据外媒 12 日报道，安全研究人员发现僵尸网络 Necurs 正以每小时 500 万封恶意邮件的速度传播新型勒索软件 Jaff，以致感染全球逾 600 万台计算机设备。 勒索软件 Jaff 由开发人员采用 C 语言程序编写，主要用于加密目标计算机文件，从而达到勒索赎金的目的。目前，该勒索软件在僵尸网络 Necurs 的协助下已感染全球数百万台计算机设备。 据悉，僵尸网络 Necurs 发送附带 PDF 文档的电子邮件。倘若用户点击文档，将会打开含有恶意宏脚本的嵌入式 Word 文档以下载并运行勒索软件 Jaff 。 调查显示，勒索软件 Jaff 在不依赖 C&C 服务器的情况下已针对 423 个文件扩展名进行离线加密处理，加密后的文件显示“ . jaff ” 后缀。受影响的计算机桌面将会被攻击者恶意替换且收到关于勒索赎金的具体信件。 研究人员表示，该勒索信中警告受害者文件已被加密，但并未要求用户付款；相反，攻击者敦促受害者通过 Tor 浏览器访问网站支付门户，以便解密重要文件。一旦受害者下载安装 Tor 浏览器并访问该网站，则当即要求支付 1.79 比特币（约 3150 美元）。 研究人员提醒用户，在 Microsoft Office 应用程序中禁用宏且保持良好的备份例程，使其重要文件复制到外部存储设备之中。此外，用户在确保系统运行防毒安全软件的同时，始终使用安全Internet浏览器访问网页。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据国外安全媒体 Cyberscoop 报道，俄罗斯 ATP28 黑客组织伪造北约（ NATO ）电子邮件，针对包括罗马尼亚外交部在内的欧洲外交组织成员发动网络钓鱼攻击。 俄罗斯 ATP28 黑客组织（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）曾涉嫌参与多起欧洲国家网络攻击事件，其中包括攻击欧洲防务展览会，干预法国、德国重大选举等。 据悉，罗马尼亚外交部成员收到的电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的 Word 文档，利用近期披露的 2 个Microsoft Office 0day 漏洞 (CVE-2017-0262) 秘密下载恶意软件 “GameFish”，从而使黑客能够访问敏感数据并在受感染设备中远程部署其他计算机病毒。 研究人员表示，若系统再次检测到虚假 NATO 电子邮件，北约组织将向联盟国安全机构提供警报，以防止此类攻击再度蔓延。目前，罗马尼亚情报机构已发表声明证实此次钓鱼攻击事件，并指出由于各机构的有效配合，攻击已被成功阻止。 原作者：Gabriela Vatu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

来自瑞士安全公司 Modzero 研究人员在检查 Windows Active Domain 的基础设施时发现惠普音频驱动中存在一个内置键盘记录器，允许黑客监控用户的所有按键输入。研究人员指出，惠普的音频驱动文件中隐藏缺陷代码 ( CVE-2017-8360 ) 的漏洞，它不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。 按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商 Conexant 开发的音频芯片，该厂商还会为音频芯片开发驱动即 Conexant 高清音频驱动，有助于软件跟硬件通信。根据计算机机型的不同，惠普还将一些代码嵌入由 Conexant 开发的音频驱动中，从而控制特殊键如键盘上的 Media 键。 这个记录文件位于公用文件夹 C:\Users\Public\MicTray.log 中，包含很多敏感信息如用户登录数据和密码，其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。 据悉，受影响的机型包括 HP Elitebook 800 系列、EliteBook Folio G1、HP ProBook 600 和 400 系列等等。此外，研究人员还告警称 “ 其它使用了 Conexant 硬件和驱动器的硬件厂商 ” 也可能受到该漏洞影响。 稿源： cnBeta，封面源自网络

据彭博社报道，迅速向全球扩散的勒索病毒网络攻击受害者于本周末还将继续增加，因为黑客可以轻松进入那些几个月没有更新 Windows 操作系统的电脑之中。但是绝大多数受害者的损失不会像医院那样惨重。 据悉，英国国民健康服务局( National Health Service，以下简称 NHS)下属的 16 家机构受到影响，包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称，处于非紧急状态下的病人最好待在家里，并全力阻止恶意软件扩散。 众所周知，医疗机构在更新安全补丁方面非常缓慢，部分原因是更新时导致关键系统离线会引发混乱。正因为如此，它们也成为勒索病毒袭击的主要受害者。许多安全人士甚至执法人员认为，在这种情况下，应该支付赎金以便以最快速度找回数据。此外，本次袭击的其他受害者还包括中小型企业。 尽管任何规模的公司都可存在软件漏洞，但拥有强大安全部门的大型公司或机构，通常会安装微软 3 月份发布的更新补丁，不会受到本次袭击太大影响。 稿源： cnBeta、网易科技 节选，封面源自网络

据外媒 11 日报道，布宜诺斯艾利斯安全测试人员 Manuel Caballero 发现 Microsoft Edge 浏览器存在新型同源策略（ SOP ）漏洞，允许黑客绕过 SOP 窃取浏览器存储的用户账号登录凭证。 同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。（百度百科） 研究发现，攻击者除了冒充请求发送方进行 referrer 欺骗以外，还可利用 data-uri 属性与多数网站采用 iframe 的现状实现一次完整的 SOP 绕过。此外，由于 Edge 密码管理器具有自动填充功能 ，可以呈现一个通用代码片段，一旦用户使用默认密码管理器，黑客将能够快速窃取用户信息。 简而言之，只要密码输入框是从正确的源加载，Edge 浏览器将自动填充那些没有 id 或 name 的密码输入框。如此黑客便能够通过向目标网站注入相应代码提取密码信息。 安全专家提醒用户，SOP 漏洞目前尚未修复。即使用户更新 Microsoft Edge 浏览器并重置密码也难以有效防御黑客发起新型攻击活动。 原作者：Richard Chirgwin， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 11 日报道，荷兰警方继 2016 年 Ennetcom 落网后于本月 9 日再度查处一家 PGP 加密手机非法贩卖公司，并逮捕 4 名犯罪嫌疑人员。其犯罪嫌疑人除涉嫌洗钱外，还参与 “ PGPsafe ” 品牌加密手机的非法贩卖活动。 PGP（ Pretty Good Privacy，译为：完美隐私）是一项开源端到端加密标准，可用于保护加密签名的电子邮件、文档、文件或整个磁盘分区不被黑客监控。 据悉，荷兰反欺诈机构 FIOD 及检察署对荷兰北部多个地区进行突击式搜查，其搜查结果缉获一栋价值 60 万欧元的房屋、一套价值 160 万欧元的豪宅、约 200 万欧元现金、13 辆汽车与数百部 PGPsafe 加密手机。 PGPsafe 现拥有超过 4 万名注册客户，而经 PGP 加密的黑莓手机售价在 1200 欧元至 1500 欧元之间，其交易形式大多是在高速公路上进行现金支付。荷兰警方表示，以安全为导向出售定制加密手机本身并不涉及任何犯罪行为，但目前他们已经掌握相关证据，证明该公司多年来将 PGP 加密手机非法出售给参与暗杀、贩毒、洗钱、武装抢劫与企图谋杀的犯罪组织。 目前，警方正对此类非法贩卖商保持密切关注。荷兰警方表示，希望通过解密存储在 PGP 加密手机贩卖商服务器上的 PGP 加密邮件破获荷兰自 2014 年起发生的近 34 宗刑事调查案件。 原作者：Swati Khandelwal， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 日报道，安全公司 Sucuri 发现黑客利用一系列恶意软件将恶意代码注入合法 JavaScript 文件，伪装 WordPress 核心域名、窃取 cookie 数据及非法收集用户信息。 据悉，黑客通过误植域名（ Typosquatting ）或劫持 URL 技术制造虚假域名，而该技术通常依赖于用户在网络浏览器中错误输入 URL 。由于伪造网站被设计成一个看似合法的 WordPress 域名，所以代码显示并无异常。 调查显示，该恶意代码的条件语句并不包括搜索引擎抓取工具中用户代理的 cookie 数据，旨在帮助黑客从抓取工具与机器人中筛选出有价值 cookie。据悉，一旦确定数据有效，该脚本就会将其发送至恶意网站（ code.wordprssapi [.] com ）。此外，黑客除了在 WordPress JavaScript 文件底部注入恶意代码以外，还利用另一个 WordPress 漏洞注入混淆代码、恶意离线 WordPress 网站 。 研究人员表示，目前尚且无法确定恶意网站幕后黑手，而黑客在权限被撤销之前可以伪装用户执行权限内任何操作。在此，有必要提醒网站管理员除审核网站代码外还需仔细检查网站域名以确保不向第三方发送敏感数据（如 cookie 或密码）。 原作者：Chris Brook， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯在网络空间的咄咄逼人令美国官员担心俄罗斯间谍会利用广泛使用的卡巴斯基杀毒软件监听美国公民或破坏美国系统。总部位于莫斯科的卡巴斯基实验室的安全软件被美国的家庭、企业和政府机构广泛使用。 在一份发送给美国国家情报总监 Dan Coats 和司法部长 Jeff Sessions 的秘密备忘录中显示，参议院情报委员会提出了有关卡巴斯基的担忧，督促情报机构尽快解决潜在风险问题。 卡巴斯基于 10 日晚些时候发表声明回应美国政府，声称俄罗斯黑客或是通过自身政府的支持入侵美国系统，而非卡巴斯基的帮助。卡巴斯基明确表示，他们与各国政府没有任何关系，更不会帮助各国进行网络间谍活动。 本文根据 ibtimes 、cnBeta 翻译整理，封面源自网络

据外媒 10 日报道，趋势科技（ Trend Micro ）安全研究人员发现物联网（ IoT ）僵尸网络 Persirai 针对 1000 多种 IP 摄像机模型展开攻击。目前至少 120,000 台 IP 摄像机已遭受网络攻击，而多数受害者未能察觉自身设备暴露于互联网之中。 研究人员表示，攻击者利用新型恶意软件通过 TCP 端口 81 可轻松访问 IP 摄像机 Web 界面。一旦攻击者登录受感染设备 Web 界面，即可强制 IP 摄像机连接恶意网站并自行下载执行恶意 shell 脚本。 调查显示，恶意软件将在 IP 摄像机下载执行脚本后自行删除并仅在内存中运行。有趣的是，该恶意软件会阻止 0day 攻击以防御其他黑客再度攻击已被感染的 IP 摄像机。此外，受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的零日漏洞攻击其他 IP 摄像机。 趋势科技表示，C＆C 服务器被发现使用 .IR 地址代码。据悉，该代码由一家伊朗研究机构管理，且仅限伊朗人使用。此外，代码中还存在一些特殊波斯字符。 原作者：Hyacinth Mascarenhas， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 日报道，苹果公司近期修复了允许黑客利用 MitM（中间人）攻击、窃取 iCloud 用户私人信息（姓名、密码、信用卡数据与 Wi-Fi 网络信息）的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store（KVS）传输时，应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉，今年 3 月，研究人员 Alex Radocea 在即时通信加密协议（OTR）中发现这一漏洞，它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出，攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程，还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调，如果用户账户未启用双因素验证，攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示，iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接