标签: 恶意软件

T-RAT 2.0:通过智能手机控制恶意软件

恶意软件攻击者希望通过便利功能吸引客户。现在,攻击者只需使用智能手机和Telegram应用程序,就可以远程控制恶意软件。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1379/       消息与封面来源:GDATA  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Purple Fox EK |新的 CVE、隐写术和虚拟化被添加到攻击流中

最近几周,攻击者利用Purple Fox攻击Internet Explorer的次数激增。 我们的调查显示,Purple Fox利用了两个最新的CVEs—CVE-2020-1054和CVE-2019-0808。 此外,我们还注意到他们的攻击流发生了变化,这使得他们能够更好地规避防火墙保护和一些检测工具,通过采用代码虚拟化技术隐藏恶意代码。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1376/       消息与封面来源:SentinelLABS  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用(即Travel Mate Pro)时检测到的,该应用会窃取联系人、电子邮件和文件,这些文件会被发送到在线命令和控制服务器,这个服务器也被另外两个针对Windows和macOS平台的恶意应用(Enigma和Titanium)也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码,它允许攻击者向,它们可以获取系统信息,搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器,获取运行中的进程列表,窃听,截屏,任意执行shell命令,录音和扫描端口。 “总的来说,发现了超过10个版本的GravityRAT,被伪装成合法的应用程序进行分发,这些模块一起使用,使该集团能够进入Windows操作系统,MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们会从C&C服务器上下载GravityRAT有效载荷,并在被感染的设备上添加一个预定任务以获得持久性。     (消息来源:cnbeta,封面来自网络)

恶意软件 Emotet 活动升级:伪装成 Windows Update 邮件分发

臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。 相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。为了欺骗人们使用宏,Emotet 使用了不同的文档模板,例如声称是在iOS、Windows 10 Mobile 或者旧版本 Office、受保护的文档中创建的。 原本只是金融木马的Emotet功能愈来愈强大,除了可窃取使用者所储存的凭证、金融资讯或其它个人资讯外,它还能夹带诸如挖矿程式或勒索软体等恶意程式,或于企业网路上建立僵尸网路,已被视为最危险的病毒之一。     (稿源:cnbeta;封面来自网络)

IAmTheKing 和 SlothfulMedia 恶意软件家族

2020年10月1日,DHS CISA机构发布了有关SlothfulMedia的恶意软件家族的信息。 2018年6月,我们基于恶意软件样本中发现的恶意软件字符串,发布了有关IAmTheKing的新活动集群的第一份报告。有趣的是,其中包含了其他字符串“kapasiky antivirus”,“leave [them] alone”。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1369/       消息与封面来源:securelist  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的“ MosaicRegressor” UEFI Bootkit 恶意软件在野外活跃

网络安全研究人员发现了一种罕见的具有潜在危险性的恶意软件,它针对计算机的启动过程来删除持续存在的恶意软件。 该活动涉及使用一个包含恶意植入物的受损UEFI(或统一可扩展固件接口),这是第二个已知的公开案例,其中UEFI Rootkit已被广泛使用。 根据卡巴斯基的说法,这些恶意UEFI固件映像被修改为包含几个恶意模块,然后这些模块被用来在受害者计算机上投放恶意软件,这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。 卡巴斯基的研究人员Mark Lechtik,Igor Kuznetsov和Yury Parshin称该恶意软件框架为“ MosaicRegressor ”,一项遥测分析显示,2017年至2019年间有数十名受害者,他们都与朝鲜有一些关系。 UEFI是固件接口,是BIOS的替代品,可提高安全性,确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身,所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。卡巴斯基说:“ UEFI固件为持久的恶意软件存储提供了一种完美的机制。” “老练的攻击者可以修改固件,以使其部署将在加载操作系统后运行的恶意代码。” 虽然目前还不清楚用于覆盖原始固件的确切感染媒介,但泄露的手册显示,恶意软件可能是通过物理访问受害者的机器进行部署的。 新的UEFI恶意软件是Hacking Team的VectorEDK引导程序的自定义版本,该引导程序于2015年泄露,此后已在线提供。它用于植入第二个有效负载,称为MosaicRegressor——间谍活动和数据收集的多阶段模块化框架,其中包含其他下载程序,以获取并执行辅助组件。 下载者又联系命令和控制(C2)服务器以获取下一级DLL,以执行特定命令,这些命令的结果被导出回C2服务器或转发到“反馈”邮件地址。攻击者可以从中收集聚集的数据。 有效载荷以多种方式传输,包括通过来自硬编码在恶意软件二进制文件中的邮箱的电子邮件(“ mail.ru”)进行传输。 但是,在某些情况下,该恶意软件是通过带有网络钓鱼邮件的电子邮件发送给某些受害者的,这些电子邮件带有嵌入式诱饵文件(“ 0612.doc”),该诱饵文件用俄语编写,旨在讨论与朝鲜有关的事件。 最后,卡巴斯基在MosaicRegressor的一种变体中找到了一个C2地址,这种变体是在与中国黑客团体(通常被称为Winnti,又名APT41)相关的情况下观察到的。 “通常情况下,UEFI固件遭到破坏非常罕见,这通常是由于对固件攻击的可见性低,将其部署在目标的SPI闪存芯片上所需的高级措施以及在敏感工具集或资产烧毁时的高风险这样做。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Joker 恶意软件通过上传到 Google Play 商店促使用户下载

Joker是最著名的恶意软件家族之一,它不断地攻击Android设备。尽管人们意识到了这种特殊的恶意软件,但它通过改变代码、执行方法或有效载荷检索技术,不断地进入谷歌的官方应用程序市场。这个间谍软件的目的是窃取短信、联系人名单和设备信息,同时悄悄地为受害者注册高级无线应用协议(WAP)服务。 我们的Zscaler ThreatLabZ研究团队一直在不断监视Joker恶意软件。最近,我们看到它定期上传到Google Play商店。一旦接到我们的通知,谷歌安卓安全团队立即采取行动,从谷歌Play商店删除可疑应用(如下所列)。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1352/     消息与封面来源:zscaler  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Pastebin 新增阅后即焚/密码保护粘贴功能 专家认为有被滥用风险

因可分享小段文字,Pastebin 受到了很多用户的青睐。今天该网站新增了名为“阅后即焚”、“密码保护粘贴”两项新功能,允许用户创建单次阅读就过期的文本文段,以及受密码保护的粘贴。不过网络安全研究人员认为这两项新功能将被恶意软件攻击者广泛而疯狂地滥用。 虽然这两项功能都不是什么新的概念,毕竟它们已经在很多粘贴网站上存在了很多年。不过,这两项功能对于 Pastebin 来说是新的,它是目前最受欢迎的粘贴门户网站,被列入Alexa互联网上最受欢迎的 2000 个网站中。 而热门的背后也吸引了很多糟糕的内容。虽然有些人用它来托管代码或文本片段,以便于和同事分享;不过在过去十年时间里,Pastebin 逐渐变成了托管恶意代码的网站。多年来,恶意软件作者利用 Pastebin 来存储他们检索并在受感染主机上运行的恶意命令、黑客数据、恶意软件命令和控制服务器的IP地址以及许多其他操作细节。 在接受 ZDNet 采访的时候,事件响应(IR)顾问 Ted Samuels 表示:“Pastebin 是迄今为止使用最广泛的粘贴网站,也是使用 PowerShell 进行无文件攻击的相当流行的集散地。例如,威胁行为者的初始有效载荷可能会使用 PowerShell 从 pastebin.com下载额外的(通常是混淆的)内容,以便通过 PowerShell 进一步执行。CobaltStrike 框架可以通过这种方式加载。” 为了应对 Pastebin 在恶意软件设计者中的日益流行,这些年来,网络安全公司已经创建了一些工具,这些工具可以刮取新的 Pastebin 条目,以搜索恶意或看起来敏感的内容。 不过安全研究人员认为,Pastebin 今天增加这两项新功能,是在阻挠他们检测恶意软件操作的善意努力,而且更多的是在迎合恶意软件人群,而不是实际用户和好人。 来自匹兹堡的安全研究人员 Brian 告诉 ZDNet:“除非它们采取了一些隐藏措施来阻止阅后即焚和密码保护进行 C2 和恶意软件的暂存,否则对于使用 PasteBin 来达到这些目的的攻击者来说,这些似乎是相当有用的新功能。这个新变化现在将使事件响应者更难快速评估在某些环境中可能已经下载并执行的内容”。 目前还不清楚 Pastebin 对网络安全社区对其最新功能的最新反应有何看法,但该公司在一封电子邮件中表示,应用户的要求,它增加了 “阅后即焚 “和 “密码保护的粘贴”。 该公司表示:“Pastebin为我们的用户存储了重要的数据,从计算和工程数据开始,如算法,来自各种服务、机器人、网络设备的日志,最后是专有软件代码。我们收到了许多用户的请求,因为他们的隐私权,帮助我们的用户保护他们的工作,实现这些功能。Pastebin是由开发者为开发者创建的,全球有数百万人在使用。当然,每个平台都有不良分子试图利用,包括 Github、Twitter、Facebook、Dropbox、Privnotes与Sendspace等等。”     (稿源:cnBeta,封面源自网络。)

APT28 组织利用北约主题作为诱饵进行 Zebrocy 恶意软件攻击

8月9日,QuoIntelligence向其政府客户发布了一份关于有关针对北约成员(或与北约合作的国家)政府机构的(又名Sofacy,Sednit,Fancy Bear,STRONTIUM等)的警告。我们发现了一个上传到VirusTotal的恶意文件,该文件最终删除了Zebrocy恶意软件并与法国的C2通信。我们发现后,将恶意C2报告给了法国执法部门。 Zebrocy是APT28(也称为Sofacy)使用的恶意软件,在过去两年中,多家安全公司[1][2][3][4][5][6]报告了这种恶意软件。 最后,我们得出结论,这次袭击始于8月5日,至少针对位于中东的一个政府实体。但是,北约成员极有可能也观察到了同样的袭击。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1344/       消息与封面来源:QUOINTELLIGENCE  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信

安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。 伪装成欧盟驾照培训辅助应用的App Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。 这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。 其开发的Windows恶意软件主要用于窃取受害者的个人文件,但也窃取Telegram的Windows桌面客户端的文件,这些文件允许黑客访问受害者的Telegram账户。 此外,面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件,与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。 但虽然Rampant Kitten黑客偏爱开发Windows木马,但他们也为Android开发了类似的工具。 在今天发布的一份报告中,Check Point研究人员表示,他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信,通过麦克风悄悄记录受害者,并显示钓鱼页面。但更值得关注的是,该后门还包含专门针对窃取2FA(双因素认证)的代码。 Check Point表示,该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信,该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。 其思路是,Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面,获取用户的账户凭证,然后访问受害者的账户。 如果受害者启用了2FA,恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者,让他们绕过2FA。 但事实并非如此。Check Point还发现有证据表明,该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码,该团伙很有可能利用这一功能绕过2FA,而不是谷歌账户。 目前,Check Point表示,它发现这个恶意软件隐藏在一个Android应用内,伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而,该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。 虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA,但我们很少能深入了解他们的工具和他们如何做到这一点。      (稿源:cnBeta,封面源自网络。)