外媒 3 月6 日消息，Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件，它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板，并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址，达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币（其中包括 比特币、莱特币、门罗币和以太坊），还可以针对其他数字支付系统，如 Qiwi、Yandex Money 和 WebMoney（美元和卢布支付）。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件，当用户打开这个 PDF 时，附件中一个试图利用 DirectX 漏洞（CVE-2017-8579 ）的 RTF 文件也将被打开。研究人员发现，该 RTF 文件引用了嵌 入式远程对象（一个包含编码 PowerShell 命令的 HTA 文件）。一旦从远程服务器获取到，该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件（SFX）。这时感染过程还并未结束，只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后，才能成功提取 ComboJack ，而为了实现持久性，ComboJack 还会设置一个注册表项。 这些步骤完成后，ComboJack 将开始每半秒检查一次剪贴板的内容，以确定是否复制了不同数字货币的钱包信息。一旦成功捕获，ComboJack 将会使用硬编码数据来替换钱包地址，并试图将资金转移到目标钱包。 研究人员分析指出，这种攻击策略依赖于钱包地址冗长而复杂，因为为了防止错误，大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨，未来可能会出现越来越多针对虚拟货币的恶意软件，因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源：securityweek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 3 月 2 日报道，全球最大语音识别公司 Nuance 声称因受恶意软件 NotPetya 的攻击影响，其损失金额已超过 9000 万美元。 NotPetya 于去年 6 月 27 日在全球各地尤其欧洲地区爆发，最初只被认为是勒索软件 Petya 的变种，后经深入研究发现 NotPetya 其实是比勒索软件更具破坏性的硬盘擦除器。 在这场攻击活动中，受影响的企业包括俄罗斯石油公司 Rosneft、马士基航运集团、美国医药巨头默克集团（Merck）、联邦快递（FedEx）、全球领先巧克力饼干零食生产商亿滋国际（Mondelez International）、语音识别公司 Nuance、利洁时集团（Reckitt Benckiser）和圣戈班集团（Saint-Gobain）等，据估计，这些公司至少都损失了数百万美元。 去年，Nuance 估计其 2017 年第三季度的收入因 NotPetya 攻击约会损失 1500 万美元，但目前该公司表示，这次袭击造成的经济损失总额已接近 1 亿美元。一份 Nuance 向证券交易委员会（SEC）提交的最新 10-Q 文件显示了该总额的由来： NotPetya 在 2017 年为其带来的经济损失约为 6800 万美元，再加上由于实施了补救措施， Nuance 还产生了约 2400万 美元的增量成本。 文件指出，NotPetya 恶意软件影响了 Nuance 的一些系统，比如其医疗保健客户使用的系统（主要用于转录服务，以及由成像部门用来接收和处理订单）。目前来说， Nuance 公司的医疗保健部门受到的冲击最大。 除此之外，该公司还表示，虽然此次袭击的直接影响在 2017 财政年度中得到补救，但 2018 财年第一季度的业绩仍会受到继续影响。由此，Nuance 决定将在 2018 及以后的财政年度投入更多的资金来改善和提升信息安全。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现，美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件，旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法，攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站，并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是，受影响的网页是一个有关凶杀报告的页面，报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计，Coinhive 可能会影响全球四分之一的组织。当用户访问网页时， Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币，从而影响系统性能。虽然 Coinhive 是一个合法的服务，为网站管理员寻找一种可替代广告的盈利模式，但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中，而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下，脚本一般被设置为以非最高级别开采，从而消耗较少的计算能力，并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为，目前云配置错误事件频出，许多企业的攻击面也大大扩展 ，再加上没有统一的安全控制和流程保证，因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制，那么很可能将会造成惨痛的失败。 消息来源：infosecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 2 月 23 日报道，科罗拉多州交通部（DOT）于本周三发生了一起勒索事件 — 黑客利用 SamSam 勒索软件感染 DOT 计算机系统，并以恢复数据为要挟条件来获取比特币赎金。不过日前 DOT 方面已采取了补救措施，但其表示不会通过支付赎金的方式，而是选择关闭 2000 多台员工计算机设备。 SamSam 是一款由单个团体部署的勒索软件，在 2016 年冬季被广泛使用。但据媒体介绍，目前黑客组织似乎准备利用 SamSam 开展新的攻击活动。 研究人员介绍了 SamSam 的部署方式：攻击者通过暴力破解 RDP 连接来访问公司内部网络，从而感染目标设备系统，以达到利用 SamSam 勒索软件加密相关文件的目的。 在最近的一些攻击活动中，SamSam 运营商通常会要求受害用户支付 1 比特币赎金，并在其计算机上留下 “ 我很抱歉 ” 的消息。 此外，研究人员还发现在今年 1 月份感染医院、市议会以及 ICS 公司的勒索软件似乎也是 SamSam。目前根据初步统计结果显示，黑客组织从这些攻击中赚取的赎金已超过 30 万美元。其中印第安纳州的一家受害医院在有备份数据的情况下也同意支付黑客 55,000 美元的赎金需求，因为该医院认为支付赎金比从备份恢复所有计算机数据更容易、更快。 但 DOT 表示，他们不会屈服黑客的赎金威胁，将会选择从备份中恢复数据。交通部官员告诉当地媒体其关键系统受到影响，例如管理道路监控摄像头、交通警报、留言板等重要模块。除此之外，DOT 的 IT 人员也正在与其防病毒提供商 McAfee 合作，在将 PC 重新引入网络之前，对受影响的工作站进行补救，并保护其他终端。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据英国每日邮报报道，伊朗可能正借助苹果和谷歌应用商城中一些由政府秘密赞助的应用，对美国、英国和世界各地的数百万用户进行秘密监视。这一消息来自于伊朗反抗力量政府全国议会（NCRI）周四发表的一份最新报告，NCRI 是伊朗的反政府政治组织。 据这份报告称，伊斯兰革命卫队（IRGC）研发了多款能够通过后门程序激活的监视 App 应用，而且上传到苹果、谷歌和 GitHub 应用平台，目的就是为了监视和防止新的政治暴动出现。 报告指出，苹果和谷歌 Play 商城上一款名为 Mobogram 的即时通讯 App，就是由伊朗政府研发和监控的间谍 App 。NCRI 华盛顿办公室的副局长 Alireza  Jafarzadeh 称：“ IRGC 已经将西方网络技术武器化，并且将那些试图解放自己国家的人们为目标。伊朗政府目前正在伊朗人民身上进行这些 App 的初步测试。如果没有阻碍，它的下一个目标将是其它国家的用户。” 据分析公司 App Annie 的分析数据，Mobogram 在苹果 App 商城的美国社交网络 App下载数量上排名 156。创立了俄罗斯端对端加密通信软件 Telegram 的 Pavel Durov 对用户发出警告称：“用户应当避免下载 Mobogram，它或许存在安全隐患。” 自去年 12 月份反政府抵抗活动期间 Telegram 被临时禁用之后，伊朗的智能手机用户已经转向 Mobogram 等 App。伊朗的大部分用户都使用 Telegram 进行交流，而不是推特或者脸书。Telegram 在伊朗的用户数量大约为 4 千万，伊朗之外的用户数量大约为 4500 万。 Durov 也声称，伊朗政府曾经想要他帮助政府使用 Telegram 对用户进行监视，但是他拒绝了这一要求。生活在伊朗之外的家庭成员通常会借助 Mobogram 或者其它通讯 App 与生活在国内的亲属进行联系。NCRI 声称，那些用户很可能成为伊朗军方大规模监控计划的受害者，伊朗政府正借助嵌入在App中的恶意代码对反对者和持反对意见者进行监控。 此外据 NCRI 宣称，Mobogram 正借助 IRGC 支持的一个“本土商城”进行推广，也就是 Café Bazaar。Café Bazaar 模仿的就是谷歌的 Play 商城，其中拥有成千上万的 App 应用。Jafarzadeh 称，伊朗政府能够借助间谍 App 发现用户的电话号码、地址和其它敏感信息，因为他们能够接触到用户 SIM 卡上的信息。NCRI 相信，伊朗政府已经研发了大约 100 款嵌入恶意代码的 App，其中就包含了 Mobogram、Hotgram、Wispi 和其它通信软件。 稿源：cnBeta，网易科技；封面源自网络

外媒 2 月 12 日消息，来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出，该恶意软件能够收集目标应用程序的大量敏感数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃，不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的，该活动使用了一系列木马化的 Android 应用程序，旨在从受害者的移动设备中窃取敏感数据。 据悉，在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的？ 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本，具体流程是：从合法的应用程序开始，在重新构建 apk 之前注入恶意代码。一般来说，目标应用程序属于特定类别，例如社交聊天应用程序（Whatsapp、Telegram、Primo）、安全聊天应用程序（Signal、Threema）或与安全导航相关的软件（Orbot，Psiphon）。 在恶意软件制作成功之后，攻击者利用社交工程技术欺骗受害者安装恶意软件，比如使用 SMS、Facebook 消息或 Facebook 帖子，诱骗受害用户通过特定网址下载新版流行的应用程序，目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后，攻击者利用恶意应用程序收集大量数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 以下为该木马的具体功能： – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口，以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见： < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 12 日消息，安全专家近年来发现加密挖矿脚本的数量不断增加，尤其是那些通过在线黑客服务器非法部署的脚本。目前初步统计，大约 49％ 的加密挖矿脚本部署在相关色情网站上。  据悉，安全专家在其 DNSMon 系统上通过 DNS 流量在线分析加密挖掘脚本，以确定哪些网站从域名中（这些域名与浏览器内的挖掘服务相关联）加载了该脚本。 研究表明，约 49％ 的加密挖掘脚本部署在相关色情网站上。其实这一结果并不意外，因为访问者会花费大量时间来观看网站上的内容，从而间接带给攻击者一定的利用空间。当然这些挖掘脚本也部署在一些欺诈网站（占 8％）、广告领域（7％）以及采矿业务（7％）上。不仅如此，研究还显示最常用的加密挖掘脚本是 Coinhive（68％+ 10％），其次是 JSEcoin（9％）。 △ 挖矿网站 TOP 10  △ 上图显示了采矿地点的 DNS 流量趋势 以下是大多数采矿活动新参与者的分类： — 广告商 ：一些网站的采矿活动是由广告商的外部链引入的。 — Shell 链接 ：某些网站将使用 “ Shell 链接 ” 来隐藏源代码中的挖掘站点链接。 — 短域名服务提供商 ：goobo.com.br 是个短域名服务商，该网站主页、包括其生成的短域名在被访问时都会加载 coinhive 的链接进行挖矿。 — 供应链污染 ：www.midijs.net 是一个基于 JS 的 MIDI 文件播放器，在网站源代码中使用了coinhive 进行挖矿。 — 自建矿池 ： 有人在 github 开放的源代码可用于自建矿池。 — 用户自主的 Web 挖矿 ：authedmine.com 是一个正在兴起的采矿网站。该网站声称，只有已知和授权的用户才能进行挖矿活动。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据美国科技新闻网站 The Register 报道，包括美国和英国政府机构在内的数千家网站都在周日被一组代码感染了数小时，导致访问受感染网站的电脑秘密地挖掘数字加密货币。The Register 称，共有 4200 多个网站感染了该恶意软件，这款恶意软件是英国软件公司 Texthelp 公司开发的 Browsealoud 工具的恶意版本，这款工具原本的目的是为有视觉问题的人朗读网页内容。 最近一段时间，利用恶意软件感染电脑，使之为黑客挖掘数字货币的网络攻击日益猖獗。随着比特币和其他数字加密货币的交易量暴增，这种攻击模式最近几个月也越来越流行。 The Register 表示，访问受感染网站的电脑会被迫运行专门挖掘“ 门罗币 ”的软件，从而为幕后黑客谋取利益。 美国和英国执法部门以及 Texthelp 发言人均未对此置评。 Texthelp 此前对 The Register 表示，为了制止这一黑客活动，他们已经停用了 Browsealoud，该公司的工程团队也展开了调查。 稿源：cnBeta、，稿件以及封面源自网络；

在 IT 行业，“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下，当受害者访问到某个受影响的网站的时候，其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援，那么动手能力不佳的用户可能就要干瞪眼了。此前，这类攻击通常面向于微软 Windows 操作系统自带的旧款 IE 浏览器。但是现在，研究人员发现 Google Chrome 也会中招了。  据悉，新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件，让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示，该漏洞利用了 Blob 和 msSaveblob 接口（允许将文件保存到计算机本地的功能）。 当用户不小心踩到地雷（陷阱页面）的时候，就会触发大量的下载，让 CPU 和内存占用率瞬间飙升： ● Segura 将这些网页称作 “ 恶意广告 ”，且其能够通过标准的广告拦截器来应对。 ● 此外，如果下载已被触发，用户也可以调出 Windows 任务管理器，然后手动终结浏览器进程。 Segura 指出，虽然 Chrome 有着严格的批量突发下载限制（文件下载间隔时会征求用户许可），但这种攻击的速度实在是太快了，浏览器根本来不及弹窗询问。 我们在 Windows 7 / 10 系统上进行了测试，在弹出对话框之前，浏览器就已经被卡死了。 如上方动图最后一帧所示，当浏览器弹出是否取消下载的提示时，下载就已经完成了。 甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候，浏览器就已经失去响应了。 在此期间，我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。 虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用，但目前不清楚该软件是否有能力拦截这类下载攻击。当然，我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。 稿源：cnBeta，封面源自网络；

外媒 2 月 6 日报道，隶属欧洲刑警组织的欧洲网络犯罪中心和英国犯罪调查局于近期披露了一项国际执法行动的细节 — 来自欧洲、美国和澳大利亚的十几家执法机构联合拆除了一个 与 “ Luminosity RAT ” 远程访问木马（又名 LuminosityLink）有关的犯罪团伙。 据悉，Luminosity RAT 可以禁用目标设备上的防病毒和反恶意软件，执行诸如记录击键、窃取数据和密码、开启网络摄像头监视用户等命令。 英国犯罪调查局透露，Luminosity RAT 首次于 2015 年被发现， 2016 年开始变得非常流行。根据媒体资料，英国一个小型犯罪团伙通过使用恶意网站为遍布 78 个国家的 8,600 多名买家分发了 Luminosity RAT。 据悉，买家只需花费 40 美元就能获得 Luminosity RAT 远程访问木马，尽管该木马成本只要 30 美元。此外，Luminosity RAT 在技术方面也给买家提供了方便，例如买家掌握很少的技术知识也能部署该木马。 目前数以千计的受害用户被窃取了敏感信息，其中包括密码、私人照片、录像等。欧洲网络犯罪中心负责人史蒂芬·威尔逊表示虽然如今网络犯罪在不断升级更新，但通过跨越国界和强有力的协调行动，即使世界各地黑客人士通过远程犯罪也不能免于被捕。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。