标签: 木马

以为“订单询价”是财神到了,结果却是一个陷阱……

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱,在附件中提供精心构造的利用Office漏洞(CVE-2017-8570)攻击的文档,存在漏洞的电脑上打开文档,会立刻触发漏洞下载NetWire RAT木马,中毒电脑即被远程控制,最终导致商业机密被盗。 NetWire是一种活跃多年的,公开的远程访问木马(RAT),该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译,并且通过添加大量无关指令隐藏恶意代码。为了对抗分析,NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后,会添加自身到系统启动项,搜集系统信息上传至服务器,然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞(CVE-2017-8570)影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开),其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码,该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击,微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后,会自动释放文档中被插入的Package对象到%temp%目录,Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行,Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png,保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种,该木马至少从2012年开始就被犯罪分子和APT组织使用,是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的,并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中,然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中,使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date,在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时,使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动,这使得父进程充当子进程的调试器,导致其他调试器无法附加到子进程,从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据,在线程上下文中修改OEP值,提取NetWire的真实恶意代码并覆盖子进程中的现有代码,接着在子进程中执行该代码。 NetWire创建了一个日志文件夹,用于存储从受害者系统收集的信息的日志文件,日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容,记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信,搜集计算机基本信息,包括当前登录的用户名,计算机名称,Windows版本信息,当前活动的应用程序标题,计算机的当前时间,计算机的IP地址等信息发送至控制服务器,然后等待服务器返回的指令,进行以下操作: 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件,或执行现有的本地文件。 3、执行以下操作:退出NetWire进程,关闭C&C服务器的套接字,从系统注册表中的Home键读取值,重置或删除指定的注册表键,删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息,获取指定文件夹中的文件信息,通过指定的文件类型获取文件信息,创建指定的目录和文件,将内容写入指定的文件,删除、重定位特定文件,以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件:360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外,还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件(%AppData%\Updater)包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备,可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570,参考微软官方公告: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 3、建议升级Office系列软件到最新版本,对陌生文件中的宏代码坚决不启用;版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接: https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

TrickBot 银行木马传入我国,专门窃取国外银行登录凭据

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ   一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中毒电脑系统信息及访问国外银行的登录信息会被窃取,受TrickBot银行木马影响较严重的地区为浙江,广东,北京等地。 TrickBot在2016年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后,会安装计划任务“Ms visual extension”反复执行木马,然后将恶意代码注入Svchost.exe,下载多个加密的DLL模块,最终将injectdll32(64)注入浏览器进程,捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时,会显示如下图所示界面: 初次打开文档时,Office会提示是否允许宏执行,若选择允许,则文档界面中会提示一条告警消息,但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件,然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后,BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs, 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=,然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”,并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母,韩文,中文,日文和保加利亚语,这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”,设置触发器在系统启动时木马执行一次,之后每隔11分钟执行一次。 定时任务触发后,taskeng.exe启动с그의길습을든意すスっジюл.EXE,然后将恶意代码注入子进程svchost.exe继续执行,进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ,injectDll64,mshareDll64,mwormDll64,networkDll64,pwgrab64,systeminfo64,tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs,networkDll64_configs,pwgrab64_configs,tabDll64_configs下。 systeminfo64负责收集受害者的系统信息,包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务,不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时,injectDll64会枚举所有正在运行的进程,通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后,它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称),使用这个命名管道在svchost.exe和浏览器之间进行通信,以传输Sinj、dinj和dport的内容,之后InjectDll准备要注入到浏览器中的代码,并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器,之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子,从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤,如果HTTP请求与目标银行匹配,则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信,TrickBot银行木马暂不能直接威胁国内网银资金安全,但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施,防止受害: 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接: https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/(原文已被删,快照可供参考)  

快Go矿工(KuaiGoMiner)控制数万电脑挖矿,释放远控木马窃取机密

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/824.html 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。 一、背景 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”,御见威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 “快Go矿工”(KuaiGoMiner)将挖矿程序伪装成系统进程explorer.exe、smss.exe运行,截止目前已挖矿获得门罗币242.7个,折合人民币9万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,中毒电脑会面临机密信息泄露的风险。 据腾讯御见威胁情报中心统计数据,在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后,仍有约30%用户未修复“永恒之蓝”漏洞(MS17-010),这导致利用该漏洞攻击的病毒始终层出不穷。“快Go矿工” (KuaiGoMiner)分布在全国各地,受害最严重地区为广东、江苏、河南、北京。 从“快Go矿工” (KuaiGoMiner)影响的行业来看,主要为IT行业、制造业、科研和技术服务业。 二、详细分析 漏洞攻击 “快Go矿工” (KuaiGoMiner)在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\cd\目录下。 开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat,并在cmd.bat中完成机器出口IP查询、随机IP地址生成,然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描。 最后在load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload,将Doublepulsar.dll注入lsass.exe执行,将Eternalblue.dll注入explorer.exe执行。 Doublepulsar.dll或Eternalblue.dll执行后在目标机器下载m.exe或n.exe,保存至C:\safe.exe并启动,开始新一轮的感染和攻击。 挖矿 “快Go矿工”(KuaiGoMiner)下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中smss.exe为32位矿机程序,explorer.exe为64位矿机程序,Services.exe为Windows服务安装工具NSSM。 通过user.vbs启动user.bat。并在user.bat中删除计划任务”Flash_Update”、”Update”、”Update_windows”,删除旧服务和计划任务“Microsoft_Update”。之后判断系统版本,利用NSSM(services.exe)分别将smss.exe和explorer.exe安装服务至32位和64位系统上,使用的服务名称为“Microsoft_Update”。 矿机采用开源挖矿程序XMRig编译,挖矿使用矿池地址:xmr-eu1.nanopool.org:14444, 钱包地址: 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4 查询矿池目前挖矿获得收益为242.7个XMR,折合人民币约91000元。 远程控制 “快Go矿工”(KuaiGoMiner)释放经gh0st修改而成的远控木马到目录 C:\Users\[User]\AppData\Local\Temp\<random>.dll下。 连接C2地址fwq.kuai-go.com:12353,根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程功能。 三、安全建议 1、 快Go矿工(KuaiGoMiner)手动清除方法: 删除目录 C:\Windows\Fonts\cd\ C:\Windows\Fonts\cd\data\ 删除文件 C:\Users\[User]\AppData\Local\Temp\<random>.dll 删除计划任务“Microsoft_Update” (执行文件路径C:\Windows\Fonts\cd\data\explorer.exe 或C:\Windows\Fonts\cd\data\smss.exe) 2、针对MS010-17 “永恒之蓝”漏洞的防御: 服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html 下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞: XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 339bec2b3e598b98218c16ed1e762b2a 57bd72d6dc95ff57b5321a62b9f7cde2 57003ef2a67c70f8959345f342536aa5 15d2c95fe9fe4134064e9a4f49d63cf1 20010658d789192eb69499bc5c1c9f11 546a5c41ec285686c9c082994ef193f5 830f8e648d2a7da4d512b384e29e9453 8bcf9ba698b20a6fb2fef348b8c55b1d c17f7c9c9265c4f8007d6def58174144 6dc336b2b1b4e8d5c8c5959c37b2729d 3e6c981f627122df8b428aac35cb586e 222d8a0986b8012d80edbecdc5c48714 532a0904faff2a3a8c79594c9df99320 IP 110.157.232.117 104.233.201.209 Domain w.zhzy999.net images.kuai-go.com update.kuai-go.com wx.kuai-go.com sex.kuai-go.com usa.kuai-go.com korea.kuai-go.com der.kuai-go.com fwq.kuai-go.com URL http[:]//w.zhzy999.net/images/m.exe http[:]//3.zhzy999.net/images/n.exe http[:]//images.kuai-go.com/images/logo.gif http[:]//der.kuai-go.com/img/1.rar http[:]//der.kuai-go.com/img/2.rar http[:]//110.157.232.117/images/m.exe http[:]//110.157.232.117/images/n.exe http[:]//110.157.232.117/img/1.rar http[:]//110.157.232.117/img/2.rar http[:]//110.157.232.117/img/3.rar 钱包 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

超3300万个邮箱密码泄露,一大波勒索邮件攻击正在到来

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ   概述 或许你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件,收到这些邮件,表示你的部分邮箱帐号密码泄露,对方或许有也或许没有你更多的隐私信息,如果你的网盘、网络相册不幸与邮箱使用相同的密码,那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路,该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码,再群发恐吓勒索邮件。 每攻克一台服务器,攻击者就验证2万个邮箱地址。截止目前,该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病毒主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析: 木马启动后尝试用内置密码列表爆破VNC服务器  爆破成功后会在目标VNC服务器下载木马程序  木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”      入口处检测虚拟机以及调试器,环境不匹配就会退出。    禁用安全中心提示,减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项,启动项名Microsoft Windows Driver 感染U盘以及网络磁盘,写入antorun.inf 劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。   每个任务文件携带20000个邮箱账户&密码。 由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件; 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能; 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试(可能远超3300万),我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况,该病毒的两个服务器均已关闭,包括病毒下载服务器和勒索邮件发送任务服务器。也意味着,现有已感染的病毒仅剩下挖矿部分工作正常,发送勒索邮件的任务必须等待所有病毒更新,攻击者找到新的控制服务器,重新完成配置。    

安全专家曝新银行木马 专门窃取证书、密码及其他敏感信息

凤凰网科技讯 据科技博客ZDNet北京时间7月5日报道,思科网络安全团队Talos的研究人员最近发现了一种新的银行木马,这种新型木马病毒通过散布一些看似软件公司开出的账单请求、实则为恶意软件的网络钓鱼邮件,从而窃取受害者PC上的银行证书、密码和其他敏感信息。 安全人员表示,这一强大的恶意软件可以用来传播包括木马病毒、赎金软件和恶意加密货币挖掘软件等在内的安全威胁。 该恶意软件被认为是Smoke Loader木马的最新变种之一。从2011年开始,在垃圾邮件网络钓鱼活动中,Smoke Loader类木马病毒一直十分活跃,同时在不断发展变化。这类恶意软件在2018年以来都特别繁忙,包括今年早些时候出现的Meltdown和Spectre等安全漏洞,都是这些恶意木马在作祟。 与许多恶意软件一样,该木马最初发动攻击是通过恶意Word附件进行的,该附件欺骗用户允许宏命令,允许在受攻击的系统上安装SmokeLoader,并允许木马发送其他恶意软件。 令研究人员感兴趣的是,该Smoke Loader木马在传播过程中使用了最新的“注射技术”——PROPagate。这一技术之前不曾被使用,只是几天前刚刚被发现。至于PROPagate概念,在去年年末才被提出,业界最初将PROPagate描述为一种安全攻击的潜在手段。 虽然仍有大量的Smoke Loader试图将附加的恶意软件发送到受攻击的系统中,但在某些情况下,这些恶意程序正在安装自己的插件,以便直接执行自己的恶意任务。 它们所安装的每一个插件,都被设计用来窃取敏感信息,特别是那些存储在PC上的证书或通过浏览器传输的敏感信息——比如Firefox、IE、Chrome、Opera、QQ等浏览器,以及Outlook和Thunderbird程序,都可被用来窃取数据。 思科Talos安全团队的研究人员表示,“我们已经看到,木马和僵尸网络市场正在不断地发生变化。黑客们正在不断地提升他们的技术,通过不断修改这些技术,以增强绕过安全工具的能力。这清楚地表明,确保我们所有的系统时时刻刻保持最新是多么的重要。” “我们强烈鼓励用户和组织遵循推荐的安全实践,例如及时安装安全补丁,在收到未知第三方消息时保持谨慎,并确保可靠的脱机备份解决方案到位。这些做法将有助于减少攻击威胁,并有助于在遭到任何此类攻击后进行系统恢复,”他们补充说。   稿源:凤凰网科技,封面源自网络;

尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台

雷锋网(公众号:雷锋网)消息,5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。 不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。 AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。 安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。 “SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。 安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。 点击获取详细样本分析。   稿源:雷锋网,封面源自网络;

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式: 1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名) 2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。  TeleRAT 功能用途极为广泛,如以下: 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容; 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片; TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见: 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

远程访问木马 jRAT 瞄准税务人员发起攻击

据外媒 17 日报道,垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT,主要攻击目标为税务人员。该木马一旦成功执行,攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现,上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示,该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月,微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日,也就是纳税期限的前一天,相关部门出示警告,为税务诈骗案高发季节再添波澜。 Patil 表示,用户一键点击即可成为 jRAT 木马受害者,使个人或企业网络陷于囹圄。据悉,jRAT 有效载荷能够从 C2 服务器接收命令,在受害者设备中下载与执行任意有效载荷,以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例,这款 RAT 与近期发现的其他 RAT(如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT )起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档( JAR )附件,VBScript 就会在 Windows “ %APPDATA% ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后,dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示,JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter,基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现,而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明,攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信,经由系统重启时自动启动的注册表项实现主机上的持久功能,通过硬编码 URL(workfromhomeplc[.]ru/dmp/PO%233555460.exe)下载其他恶意可执行文件,但 URL 在分析之时并不处于活跃状态。研究人员指出,URL 也被用于承载 Loki 木马。 上个月,多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件,其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制,不仅可以通过广告展示产生收益,还可以拦截 Android 设备的通信与渗透数据。 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

手游语音服务 Discord 被恶意利用传播木马,黑客盗号卖装备

Discord 是一款免费的 VoIP 网络电话聊天服务,在游戏玩家中非常流行,今年初曾获得 腾讯、Greylock Partners 等融资 2000万美元。然而近日国外安全厂商曝出 Discord 已成为传播远程访问木马的渠道。赛门铁克安全研究人员 表示,他们发现该服务上进行着多个垃圾邮件广告活动,传播 NanoCore、njRAT、SpyRat 等木马。垃圾邮件制造者通常使用两种方法,一方面,他们创建 Discord 服务器邀请用户访问其频道,另一方面,加入其它频道并在主聊天窗口中留下恶意链接。在大多数情况下,这些 URL 指向恶意应用程序。通过木马病毒,黑客获得相关帐户信息并设法盗走游戏金币、武器装备,之后在暗网市场上出售。 稿源:本站翻译整理,封面来源:百度搜索