标签: 恶意软件

CSE ZLab 实验室发布关于 Dark Caracal 间谍组织及其恶意软件分析报告

外媒 2 月 12 日消息,来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出,该恶意软件能够收集目标应用程序的大量敏感数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃,不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的,该活动使用了一系列木马化的 Android 应用程序,旨在从受害者的移动设备中窃取敏感数据。 据悉,在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的? 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本,具体流程是:从合法的应用程序开始,在重新构建 apk 之前注入恶意代码。一般来说,目标应用程序属于特定类别,例如社交聊天应用程序(Whatsapp、Telegram、Primo)、安全聊天应用程序(Signal、Threema)或与安全导航相关的软件(Orbot,Psiphon)。 在恶意软件制作成功之后,攻击者利用社交工程技术欺骗受害者安装恶意软件,比如使用 SMS、Facebook 消息或 Facebook 帖子,诱骗受害用户通过特定网址下载新版流行的应用程序,目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后,攻击者利用恶意应用程序收集大量数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 以下为该木马的具体功能: – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口,以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见: < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;

知名黑客被指入侵澳共享汽车平台 GoGet ,盗窃 33 辆汽车及客户敏感信息

外媒 1 月 31 日消息,澳大利亚警方于近期逮捕了一名 37 岁的男子,因其在去年 5 月至 7 月期间入侵了共享汽车 GoGet 公司的服务系统。据警方表示,该名男子通过非法访问 GoGet 的车队预订系统,下载客户的重要信息(其中包括姓名、住址、电子邮件地址、电话号码、出生日期、驾驶执照、以及 GoGet 管理帐户中的详细信息等)。此外,警方还指控该男子在此期间盗窃了 33 辆汽车。 该男子名为 Cubrilovic,在 2011 年是安全界的突出人物,因为他揭露了 Facebook 的隐私漏洞。其次,在线存储新创公司 Omnidrive 也是由他在 2004 年创立。 有趣的是,调查显示 Cubrilovic 入侵 GoGet 的主要目的是为了免费使用汽车。不光如此,警察还调查到 GoGet 的服务器上存有收集用户信用卡详细信息的恶意软件 。目前警方正在确认是否是该名男子安装了这款恶意软件。 距离事件发生时间七个多月后, GoGet 公司于本周三(1 月 31 日)上午在其电子邮件中向客户道歉,并承诺客户密码以及信用卡的具体信息没有受到影响。澳大利亚警方在近期一份声明中表示,目前尚无客户敏感信息被传播或出现欺诈活动的情况,此案件还在进一步调查中。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:色情诱导恶意软件 去年安卓用户成重灾区

俄罗斯安全公司卡巴斯基实验室本周三发布的一份安全报告称,去年谷歌安卓系统用户中至少有 120 万人遭遇到了色情内容相关的恶意软件,这是安卓设备上感染恶意软件用户总数 490 万人的四分之一。 使用色情内容吸引不知情的受害者点击恶意软件是一个普遍的伎俩,一个黑客团伙使用虚构色情应用在 2017 年在 100 万个安卓手机中盗取了约 89.2 万美元的总额,9 万个机器人构成的僵尸网络在推特中散布色情垃圾信息。卡巴斯基实验室的研究人员称他们几乎在成人网络内容诞生的第一天就看到色情内容,被作为散播恶意软件的诱饵。 在桌面的,卡巴斯基研究者发现色情相关恶意软件感染约 30 万次,比起移动设备发生的相关感染来说非常苍白。研究团队发现了网络上有 23 种针对安卓设备的不同的恶意软件,他们都非常依赖以色情内容作为诱饵。包括勒索病毒、木马等。谷歌拒绝就此置评,因为卡巴斯基的这项结论并未包括任何苹果 iOS 系统设备。 稿源:cnBeta.COM,封面源自网络

神秘大规模虚拟货币挖矿活动影响全球逾 3000 万系统

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动,旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月,涉及全球系统数量约达 3000 万,最受影响的国家有泰国(3,545,437),越南(1,830,065)和土耳其(665,058)。 据安全专家介绍,攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时,只要用户点击链接就会被重定向,随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大,因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件,其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称,可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件,并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外,研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍,去年 10 月 20 日是该货币挖掘行动的一个里程碑,在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。(注意:一般情况下,最终的 playload 主要是由 “ msvc.exe ” 安装的。) 在 10 月 20 日之后,安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起,攻击者改变了恶意软件的攻击策略: 他们不再使用 SFX 文件,而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件,该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项,以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬,攻击者改变了用来部署恶意软件的 dropper: 在放弃 . NET 之后,他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是,这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中,目的是为了获得持久性 。 令人奇怪的是,规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意,相关安全专家认为这种情况很是反常。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

大规模 EvilTraffic 恶意广告活动感染数万 WordPress CMS 网站

外媒 1 月 22 日消息,CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic,利用数万个受感染的网站开展攻击。据悉,黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍,参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本,一旦网站遭到入侵,攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称,但是在未压缩时,它所包含的文件始终具有相同的结构。经过研究人员分析,目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下(“ vomiu ”,“ blsnxw ”,“ yrpowe ”,“ hkfoeyw ”,“ aqkei ”,“ xbiret ”,“ slvkty ”)。该文件夹包含以下内容: ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件,; 它最初只有 “  .suspected ” 扩展名,只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录,其中包含一系列文件。 下图显示了这种结构的一个例子: EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心:如果用户通过网页浏览器接触到它,它首先将流量重定向到“ caforyn.pw ”,然后再重定向到 “ hitcpm.com ”,充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务,目的是为其客户增加流量,但是这种流量是通过损害网站的非法方式产生的。除此之外,这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度,被攻陷的网站必须在搜索引擎上拥有良好的排名。因此,恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时,他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内,受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据,hitcpm.com 排名世界第 132 位,全球互联网用户访问量约为 0.2367% 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据: 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发,例如: ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置,如 DNS,设置,主页等,以便尽可能多地将流量重定向到调度器站点。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

内鬼作祟:俄罗斯南部加油站设备感染恶意软件 ,黑客非法牟利数亿卢布

外媒 1 月 21 日消息,俄罗斯联邦安全局( FSB )发现黑客组织正在实施一项加油站设备的欺诈计划,旨在利用电子加油机上安装的恶意程序,达到在抽送汽油时每加仑减少 3 % 至 7 % 的目的,从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者,并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道, FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ,指控其开发了多个恶意软件程序,并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中,Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外,据 FSB 猜测,欺诈计划可能已为其带来 “ 数亿卢布 (1 人民币相当于 8.99 俄罗斯卢布)”的收益。 FSB 透露,恶意软件不仅可以在加油机上显示虚假数据,允许加油站员工为顾客抽送汽油时每加仑减少 3% 至 7% ,并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是,Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此,远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见: 早在 2014 年,纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年,研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称,遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击,通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源:ThreatPost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件 Zyklon 利用微软 Office 三漏洞收集密码及加密钱包数据

外媒 1 月 17 日消息,FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉,该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的 DDoS (分布式拒绝服务) 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ,自 2016  年就开始出现,通过 Tor  匿名网络与其 C&C (命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在 web 浏览器和电子邮件客户端的密码。此外,根据 FireEye 最近发布的报告,Zyklon 还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中,背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件,这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本,并从 C&C 服务器下载最终 playload。这样一来, 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞: 第一个漏洞:CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象,该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞:CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误,微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似,打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞:在于动态数据交换( DDE ),但微软不承认该漏洞的存在,而是坚称 DDE 只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用 DDE 在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示,目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源:threatpost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

网络现 Meltdown/Spectre 假升级:实为恶意软件

据外媒报道,Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称,假补丁虽然主要针对的是德国用户,但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件,其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件,它能打开更多有效载荷的门,而这些未来可被用到多种场合,包括窃取凭证和其他敏感数据。 Malwarebytes 解释称,一旦该恶意软件感染了电脑,那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似,比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载,而不是任何第三方来源。微软已经就这两个漏洞发布了升级,并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前,反病毒解决方案正在开发中,但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源:cnBeta、封面源自网络;

卡巴斯基:安卓恶意软件 Skygofree 监控能力前所未有

 1 月 17 日凌晨消息,近期,网络安全问题日益突出,恶意软件开发者们也不断竞争,有研究人员发现了一个新的 Android 监视平台,监视内容包括基于位置的录音信息,该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告,“ Skygofree ” 很有可能是一个具有侵略性的安全类软件,该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限,可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息,还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能,当用于处在特定的位置时就自动开启受攻击手机的录音功能,能记录对话和环境噪声。还有一个新功能,那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道:“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发,它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源: 新浪科技,封面源自网络;