标签: 恶意软件

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型 ATM 恶意软件 ATMJackpot 出现,专家预测即将在野外现身

Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港,并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比,此恶意软件的系统占用空间更小。 目前还不清楚 ATMJackpot 恶意软件的攻击媒介,通常是这种恶意软件是通过 ATM 上的 USB 手动安装的,还是从受损的网络下载的。 ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中,然后恶意代码创建该窗口,在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API,以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件,然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。 一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出命令。专家认为,恶意软件的作者将继续改进它,他们预计它很快就会在野外发现。 美国特勤局警告称,网络犯罪分子针对美国的 ATM 机器,迫使他们通过“ jackpotting ”攻击吐出数百美元,近几年 ATM 机累积奖金攻击的数量正在增加。 2017 年 5 月,欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案,2017 年 9 月,欧洲警察组织警告说,ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机,这些业务涉及钱币骡子的出钱。此外,几周前,据称 Carbanak 集团的负责人在西班牙被警方逮捕,因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑(10 亿欧元)。 消息来源:东方安全,封面源自网络;

谷歌将禁止所有加密货币挖矿扩展程序进入 Chrome 商店

谷歌周一在 Chromium 博客中发文称,该公司将不允许任何新的加密数字货币“ 挖矿 ”扩展程序进入 Chrome 浏览器的网络商店,而此前已经进入了这个商店的挖矿扩展程序也将在不久之后被移除。谷歌 Play Store 应用商店中已有大量基于数字加密技术的虚假应用,这些应用以“抢劫”下载者、获取用户数据或秘密为第三方开采加密数字货币而闻名。 而现在看来类似的问题已在 Chrome Store 网络商店中浮出水面,有些挖矿扩展程序未遵守谷歌的相关政策。 谷歌在博文中称:“到目前为止,Chrome Web Store 的政策允许上传加密数字货币挖矿扩展程序,前提为挖矿是其唯一用途,并需就挖矿行为向用户发出适当的通知。不幸的是,在开发者尝试向 Chrome Web Store 上传的带有挖矿脚本的扩展程序中,约有 90% 都并未遵循这些政策,因此已被拒绝进入该商店或已被移除。从今天开始,Chrome Web Store 将不再接受开采加密数字货币的扩展程序,现有扩展程序将于 6 月底被下架。区块链相关用途而非挖矿用途的扩展程序则仍可继续上传到 Chrome Web Store。” 虽然 Facebook、职业社交网站领英(LinkedIn)、Twitter、谷歌、“阅后即焚”通信应用 Snapchat 和邮件营销工具 MailChimp 都已禁止对 ICO(首次代币发行)或其他区块链相关产品做广告,但谷歌看起来不会对区块链而非挖矿用途的扩展程序“动刀”,这对 MetaMask 等服务来说是个好消息。 当然,谷歌致力于打击的并非只有明确与挖矿相关的扩展程序。举例来说,号称可“保护浏览”的扩展程序 MetaMask 被发现在后台秘密开采门罗币(Monero),而该程序的 14 万余名用户对此毫不知情,更不必说同意其这样做了。 稿源:cnBeta、新浪科技,封面源自网络;

恶意软件攻击沙特阿拉伯石油工厂,试图引发爆炸

网络攻击可能会导致企业头痛和收入损失。但是,沙特阿拉伯一家石油化工企业于 8 月份在工厂发现的恶意软件旨在破坏设备,并可能导致爆炸,从而摧毁整个工厂。据调查人员表示,攻击失败的唯一原因是由于导致系统关闭的违规代码存在缺陷。如果恶意软件被正确写入,后果将不堪设想。 相信政治动机可能是这种攻击的原因,由于攻击代码的复杂性,相信背后有敌对政府支持。由于整个行业使用相同的工业控制器,因此担心可能会对其他化学加工设施发起相同的攻击。施耐德电气销售了超过 13000 套易于受到攻击的 Triconex 安全控制器系统。 软件分析显示,迄今尚未在任何其他系统上发现使用的代码。为了设计使用的恶意软件,开发人员能够提前访问 Triconex 安全系统组件以进行测试几乎是必不可少的。调查人员表示,所需零件在 eBay 上的价格约为 4 万美元。 美国政府实体和私人安全公司Mandiant仍然在处理这一事件。国家安全局,联邦调查局,国土安全部以及国防高级研究计划局(DARPA)都在努力收集尽可能多的信息。虽然关于攻击实际如何工作的信息很少,但相信恶意代码可以被远程注入,从而使得另一次攻击的威胁很高。 稿源:cnBeta,封面源自网络

攻击者推送后门版 BitTorrent 客户端, 12 小时内感染逾 50 万计算机

外媒 3 月 14 日消息,上周在俄罗斯和欧洲中部地区发生了大规模的恶意软件入侵事件, 几个小时内就有接近 50 万台的计算机受到加密货币挖掘软件的感染。虽然当时微软没有立即说明造成该事件的具体原因,不过却在近日透露这是由于 BitTorrent 客户端的后台版本 MediaGet 引起的。 根据微软方面的说法,攻击者针对 MediaGet BitTorrent 软件的更新机制,将其木马化的版本(mediaget.exe)推送到用户的计算机上。这个新的 mediaget.exe 程序与原始程序具有相同的功能,但是却具有额外的后门功能。 一旦用户更新,具有额外后门功能的恶意 BitTorrent 软件将会随机连接到其分布式 Namecoin 网络基础架构上的一个命令与控制(C&C)服务器(共四个服务器),并监听新的命令。随后,恶意软件立即从 C&C 服务器下载挖矿组件,开始利用受感染用户的计算机挖掘加密货币。除此之外,使用 C&C 服务器,攻击者还可以命令受感染的系统从远程 URL 下载和安装其他的恶意软件。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:加密货币挖矿类恶意软件 已成为一项增长的威胁

微软刚刚刚宣布,加密货币挖矿类恶意软件,已经成为了当下增长的一项威胁。最新研究指出,自比特币价格在 2017 年出现暴涨以来,越来越多的犯罪分子将他们的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。微软通过 Windows Defender 收集的遥测数据得出了这项结论。 2017 年 9 月 – 2018 年 1 月间,平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测,这些挖矿类恶意软件,似乎是从勒索软件转移而来的: 有趣的是,在加密货币挖矿类恶意软件增长的同时、勒索软件的数量却有下降的趋势。 两者之间是否有必然的联系?网络犯罪分子是否已经将注意力转移到了加密货币的挖矿,并将之作为他们的主要收入来源? 虽然他们不大可能在短期内完全放弃随机勒索,但是从加密货币挖矿类木马的增多形势来看,攻击者肯定在探索这种非法赚钱的新方法的可能性。 自去年 9 月以来,微软已经注意到,被拿来挖矿的企业计算机有大量增加的趋势。应用程序的恶意看似不大,但它们多数未经授权;甚至员工可以利用巨大的算力,来赚一笔快钱。 微软指出,只要启用“潜在不需要的应用程序防护”(PUA)功能,企业就能够很好地预防这类情况的发生。仅在今年 1 月,加密货币挖矿就占据了 PUA 拦截量的 6% 。 最后,微软推荐用户和企业使用 Microsoft Edge 浏览器、Windows Defender SmartScreen、以及 Windows Defender 反病毒软件,以减少来自恶意网站的攻击。 稿源:cnBeta,封面源自网络;

调查显示 macOS 恶意软件数量去年增加了 270%

之前人们普遍认为 MacOS 是 Windows 10 的安全替代品,因为 Apple 的操作系统不会受到病毒的感染。就安全性而言,Windows 和 MacOS 的安全性之争现在已经不再那么有意义了,因为两个平台都受到越来越多的恶意软件的攻击。 根据 Malwarebytes 安全报告显示,去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%,并且今年年初发现了一共四个不同的重大安全漏洞。换句话说,MacOS 恶意软件在 2018 年的发展有可能持续增长,用户需要更加关注他们的网络安全。 Malwarebytes 以 OSX.MaMi 恶意软件为例,这种恶意软件试图引导用户互联网流量到钓鱼网站,并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot 再次损害 MacOS 的安全性,正在运行苹果桌面操作系统的用户应该更加谨慎针,不要从不受信任的来源打开内容或访问他们不知道的网站。 Malwarebytes 表示,普通的 Mac 用户无法抵御恶意软件感染,更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性,因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此,苹果有望减少对新功能的关注,并花更多时间提升安全性和性能。 稿源:cnBeta,封面源自网络  

恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件,当用户打开这个 PDF 时,附件中一个试图利用 DirectX 漏洞(CVE-2017-8579 )的 RTF 文件也将被打开。研究人员发现,该 RTF 文件引用了嵌 入式远程对象(一个包含编码 PowerShell 命令的 HTA 文件)。一旦从远程服务器获取到,该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后,才能成功提取 ComboJack ,而为了实现持久性,ComboJack 还会设置一个注册表项。 这些步骤完成后,ComboJack 将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,ComboJack 将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。 研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源:securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

CSE ZLab 实验室发布关于 Dark Caracal 间谍组织及其恶意软件分析报告

外媒 2 月 12 日消息,来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出,该恶意软件能够收集目标应用程序的大量敏感数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃,不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的,该活动使用了一系列木马化的 Android 应用程序,旨在从受害者的移动设备中窃取敏感数据。 据悉,在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的? 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本,具体流程是:从合法的应用程序开始,在重新构建 apk 之前注入恶意代码。一般来说,目标应用程序属于特定类别,例如社交聊天应用程序(Whatsapp、Telegram、Primo)、安全聊天应用程序(Signal、Threema)或与安全导航相关的软件(Orbot,Psiphon)。 在恶意软件制作成功之后,攻击者利用社交工程技术欺骗受害者安装恶意软件,比如使用 SMS、Facebook 消息或 Facebook 帖子,诱骗受害用户通过特定网址下载新版流行的应用程序,目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后,攻击者利用恶意应用程序收集大量数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 以下为该木马的具体功能: – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口,以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见: < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;