标签: 木马

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式: 1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名) 2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。  TeleRAT 功能用途极为广泛,如以下: 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容; 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片; TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见: 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

两高全力打击银行卡盗刷黑产,保障用户信息安全

5 月 9 日,最高人民法院通报了《 最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 》。这是两高首次就打击侵犯公民个人信息犯罪出台的司法解释。据此次司法解释,非法获取、出售公民个人信息,情节严重者可获刑。 据相关媒体报道,在银行卡盗刷的黑色产业链中,从伪基站群发木马短信诱导用户点击链接,到钓鱼网站和拦截码钓出用户信息,再到洗料人通过多种通道将钱洗白分赃,银行卡盗刷产业链已经分出了泾渭分明的三块 “ 业务 ”,每个业务上的黑产从业者各司其职,在几乎为零的成本背后,是 “ 月入十几万 ” 的利润诱惑。 6 月 2 日,中国银行业协会银行卡专业委员会发布了《 中国银行卡产业发展蓝皮书(2017)》。报告称,通过攻击手机移动端,以欺诈手段盗取银行卡的风险明显提高。据公安部对部分省市的统计,涉及网络银行卡犯罪案件于近年的年增长速度达到 40% 以上。 稿源:新京报节选,有删减;封面源自网络

远程访问木马 jRAT 瞄准税务人员发起攻击

据外媒 17 日报道,垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT,主要攻击目标为税务人员。该木马一旦成功执行,攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现,上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示,该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月,微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日,也就是纳税期限的前一天,相关部门出示警告,为税务诈骗案高发季节再添波澜。 Patil 表示,用户一键点击即可成为 jRAT 木马受害者,使个人或企业网络陷于囹圄。据悉,jRAT 有效载荷能够从 C2 服务器接收命令,在受害者设备中下载与执行任意有效载荷,以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例,这款 RAT 与近期发现的其他 RAT(如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT )起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档( JAR )附件,VBScript 就会在 Windows “ %APPDATA% ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后,dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示,JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter,基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现,而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明,攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信,经由系统重启时自动启动的注册表项实现主机上的持久功能,通过硬编码 URL(workfromhomeplc[.]ru/dmp/PO%233555460.exe)下载其他恶意可执行文件,但 URL 在分析之时并不处于活跃状态。研究人员指出,URL 也被用于承载 Loki 木马。 上个月,多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件,其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制,不仅可以通过广告展示产生收益,还可以拦截 Android 设备的通信与渗透数据。 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

手游语音服务 Discord 被恶意利用传播木马,黑客盗号卖装备

Discord 是一款免费的 VoIP 网络电话聊天服务,在游戏玩家中非常流行,今年初曾获得 腾讯、Greylock Partners 等融资 2000万美元。然而近日国外安全厂商曝出 Discord 已成为传播远程访问木马的渠道。赛门铁克安全研究人员 表示,他们发现该服务上进行着多个垃圾邮件广告活动,传播 NanoCore、njRAT、SpyRat 等木马。垃圾邮件制造者通常使用两种方法,一方面,他们创建 Discord 服务器邀请用户访问其频道,另一方面,加入其它频道并在主聊天窗口中留下恶意链接。在大多数情况下,这些 URL 指向恶意应用程序。通过木马病毒,黑客获得相关帐户信息并设法盗走游戏金币、武器装备,之后在暗网市场上出售。 稿源:本站翻译整理,封面来源:百度搜索