思科 Talos 集团的安全专家发现了一种新型的恶意软件 Telegrab ，针对桌面版端到端加密即时消息服务 Telegram 发起攻击。 分析表明，这个恶意软件是由现一个讲俄语的攻击者开发的，目标受害者是讲俄语的用户。 研究人员捕获的恶意代码是 Telegrab 恶意软件的一个变体，于 2018 年 4 月 4 日首次出现在野利用，目的是从 Telegram 应用程序中收集缓存和关键文件。第二个版本于 2018 年 4 月 10 日出现，与第一版不同，这一版除了搜集文本文件、浏览器凭证和 cookie 以外，还能获取桌面版 Telegram 的缓存以及移动登录凭证，进而劫持活跃的 Telegram 会话。 Talos研究人员发现，恶意代码有意避免与匿名服务相关的IP地址。幕后攻击者使用多个pcloud.com硬编码帐户来存储泄密数据，被盗信息未经过加密，导致任何访问这些帐户凭证的人都可以获取泄露数据。   稿源：Freebuf，封面源自网络；

近日，研究人员发现名为 Nigelthorn 的恶意软件异常活跃，利用 Google Chrome 扩展程序 Nigelify 发起攻击，已经感染了 100 多个国家超过 10 万个计算机系统。被感染的计算机大多位于菲律宾、委内瑞拉以及厄瓜多尔。 这个恶意软件可以窃取凭证、挖矿，还能实行点击劫持以及其他恶意活动。 研究人员表示，该恶意软件主要利用 Facebook中的链接传播，受害者点击链接之后，会被重定向到虚假的 YouTube 页面，并被诱导下载并安装有助于播放视频的 Chrome 扩展程序。一旦受害者点击安装，恶意软件就会以扩展程序的方式添加到浏览器中。不管是 Windows 系统还是 Linux 系统，只要运行 Chrome 浏览器，就有可能遭到相关攻击。 稿源：Freebuf，封面源自网络；

安全公司 F5 近日发布报告，称黑客利用 PANDA Banker 恶意软件频繁攻击银行机构、加密货币交易平台以及社交媒体。 PANDA Banker 的主要特征是窃取账号和凭证，进而利用“man in the browser”攻击窃取受害者财物。 F5 表示，PANDA Banker 持续针对日本公司发起攻击，同时，美国、加拿大以及拉丁美洲的金融机构也没能幸免。报告表明，PANDA Banker 最初只攻击全球的金融服务，但随着全球掀起加密货币热潮，在线加密货币交易服务也成了 PANDA Banker 的目标。社交媒体、搜索网站、电子邮件甚至成人网站等可能被用于挖矿的途径也都纷纷沦陷。 稿源：Freebuf，封面源自网络；

外媒近日消息，全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术，其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在，它由全世界数百万台被感染的电脑组成，目前趋势科技观察到其恶意软件已经得到改进，企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩，就会显示一个扩展名为 . url 的文件，.url 扩展名文件与 Windows 快捷方式文件相关联，该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后，该脚本会生成了一个名为 QuantLoader 的下载程序（这是一个普通的恶意软件家族）来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前，Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中，是通过远程脚本生成 QUANTLOADER  下载程序 （由趋势科技检测为 TROJ_QUANT） ，然后下载最终的有效负载，这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的： 首先，它会在下载最终有效负载之前增加另一个下载阶段，以此来混淆并逃避行为检测。 其次，QUANTLOADER 本质上是持久性的 ， 它会删除自身的副本并创建一个自动运行注册表，以便在启动时执行。 根据趋势科技的说法，为了找到其他有效的方法来欺骗受害者，并且消除针对它的反措施，Necurs 事实上在不断演变，比如说为了使用户更加相信，攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意，除了伪装成文件夹的图标之外，文件名还被制作成典型的文件夹名称，例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告： 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件，黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例，其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列，其中一种是 XTRAT 后门（又称“ XtremeRAT ”， BKDR_XTRAT.SMM）与信息窃取者木马 Loki（TSPY_HPLOKI.SM1）一起提供跨平台远程访问木马 Adwind（由趋势科技检测为JAVA_ADWIND.WIL）。而另一个单独的 Adwind RAT 垃圾邮件活动中，研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示，这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org，并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到，其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞，以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来，Adwind 就可以在所有主流操作系统（Windows，Linux，MacOSX，Android）上运行，并且以其各种后门功能而闻名，如（但不限于）： -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传，下载和执行文件 XTRAT 与 Adwind 具有类似的功能，例如信息窃取，文件和注册表管理，远程桌面等。它还具有以下功能： -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作（读取，写入和操作） -进程操作（执行和终止） -服务操作（停止，启动，创建和修改） -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能：执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁，专家建议采取多层次的安全措施，IT 管理员应定期保持网络和系统的修补和更新，并且由于 Adwind 的两种变体都通过电子邮件发送，所以必须确保电子邮件网关的安全，以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析： 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

多数用户在安装谷歌浏览器和火狐浏览器后都会选择立即安装广告拦截扩展工具以便能够阻挡网页上的广告。但如果你直接在谷歌浏览器在线商店里搜索 ADBLOCK 等等热门广告拦截工具的关键词时就有可能遭到欺骗。目前研究人员在该浏览器商店发现 5 款恶意广告拦截工具，这些拦截工具的下载安装总量已经达到 2000 万次。 李鬼广告拦截器控制用户电脑： 这些广告拦截器主要通过修改脚本的方式来躲避谷歌的审核，这些脚本非常常见因此审核人员没有仔细查看。但实际上这些脚本已经被修改并植入恶意代码，这些恶意代码会将用户访问的网站上传到攻击者的服务器上。为了避免被发现攻击者下发的远程控制指令全部藏在图片里，图片本身无害但恶意代码可以读取其中的内容。最终加载的恶意脚本有能力让攻击者以任何方式改变浏览器，攻击者也可以随时下发命令进行远程操作等等。被感染的用户们会组成僵尸网络供攻击者使用，但目前尚未有调查证实攻击者具体用僵尸网络都干了些什么。 榜上热门关键词吸引用户下载： 能够被下载 2,000 万次自然不能靠简单的伪装，这些恶意广告拦截器主要依靠热门关键词诱导用户主动安装。 同时在用户安装后也会发现真的可以拦截广告，因为本身这些恶意拦截器就是基于 ADBLOCK 之类进行修改。 所以部分热门的李鬼拦截器有着几千甚至几万的五星好评，这些五星好评让后来的用户更容易被吸引和上当。 李鬼拦截器包括至少包括以下五个： AdRemove for Google Chrome（这款扩展高达 1000 万次安装）、uBlock Plus（主要冒充 uBlock 拦截器） Adblock Pro（主要冒充 Adblock Plus、安装 200 万次）、HD for YouTube（拦截视频广告、安装 40 万次） Webutation 这款由于没有榜热门的广告拦截器所有只有 3 万次安装，并且整体评分也没有上面几款评分高。 稿源：蓝点网，封面源自网络；

近日，CSE CybSec ZLab 恶意软件实验室的安全专家对暗网上主要 RANSOMWARE-AS-A-SERVICE（勒索软件即服务）平台进行了有趣的分析，其中包括 RaaSberry、Ranion、EarthRansomware、Redfox、Createyourownransomware、DataKeeper 等勒索软件。 多年来，暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外，地下黑客还出现了其他服务，例如黑客服务和恶意软件开发。新的平台允许没有任何技术技能的不法人士创建自己的勒索软件并将其传播。 勒索软件是感染受害者的机器并阻止或加密他们的文件的恶意代码，黑客通过其来要求受害用户支付赎金。当勒索软件安装在受害者机器上时，它会搜索并定位敏感文件和数据，包括财务数据，数据库和个人文件。开发勒索软件的目的是为了让受害者的机器无法使用。用户只有两种选择：一是在没有获取原始文件的保证的情况下支付赎金，二是将 PC 从互联网断开。 由此，RaaS 商业模式的兴起使得恶意行为者无需任何技术专业知识就可以毫不费力地发起网络敲诈活动，这也正是导致新的勒索软件市场泛滥的原因。 勒索软件即服务是恶意软件销售商及其客户的盈利模式，使用这种方法的恶意软件销售商可以获取新的感染媒介，并有可能通过传统方法（如电子邮件垃圾邮件或受损网站）接触到他们无法达到的新受害者。RaaS 客户可以通过 Ransomware-as-a-Service 门户轻松获取勒索软件，只需配置一些功能并将恶意软件分发给不知情的受害者即可。 当然，RaaS 平台不能在 Clearnet 上找到，因此它们隐藏在互联网暗网中。但通过非传统搜索引擎浏览黑网页，可以找到几个提供 RaaS 的网站。在该网站上，每个人为勒索软件提供不同的功能，允许用户选择加密阶段考虑的文件扩展名; 向受害者要求的赎金以及恶意软件将实施的其他技术功能。 此外，除了使用勒索软件即服务平台之外，购买定制恶意软件还可以通过犯罪论坛或网站进行，其中可以雇佣黑客来创建个人恶意软件。从历史上看，这种商业一直存在，但它专门用于网络攻击，如间谍活动、账户黑客攻击和网站篡改。一般情况下，只有当黑客了解到它可以盈利时，他们才开始提供这种特定的服务。 ZLAB 完整分析报告： 《ZLAB MALWARE ANALYSIS REPORT: RANSOMWARE-AS-A-SERVICE PLATFORMS》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司 Avast 报告，近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂，被认为是拷贝了已有代码，但它的隐藏在修改的游戏皮肤中，上传到了 Minecraft 官方网站，因为托管在官方域名，当安全软件弹出警告后可能会被用户认为是误报。 Minecraft 是最受欢迎的沙盒游戏之一，截至 2018 年 1 月全世界有 7400 万玩家，但只有一下部分上传修改的皮肤，绝大部分使用默认皮肤，所以只有一小部分人被感染。 稿源：cnBeta、solidot，封面源自网络；

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件，其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis，目前仍然非常活跃，其攻击目的是窃取包括凭证在内的用户信息，从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间，研究人员在超过 150 个用户网络中检测到这种恶意软件，主要受害者位于韩国、孟加拉国和日本，而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织，其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示：“日本的一家媒体最近报道了这次攻击事件，但是在我们稍微进行了一些研究后发现，这种威胁并非起源自日本。事实上，我们发现了多个线索，表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此，大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户，日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击，通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持，用户访问任何网站的行为都会指向一个看上去真实的 URL 地址，其中的内容是伪造的，并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验，请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装，这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”，其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root，并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据，包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来，这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标，进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接，表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外，它支持四种语言，分别为韩语、简体中文、日语和英语。但是，我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说：“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现，而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机，我们需要提高用户的防范意识，让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段，表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染，卡巴斯基实验室建议采取以下措施： ● 请参阅您的路由器的使用说明，确保您的 DNS 设置没有被更改，或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源：比特网，封面源自网络；

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日，腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包（SDK）——“寄生推”，通过预留的“后门”云控开启恶意功能，进行恶意广告行为和应用推广，以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染，潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示，已有数十万用户设备 ROM 内被植入相关的恶意子包，受到影响的设备会不断弹出广告和地下推广应用。此外，这些恶意子包可以绕过大多应用市场的安装包检测，导致受感染的应用混入应用市场，给用户和应用开发者带来重大损失。 更值得关注的是，感染“寄生推” SDK 的知名应用中，不仅类型丰富，更是不乏用户超过千万的巨量级软件，“我们估测超过 2000 万用户都受此威胁”，腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 （图：“寄生推”推送 SDK 恶意子包影响范围广） 传播过程酷似“寄生虫”：强隐蔽性+强对抗性 “寄生推”不仅影响范围广，在传播路径上更是“煞费苦心”。据雷经纬介绍，该信息推送 SDK 的恶意传播过程非常隐蔽，从云端控制 SDK 中实际执行的代码，具有很强的隐蔽性和对抗杀毒软件的能力，与“寄生虫”非常类似，故将其命名为“寄生推”。 具体表现为，首先，其开发者通过使用代码分离和动态代码加载技术，完全掌握了下发代码包的控制权；随后，通过云端配置任意下发包含不同功能的代码包，实现恶意代码包和非恶意代码包之间的随时切换；最后在软件后台自动开启恶意功能，包括植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广等，最终实现牟取灰色收益。 如何远离手机中的“寄生虫”？安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害，腾讯手机管家安全专家杨启波提出以下三点建议：其一，SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术，要谨慎接入具有动态更新能力的 SDK，防止恶意 SDK 影响自身应用的口碑；其二，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。 （图：腾讯手机管家查杀“寄生推”病毒） 最后，用户应养成良好的安全使用手机的习惯，借助腾讯手机管家等第三方安全软件对手机进行安全检测，移除存在安全风险的应用。作为用户手机安全的第一道防线，腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力，进一步增强整体防御能力。据了解，腾讯 TRP-AI 反病毒引擎，首次引入基于 APP 行为特征的动态检测，并结合AI深度学习，对新病毒和变种病毒有更强的泛化检测能力，能够及时发现未知病毒，变异病毒，和及时发现病毒恶意代码云控加载，更为智能的保护用户手机安全。 稿源：凤凰网，封面源自网络；