运营造成“持续性的、蓄意的破坏”。马斯克写道:“他的全部罪行还不清楚,就他已经承认的来说,影响极坏。”   稿源:新浪科技,封面源自网络;

俄罗斯 Telegrab 恶意软件获取桌面版 Telegram 的凭证、cookie、桌面缓存和关键文件

思科 Talos 集团的安全专家发现了一种新型的恶意软件 Telegrab ,针对桌面版端到端加密即时消息服务 Telegram 发起攻击。 分析表明,这个恶意软件是由现一个讲俄语的攻击者开发的,目标受害者是讲俄语的用户。 研究人员捕获的恶意代码是 Telegrab 恶意软件的一个变体,于 2018 年 4 月 4 日首次出现在野利用,目的是从 Telegram 应用程序中收集缓存和关键文件。第二个版本于 2018 年 4 月 10 日出现,与第一版不同,这一版除了搜集文本文件、浏览器凭证和 cookie 以外,还能获取桌面版 Telegram 的缓存以及移动登录凭证,进而劫持活跃的 Telegram 会话。 Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。幕后攻击者使用多个pcloud.com硬编码帐户来存储泄密数据,被盗信息未经过加密,导致任何访问这些帐户凭证的人都可以获取泄露数据。   稿源:Freebuf,封面源自网络;

Nigelthorn 恶意软件滥用 Chrome 扩展感染超过 10 万个系统

近日,研究人员发现名为 Nigelthorn 的恶意软件异常活跃,利用 Google Chrome 扩展程序 Nigelify 发起攻击,已经感染了 100 多个国家超过 10 万个计算机系统。被感染的计算机大多位于菲律宾、委内瑞拉以及厄瓜多尔。 这个恶意软件可以窃取凭证、挖矿,还能实行点击劫持以及其他恶意活动。 研究人员表示,该恶意软件主要利用 Facebook中的链接传播,受害者点击链接之后,会被重定向到虚假的 YouTube 页面,并被诱导下载并安装有助于播放视频的 Chrome 扩展程序。一旦受害者点击安装,恶意软件就会以扩展程序的方式添加到浏览器中。不管是 Windows 系统还是 Linux 系统,只要运行 Chrome 浏览器,就有可能遭到相关攻击。 稿源:Freebuf,封面源自网络;

PANDA Banker 恶意软件攻击银行机构、加密货币交易平台以及社交媒体

安全公司 F5 近日发布报告,称黑客利用 PANDA Banker 恶意软件频繁攻击银行机构、加密货币交易平台以及社交媒体。 PANDA Banker 的主要特征是窃取账号和凭证,进而利用“man in the browser”攻击窃取受害者财物。 F5 表示,PANDA Banker 持续针对日本公司发起攻击,同时,美国、加拿大以及拉丁美洲的金融机构也没能幸免。报告表明,PANDA Banker 最初只攻击全球的金融服务,但随着全球掀起加密货币热潮,在线加密货币交易服务也成了 PANDA Banker 的目标。社交媒体、搜索网站、电子邮件甚至成人网站等可能被用于挖矿的途径也都纷纷沦陷。 稿源:Freebuf,封面源自网络;