RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。 除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。 研究人员分别统计了这些恶意版本在被移除前被下载的次数，一共被下载了三千多次，其中 rest-client 1.6.13 被下载了一千多次： rest-client：1.6.10（下载 176 次），1.6.11（下载 2 次），1.6.12（下载 3 次）和 1.6.13 （下载 1061 次） bitcoin_vanity：4.3.3（下载 8 次） lita_coin：0.0.3（下载 210 次） 即将推出：0.2.8（下载211次） omniauth_amazon：1.0.1（下载 193 次） cron_parser：0.1.4（下载 2 次），1.0.12（下载 3 次） ）和 1.0.13（下载 248 次） coin_base：4.2.1（下载 206 次）和 4.2.2（下载 218 次） blockchain_wallet：0.0.6（下载 201 次）和 0.0.7（下载 222 次） awesome-bot：1.18.0（下载 232 次） doge-coin：1.0.2（下载 213 次） capistrano-colors：0.5.5（下载 175 次） 安全起见，建议在依赖关系树中删除这些库版本，或者升级/降级到安全版本，详情查看： https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie   （稿源：开源中国，封面源自网络。）

恶意勒索软件近年来已经成为计算机系统的主要威胁，在成功入侵个人电脑，医院、企业、机构和政府部门的系统之后就会进行加密锁定，只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告，详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现，黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径，因为它是未经身份验证的，可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点，只要单反连接到这些热点之后就能进行攻击，从而进一步感染用户的PC。 在一段视频中，Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像，以便用户无法访问它们。他还指出，相机对于黑客来说可能是一个特别有价值的目标：毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中，黑客设定的赎金往往不会太高，因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞，并且两人于5月份开始工作以开发补丁。上周，佳能发布了安全公告，告诉人们避免使用不安全的WiFi网络，在不使用时关闭网络功能，并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试，但是他告诉The Verge：“由于协议的复杂性，我们还认为其他供应商也可能容易受到这种攻击，但这取决于他们各自的实施情况。”   （稿源：cnBeta，封面源自网络。）

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍，而且受影响的组织中有50％属于制造业。基于近阶段的网络攻击，本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告，强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现，诸如Industroyer，NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控，而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示：“在历史上，像Stuxnet，Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来，网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中，例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标，目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区，非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件，然后窃取进入内部网络所需要的电子凭证，注水漏洞攻击，劫持目标连接从而让对方妥协。 在发动恶意攻击之前，一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示：“目前在破坏型恶意软件中存在另种攻击行为，前期保持缓慢发展，直到收集到需要的所有信息才会进行破坏；而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后，平均会有12000个工作站受到损坏，并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下，恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高，平均成本高达2.39亿美元。作为对比，Ponemon Institute估计，平均数据泄露将花费392万美元。   （稿源：cnBeta，封面源自网络。）

据外媒CNET报道，研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技（Trend Micro）周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。 趋势科技在2月份分析了Twitter 数据，发现犯罪分子吸引更多的受害者的方法。这包括重复发布虚假电话号码，同时通过电话冒充官方技术支持代理，并说服受害者交出信用卡信息。网络犯罪分子还使用虚假技术支持Twitter帐户来散布针对银行账户的窃取数据的恶意软件。 根据趋势科技的说法，Twitter骗局是欺诈者在Facebook、YouTube、Pinterest和Telegram上进行多平台努力的一部分。 “直接阻止技术支持骗局是棘手的，因为他们不依赖于恶意可执行文件或黑客工具，”该研究称。“他们反而通过社会工程攻击来将目标对准毫无戒心的受害者。” Twitter有针对诈骗和滥用的政策。趋势科技表示，其发现这些规则得到了积极执行，而且它发现的许多诈骗帐户都被迅速删除。 趋势科技在其网站上发布了完整报告。Twitter没有立即回复评论请求。   （稿源：cnBeta，封面源自网络。）

在No More Ransom项目三周年之际，欧洲刑警组织(Europol)宣布，通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。 欧洲刑警组织称，仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。 该项目于2016年7月启动，现在拥有82个工具，可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft，Avast和Bitdefender等病毒安全软件制造商创建和共享的; 以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。 到目前为止，最有经验的成员是防病毒制造商Emsisoft，它为32种不同的勒索软件菌株发布了32种解密工具。 “我们为释放MegaLocker的解密器感到非常自豪，因为它不仅帮助了成千上万的受害者，而且它确实激怒了恶意软件作者，”Emsisoft的研究员Michael Gillespie告诉ZDNet。 欧洲刑警组织表示，自推出以来，有超过300万用户访问了该网站，超过20万用户从No More Ransom门户网站下载了工具。网站访问者来自世界各地的188个国家，这表明尽管该项目始于欧洲，但其覆盖范围现已全球化。 根据欧洲刑警组织分享的统计数据，该网站的大部分访客来自韩国、美国、荷兰、俄罗斯和巴西。 No More Ransom最初只与三个机构展开合作 – 荷兰警察，卡巴斯基和迈克菲 – 但现在在全球有超过150个合作伙伴。No More Ransom的唯一奇怪之处在于缺乏任何美国执法机构。合作伙伴来自各个领域，包括执法、公共组织和私营公司。 “我们一直与欧洲LEA [执法机构]保持良好的工作关系，与他们共享数据一直非常简单，”Emsisoft首席技术官Fabian Wosar告诉ZDNet。 “Europol并没有要求我们创建特定的解密工具，我们只是让他们访问我们创建的工具，”Wosar补充说道。“但是，我们已被要求为许多公司提供定制解密解决方案。” 然而，Emsisoft发言人告诉ZDNet，欧洲刑警组织分享的1.08亿美元估计“实际上是被严重低估”。   （稿源：cnBeta，封面源自网络。）

BitTorrent 客户端 BitLord 被发现捆绑了名叫 PremierOpinion 的间谍软件，该间谍软件会利用中间人攻击的方法捕捉机器的 SSL/TLS 流量。它会安装一个代理在端口 8888、8443 和 8254，安装一个本地系统证书，该证书会被所有应用程序自动信任。 当所有流量都经过它的代理，它会解密所有加密流量，监视用户的在线活动。 PremierOpinion 主要通过捆绑在其它软件进行传播，其中之一是 BitLord。BitLord 最早是基于比特彗星源代码的一个 BitTorrent 客户端，能利用 VLC 串流视频。   （稿源：cnBeta，封面源自网络。）

作为南非最大的城市兼金融中心，约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索软件攻击，导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。 （截图 via ZDNet） 昨日开始扎根的恶意软件感染事故，现正在阻止顾客购买电力、或将fuyu电力反馈（回售）给 City Power，因为部分居民正在使用光伏面板来发电。 南非商业内幕（Business Insider South Africa）报道称，7 月 25 日也是许多南非人的标准发薪日，通常这天会有许多人领导工资就去充值。 然而过去 12 小时，许多 City Power 用户都在 Twitter 上抱怨市电中断且无法充值。作为该市所属的电力企业，该公司还称，由于无法访问内部应用程序，其中断响应已变得更加困难。 不过在紧急情况下，该公司正在增加备用支持团队的人员数量。至于影响该公司电网的勒索软件的名称，City Power 并未透露。 近年来，针对各大城市基础设施的勒索软件攻击正变得越来越普遍。为了尽快访问缺乏备份的市政文件，一些城市已主动支付过巨额的赎金，比如佛罗里达州的里维埃拉海滩市（60 万美元）和莱克城（50 万美元），以及佐治亚州的杰克逊县（40 万美元）。 此前，亚特兰大和巴尔的摩市经历了大规模的勒索软件感染，摧毁了各式各样的城市服务，最终让其付出了数千万美元的代价，以重建市政 IT 网络。 至于越南内斯堡，其应该庆幸勒索软件尚未突破其关键的 IT 网络。且最近几个月来，市政或电力等基础设施服务，正在成为越来越多的勒索软件团伙的攻击目标。   （稿源：cnBeta，封面源自网络。）

研究人员发现了一些有史以来最先进、功能最全面的移动监视软件。自 2016 年 3 月以来，这种被称作 Monokle 的 Android 应用程序就已经被发现。据说 Monokle 由俄罗斯国防承包商开发，旨在帮助该国情报机构干预 2016 美总统大选。安全研究机构 Lookout 发布的一份报告称，Monokle 使用了几种新式手段，包括修改 Android 可信证书存储区，可通过互联网 TCP 端口、电子邮件、短信或电话通信下达指令和控制网络。 Monokle 将自己伪装为正常应用图标（题图 via ARSTechnica） 更令人意想不到的是，Monokle 提供了离线监控功能，即便在互联网连接不可用的情况下，该软件也能够正常工作。下面是 Lookout 披露的 Monokle 的完整功能： ● 检索日历信息，包括事件名称、时间、地点等描述； ● 针对 HTTPS 流量和其它受 TLS 保护的通信的中间人攻击； ● 收集 WhatsApp、Instagram、VK、Skype、imo 的帐户信息和检索消息； ● 通过短信或指定的控制电话发送关键字（控制短语）和接收外带消息； ● 将短信发送给攻击者指定的号码； ● 重置用户密码； ● 录制环境音频（并可制定高 / 中 / 低音质）； ● 拨打电话； ● 通话录音； ● 检索流行办公应用的文档文本； ● 拍摄照片、视频和截图； ● 记录包括手机解锁 PIN 码在内的密码； ● 检索加密盐，以帮助获取存储在设备上的 PIN 码等密码； ● 接受来自一组指定电话号码的命令； ● 检索联系人、电子邮件、通话记录、浏览历史记录、帐户和相应的密码； ● 获取包括品牌、型号、功率级别、Wi-Fi 或移动数据连接、屏幕开启或关闭等在内的设备信息； ● 若设备已开启 root 权限，Monokle 可以 root 身份执行任意 shell 命令； ● 追踪设备位置； ● 获取附近蜂窝基站信息； ● 获取已安装应用列表； ● 获取附近 Wi-Fi 详情； ● 删除任意文件； ● 下载攻击者指定的文件； ● 重启设备； ● 卸载自身并删除受感染手机中的所有痕迹。 基于对某些 Monokle 样本的分析，Lookout 研究人员猜测还有针对苹果 iOS 设备开发的 Monokle 版本。 开发者可能无意中将某些 iOS 控制代码添加到了 Android 示例中，可针对密钥字符串、iCloud 连接、Apple Watch 加速度计数据、iOS 权限、以及其它 iOS 功能或服务。 之所以将这类恶意软件称作 Monikle，是因为它包含了所谓的 monokle-agent 组件。尽管目前 Lookout 研究人员尚未发现任何 iOS 样本，但其认为它们可能正在开发过程中。 Monokle 恶意软件样本的签名日期排布（图自：Lookout） Lookout 研究人员认为 Monokle 与圣彼得堡的 STC 公司有特殊的联系，时任美国总统奥巴马曾对这家俄罗斯国防承包商施加过制裁，理由是其涉嫌干预 2016 美总统大选。 有线索表明，Monokle 与 STC 的控制服务器有连接，且后者的加密证书被用于该恶意软件的样本签名。此外，Monokle 的复杂性表明，其背后或有政府力量在提供暗中支持。 Lookout 还举了 PegASUS 这个例子，这款由以色列开发的针对 iOS 和 Android 设备的强大间谍应用程序，曾于 2016 年被用于对抗阿联酋的不同政见者、并于今年被再次用于英国律师。 Lookout 安全情报高级经理 Christopher Hebeisen 在接受 ArsTechnica 采访时称，我们又一次见到了有国防承包商来生产一种用于监视移动设备用户的高度复杂的恶意软件。 Lookout 指出，这样的行为，会对移动设备造成极高的被攻击风险。不过研究人员也发现，Monokle 被伪装成了极少数的应用程序，表明该监视工具是专门为攻击有限数量的特定人群而开发的。 根据 App 的名称和图标，Lookout 列出了 Monokle 潜在攻击目标的一些特征 —— 某教信众、居住在东欧高加索和附近地区、对一款名叫 UzbekChat 的消息应用程序感兴趣。 其表示，大多数应用程序都被打包进了合法的功能，以防止用户对这款恶意软件产生怀疑。   （稿源：cnBeta，封面源自网络。）

德国国家网络安全机构 BSI 发布警告称，有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件，当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行，快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件（HTML 应用程序的简称），该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称，下载 Sodinokibi（也称为 REvil 和 Sodin）payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后，Sodinokibi 将加密受害者的文件，并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档，其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款，金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软用户正成为新恶意软件活动的目标，其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现，该页面经过了精心设计，看上去尽可能相似，以至于它甚至包含指向微软官方域名的链接。 但是，在登录页面几秒钟后，恶意网站将向用户提供适用于其浏览器的警告，并建议下载并安装更新。 Google Chrome和Mozilla Firefox用户可以收到特别为他们定制的，让人疑惑的页面上。最经常看到的提示时“您使用的是较早版本的Chrome浏览器”，使用Google Chrome浏览网页的设备上会显示这一消息。 该警告的名称为Chrome Update Center或Firefox Update Center，具体取决于所使用的浏览器。 用户下载“更新”后，它会部署TrickBot特洛伊木马程序，该马程序专门查找浏览器中存储的密码，浏览历史记录和自动填充数据。它还可以创建已安装程序的列表以及遍历在设备上运行的Windows服务，然后将所有被盗信息传输到服务器，恶意软件通过安装到Windows的svchost.exe进程中来避免检测，这让用户在手动检查恶意进程时更加困难，尽管防病毒解决方案应该能够阻止它。   （稿源：cnBeta，封面源自网络。）