分类: 恶意软件

去年针对 Linux 发行版本的恶意软件数量同比增加 35%

根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。 与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。 当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。它之所以受欢迎,是因为它提供了可扩展性、安全功能和广泛的发行版,以支持多种硬件设计和在任何硬件要求上的巨大性能。 随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心,它为威胁者提供了一个巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底,将有超过300亿台物联网设备连接到互联网,为威胁和网络犯罪分子创造一个潜在的巨大攻击面,以创建大规模的僵尸网络。 僵尸网络是一个连接到远程指挥和控制(C2)中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用,并能感染其他设备。僵尸网络经常被用于DDoS攻击,向目标发送垃圾邮件,获得远程控制,并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关,通过消耗整个带宽来阻止合法流量的通过,导致其崩溃。 ● XorDDoS XorDDoS是一个为多种Linux架构编译的Linux木马,范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时,该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。 在 Linux 机器上,XorDDoS 的一些变种显示,其操作者扫描和搜索Docker服务器,并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以滥用它来获得对机器的root访问。 ● Mozi Mozi 是一个点对点(P2P)僵尸网络,利用分布式哈希表(DHT)系统,实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口,以便不被其他恶意行为者或恶意软件覆盖。 ● Mirai Mirai 恶意软件在过去几年中声名鹊起,特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似,Mirai滥用弱协议和弱密码,如Telnet,利用暴力攻击入侵设备。 自从Mirai的源代码公开后,出现了多个Mirai变种,这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充,或实现了不同的通信协议,但在其核心部分,它们共享相同的Mirai DNA。   (消息及封面来源:cnBeta)

微软警告称乌克兰计算机网络遭到具有潜在破坏性的网络攻击

微软周六晚间警告说,它在乌克兰的几十个政府和私人计算机网络中检测到一种极具破坏性的恶意软件,似乎在等待着一种未知行为的触发。该公司在一篇博文中说,周四,大约在乌克兰政府机构发现其网站被破坏的同一时间,监视微软全球网络的调查人员发现了该代码。微软说:”这些系统横跨多个政府、非营利组织和信息技术组织,都在乌克兰。” 访问微软文档了解更多攻击细节: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/ 这段代码似乎是在俄罗斯外交官与美国和北约就俄罗斯军队在乌克兰边境集结举行了三天会议之后,宣布谈判基本上陷入了死胡同时部署的。 乌克兰官员将其政府网站的污损归咎于白俄罗斯的一个团体,尽管他们说他们怀疑俄罗斯参与其中。但是,早期的攻击归因经常是错误的,而且目前还不清楚污损是否与微软所说的检测到的更具破坏性的代码有关。 微软表示,它还不能确定入侵背后的团体,但它似乎不是其调查人员以前见过的攻击者。根据该公司调查人员的描述,这段代码看起来像勒索软件–它冻结了所有的计算机功能和数据,并要求以付款作为回报。但没有接受金钱的基础设施,导致调查人员得出结论,其目的是造成最大的损害,而不是获取现金。 有可能的是,这种破坏性的软件并没有传播得太广,微软的披露将使这种攻击更难转移。但也有可能,攻击者现在会推出恶意软件,并试图尽可能多地破坏计算机和网络。乌克兰方面表示,对于俄罗斯黑客而言,乌克兰经常是网络武器的试验场。 在2014年的一次总统选举中,乌克兰中央选举委员会遭到攻击,这次攻击被认为是俄罗斯方面试图改变选举结果,但没有成功。美国政府方面后来发现,这种攻击还渗透到了美国民主党全国委员会的服务器。2015年,对乌克兰电网的两次重大攻击中的第一次,使该国不同地区的灯光关闭数小时,包括首都基辅。 而在2017年,乌克兰的企业和政府机构受到了名为NotPetya的破坏性软件的攻击,该软件利用了在该国广泛使用的一种报税软件的漏洞。这次攻击关闭了乌克兰的主要经济活动,并打击了联邦快递和马士基航运公司;美国情报官员后来追踪到它是俄罗斯人所为,且那一次攻击方式至少在其整体设计上与微软周六警告的有一些相似之处。新的攻击会将硬盘擦除并彻底摧毁文件。一些国防专家说,这种攻击可能是俄罗斯地面入侵的前奏。   (消息及封面来源:cnBeta)

IRISA 开发新型恶意软件检测系统 通过树莓派探测特定电磁波

计算机科学与随机系统研究所(IRISA)的一支研究团队,刚刚介绍了其新开发的一套恶意软件检测系统,特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion,且由于这套装置专注于电磁(EM)信号,因而无需在目标设备上安装任何东西。 (图自:IRISA) 换言之,这套恶意软件检测方案的一切工作,都可通过外部实体来处理,因而不受给定机器上潜在恶意软件的任意控制级别的影响。 不过为了达成这一目标,IRISA 研究团队还是让树莓派接受了安全与恶意数据集的专项训练,以帮助定义潜在的威胁参数。 此外树莓派上配备了一个 Picoscope 6407 示波器、以及一个 H-Field 探头,用于检测电磁(EM)场的变化。 (传送门:ACM Digital Library) 在《于混淆中揭露:利用电磁信号开展恶意软件分类工作》的研究论文中,IRISA 团队介绍了如何利用卷积神经网络(CNN)来评估相关数据威胁。 结果让人相当欣喜,可知经过训练的恶意软件检测系统模型,能够在测试期间实现高达 99.82% 的准确率。   (消息及封面来源:cnBeta)

eCh0raix 勒索软件攻击激增,QNAP NAS 设备受到攻击

Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击,但是在12月20日左右,才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增,提交的申请在12月19日开始增加,到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽,没有好好保护设备(例如,通过不安全的连接将其暴露在互联网上);其他人则声称QNAP照片站中存在一个漏洞,使得攻击者有机可乘。 是的,我知道我是一个彻底的白痴,因为我把设备暴露给了这种类型的黑客,但我并没有认真对待这些。我一直以为没人想要攻击它,我要立马说我错了! 无论攻击路径如何,eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户,这使他们能够加密NAS系统上的所有文件。 QNAP用户(其中一些用户出于业务目的使用NAS设备)在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外,这场攻击中最突出的是,攻击者错误地输入了赎金通知的扩展,并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明,它可能会给一些用户带来问题,用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现,在最近的攻击中,ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选,不得不付钱给黑客来恢复他们的文件。   需要注意的是,有一个免费的解密器,用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而,没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月,此后一直持续威胁用户。今年早些时候,QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议,以确保对其NAS设备和存储的数据进行适当的保护。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件 Blister 秘密潜入 Windows 系统

Hackernews 编译,转载请注明出处: 安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的,其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时,他们常常从合法公司窃取证书。如今,攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中,Elastic表示,他们负责地向Sectigo报告了被滥用的证书,以便Sectigo可以撤销该证书。 研究人员说,攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库(例如colorui.dll)。 然后通过rundll32命令,用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说,在下一步中,Blister将从资源部分解码“严重模糊”的引导代码。十分钟里,代码处于休眠状态,可能是为了躲避沙箱分析。 然后,它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动,这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置,因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本,在VirusTotal扫描服务上,这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载,攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则,用于识别Blister活动,并提供IOC,以帮助组织抵御威胁。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

PYSA :双重勒索攻击的幕后黑手

Hackernews 编译,转载请注明出处: NCC集团的安全分析师报告说,2021年11月的勒索攻击增加,双敲诈不断成为攻击者武器库的有力工具。 攻击者的重点也转移到属于政府部门的实体,这些实体收到的攻击比10月份多400%。 11月的焦点显然是PYSA勒索软件组织(又名Mespinoza),该组织感染的设备呈爆炸性上升,增长了50%。 其他占主导地位的勒索软件组织是Lockbit和Conti,它们对关键实体发起了攻击,尽管数量比前几个月有所减少。 2021年3月,越来越明显的迹象表明,PYSA活动达到了威胁水平,导致联邦调查局发布了一个关于攻击者活动升级的警报。 与目前几乎所有勒索软件组一样,PYSA从受损网络中过滤数据,然后对原始数据进行加密以中断操作。 被盗文件被用作赎金谈判的筹码,攻击者威胁说,如果不支付赎金,将公开发布数据。 敲诈勒索新趋势及策略   NCC集团报告关注的另一个攻击者是Everest,一个讲俄语的勒索团伙,目前正在使用一种新的勒索方法。 只要他们的赎金要求在预计的谈判时间内得不到满足,Everest就会将受害者公司网络的访问权卖给其他黑客。 这种做法给受损实体带来了额外的麻烦,因为它们现在必须同时应对多个感染和重复攻击。 NCC 集团的报告评论道:“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎,但一个组织放弃勒索请求并提供IT基础设施访问权,这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。 预计在12月和未来几个月内,另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。 Conti已经致力于开发基于Log4Shell漏洞的感染链,并可能利用它对易受攻击的网络执行攻击。 勒索软件是一种不断变化的威胁,它会迅速演变为新的攻击,因此需要采取一些安全预防措施来充分防范它。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Windows 注册表中隐藏的 DarkWatchman 恶意软件

Hackernews 编译,转载请注明出处: 一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。 根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。 在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。   这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。   如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。 DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。 它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。 DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。 不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。   一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。 “键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。 键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。   因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。 在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。 这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。 DarkWatchman的功能如下: 执行EXE文件(返回或不返回输出) 加载DLL文件 在命令行上执行命令 执行WSH命令 通过WMI执行其他命令 执行PowerShell命令 评估JavaScript 从受害计算机将ILE上载到C2服务器 远程停止并卸载RAT和键盘记录器 远程更新C2服务器地址或呼叫总部超时 远程更新RAT和键盘记录器 将autostart JavaScript设置为在RAT启动时运行 C2弹性域生成算法(DGA) 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本 Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。 该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。 由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。 这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自HackerNews.cc ” 并附上原文链接

窃取信息恶意软件 TinyNuke 再次攻击法国用户

Hackernews 编译,转载请注明出处: 窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。 TinyNuke 的重新出现 TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。 Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。 最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。 托管在合法站点上的有效负载 攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。 对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的方法相同, 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。 “Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。 “该字符串在流行阿拉伯语中含侮辱意思,主要用于欧洲讲法语的郊区。” 在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。 就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。 通过添加一个新的注册表项来保证持久性,如下所示: Persistence is secured by adding a new registry key as shown below: key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82 data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe Μise en garde 虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。 因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意 Excel XLL 插件推送 RedLine 密码窃取恶意软件

Hackernews 编译,转载请注明出处:消息来源: 网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件,以分发 Excel XLL 文件,而它会下载和安装 RedLine 恶意软件,用于密码和信息窃取。 RedLine 是一种信息窃取木马程序,它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡,以及受感染设备的 FTP 凭据和文件。 除了窃取数据,RedLine 还可以执行命令、下载和运行更多恶意软件,以及进行 Windows的屏幕截图。 所有这些数据都被收集并发送回攻击者那里,之后在犯罪市场上出售或用于其他恶意和欺诈活动。 在过去的两周里,BleepingComputer 的联系表格收到多次垃圾邮件,其中包含不同的网络钓鱼诱饵,如虚假广告请求、节日礼物和网站促销。 在对诱饵进行研究后,BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的大规模活动。 在 BleepingComputer 发现的一些网络钓鱼诱饵中,攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。 例如,有一次攻击使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。   其他垃圾邮件伪装成付款报告、广告请求或礼品指南,其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接,如下所示。 特别有趣的是针对网站所有者的诱饵,这种诱饵会请求在他们的网站上做广告并要求他们查看合约的条款,这会启动恶意“terms.xll”文件,并安装恶意软件。 把你网站上的广告位卖给我们,起价500美元/n你可以在下面的链接中阅读我们的条款 Https://drive.google /file/d/xxx/view? usp = sharing BleepingComputer 还收到了其他的诱饵邮件,如下所示: 感谢您使用我们的应用程序。您的付款已被批准。点击下面的链接可以看到您的付款报告:  https://xxx [ . ] link/report.xll   谷歌刚刚公布了2021年最热门的100件礼物,我赢得了一万美元。你也想要吗? 阅读和接受条款 Https://drive.google /file/d/xxx/view? usp = sharing 这些垃圾邮件活动旨在推送恶意 Excel XLL 文件,这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。 XLL 文件是一个插件,允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。 XLL 文件只是一个包含一个“xlAutoOpen”函数的DLL 文件,在加载项打开时由 Microsoft Excel 执行。   BleepingComputer 和安全研究机构 TheAnalyst一起进行了测试,讨论这次攻击,我们做得测试并没有正确加载 XLL 文件,但它们可能适用于其他版本的 Microsoft Excel。 但是,使用 regsvr32.exe 命令或“rundll32 name.xll,xlAutoOpen”命令手动执行 DLL 会将 wget.exe 程序解压缩到%UserProfile% 文件夹,并使用它从远程站点下载 RedLine 二进制文件。     这个恶意的二进制文件保存为% UserProfile% JavaBridge32.exe [ VirusTotal] 然后被执行。一个注册自动运行条目也将被创建,每次受害者登录 Windows都会自动启动信息窃取软件 ReadLine。     一旦恶意软件被执行,它将搜索有价值的数据来窃取,包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。 由于 XLL 文件是可执行文件,攻击者可以使用它们在设备上执行各种恶意行为。因此,如果你收到这个文件,除非它来自受信任的来源,否则你绝不能打开它。 这些文件通常不作为附件发送,而是通过另一个程序或通过您的 Windows 管理员安装。 因此,如果您收到分发这些类型文件的电子邮件或其他消息,只需删除该消息并将其报告为垃圾邮件即可。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络黑客正利用虚假广告来传播恶意程序

网络犯罪分子正不断提高技术方式,寻找利用用户并获取其个人数据的新方法。过去,欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击,伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告,作为从不知情的用户那里获取信息的有效方法,一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”(malvertising),Talos 情报组织认为,一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为,Magnat 活动可能在 2018 年底开始,目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载,他们就会运行一个假的安装程序,将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件,但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器,用于收集用户凭证,通常通过一个被称为 Redline 的普通工具。另一个恶意软件,称为 MagnatBackdoor,通过微软远程桌面设置对用户设备的远程访问。这种访问,结合由 Redline(或类似工具)窃取的用户凭证,可以提供对用户系统的不受约束的访问,尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展,它被用于键盘记录,获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本,并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进,并没有很快放缓的迹象。安装包的名称不断变化,通常参考流行的应用程序的名称,以增加可信度,并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   (消息及封面来源:cnBeta)