外媒 2 月 6 日报道，网络安全公司 SentinelOne 的安全研究员发现，黑客利用热门的软件下载网站 MacUpdate 向 Mac 用户分发一个名为 OSX.CreativeUpdate 的加密货币挖掘矿工，其主要目的是通过劫持用户设备的 CPU，秘密窃取门罗币 。 据研究人员介绍，MacUpdate 网站提供的软件官方下载链接遭到黑客替换，从而导致用户设备受到感染。除此之外，这些假冒链接的域名还做了细微改变，使其看起来合法且令人信服。一旦用户下载安装，合法网站 public.adobecc.com 会被迫使安装一个有效负载，并试图打开原始应用程序的副本作为诱饵来触发恶意软件激活。 目前通过调查发现 Firefox、OnyX 和 Deeper 等应用被黑客替换了下载链接。研究人员认为黑客选择这三个应用程序的原因在于它们都是由 Platypus 开发的。因为 Platypus 开发工具可以从各种脚本(如 shell 或 Python 脚本)中生成完整的 macOS 应用程序，这意味着创建应用程序的门槛并不是很高。 据悉，MacUpdate 方面已针对该事件向用户表示了歉意，并就如何删除恶意软件提供了相关说明。 1、删除 可能已安装的上述应用[ Firefox、Onyx、Deeper ]的任何副本。 2、下载并安装应用的新副本。 3、在 Finder 中，打开主目录的窗口（ Cmd-Shift-H ）。 4、如果 Library 文件夹没有显示，按住 Option / Alt 键，点击“ Go ” 菜单，选择 “ Library（Cmd-Shift-L）”。 5、向下滚动找到 “ mdworker ” 文件夹（〜/ Library / mdworker /）。 6、删除整个文件夹。 7、向下滚动找到 “ LaunchAgents ” 文件夹（〜/ Library / LaunchAgents /）。 8、从该文件夹删除 “ MacOS.plist ” 和 “ MacOSupdate.plist ”（〜/ Library / LaunchAgents / MacOS.plist 和 〜/ Library / LaunchAgents / MacOSupdate.plist）。 9、清空垃圾。 10、重新启动系统。 MacUpdate  负责人建议用户在下载软件之前检查其是否合法，不要完全相信第三方网站或 Mac App Store 上的星级或评论，因为这些内容可能是伪造的。 消息来源：IBTimes，翻译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 4 日消息，网络安全公司 LMNTRIX 的专家发现了一种名为 GandCrab 的新型勒索软件，通过感染受害用户系统以获得达世币（DASH）赎金（该服务由托管在 .bit 域中的服务器提供）。目前一些俄罗斯黑客团体正在暗网上为 GandCrab 广告宣传，主要通过使用 RIG 以及 GrandSoft 等开发工具包来分发该勒索软件。 在过去的几天里，LMNTRIX 实验室一直在追踪 GandCrab 勒索软件的流入，并发现此款勒索软件被设定为不得用于感染独联体（即前苏联成员国）国家的系统。 此外，一些有趣的地方也在追踪活动中被揭露： 1、有意向的买家被要求加入“ 合作伙伴计划 ”，其中勒索软件的利润分成 6:4  ； 2、大型合作伙伴能够将其收益比例提高到 70％； 3、作为一项勒索软件服务产品，GandCrab  需向 “ 合作伙伴 ” 提供技术支持和更新，比如输出了一个用户友好的管理控制台，可以通过 Tor 网络访问，以允许定制恶意软件（例如赎金金额、加密掩码等）； 4、禁止合作伙伴针对独联体国家发起攻击（比如阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰）； 5、合作伙伴必须申请使用勒索软件，并且可用数量有限； 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”，其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡，有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外，还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网，研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务，玩家们可以在中创建 Mod，并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务，售价为每月 16 美元。 而与此同时，这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务，每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务，而在他们建立好 JenX 僵尸网络后，攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源：cnBeta，封面源自网络；

外媒 2 月1 日报道，安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响，比如由于如此高的 CPU 利用率，导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂，因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是：WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后，WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到，WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据，从而达到横向移动的目的，但如果不能够横向移动的话，WannaMine 将更依赖于 EternalBlue 的利用。 相关报告： <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据媒体 1 月 31 日报道，“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络，它也被称为 Ismo ，它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称，这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露，据报道，这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实，Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑，每天大约会挖掘 24 个门罗币。到目前为止，据报道，“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币，约合 210 万美元。研究人员说，在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据，网络犯罪分子瞄准的是易受攻击的 Windows 系统，也使用了一种被泄露的 NSA 协议，叫做 EsteemAudit 。 根据 thehackernews.com 网站，专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到，但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样，通过在线广告进行大规模的门罗币挖掘恶意软件攻击，主要是由于有争议的加密货币挖掘和广告平台 cove，影响了全球范围内的大量用户和在线业务，包括 Youtube。 稿源：九个亿财经，封面源自网络；

俄罗斯安全公司卡巴斯基实验室本周三发布的一份安全报告称，去年谷歌安卓系统用户中至少有 120 万人遭遇到了色情内容相关的恶意软件，这是安卓设备上感染恶意软件用户总数 490 万人的四分之一。 使用色情内容吸引不知情的受害者点击恶意软件是一个普遍的伎俩，一个黑客团伙使用虚构色情应用在 2017 年在 100 万个安卓手机中盗取了约 89.2 万美元的总额，9 万个机器人构成的僵尸网络在推特中散布色情垃圾信息。卡巴斯基实验室的研究人员称他们几乎在成人网络内容诞生的第一天就看到色情内容，被作为散播恶意软件的诱饵。 在桌面的，卡巴斯基研究者发现色情相关恶意软件感染约 30 万次，比起移动设备发生的相关感染来说非常苍白。研究团队发现了网络上有 23 种针对安卓设备的不同的恶意软件，他们都非常依赖以色情内容作为诱饵。包括勒索病毒、木马等。谷歌拒绝就此置评，因为卡巴斯基的这项结论并未包括任何苹果 iOS 系统设备。 稿源：cnBeta.COM，封面源自网络

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动，旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月，涉及全球系统数量约达 3000 万，最受影响的国家有泰国（3,545,437），越南（1,830,065）和土耳其（665,058）。 据安全专家介绍，攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时，只要用户点击链接就会被重定向，随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大，因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件，其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称，可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件，并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外，研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍，去年 10 月 20 日是该货币挖掘行动的一个里程碑，在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。（注意：一般情况下，最终的 playload 主要是由 “ msvc.exe ” 安装的。） 在 10 月 20 日之后，安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起，攻击者改变了恶意软件的攻击策略： 他们不再使用 SFX 文件，而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件，该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项，以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬，攻击者改变了用来部署恶意软件的 dropper： 在放弃 . NET 之后，他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是，这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中，目的是为了获得持久性 。 令人奇怪的是，规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意，相关安全专家认为这种情况很是反常。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，YouTube 视频网站用户抱怨他们的反病毒程序在访问 YouTube 时检测到了加密货币挖掘代码。据安全专家的研究发现，有黑客将一段恶意 JavaScript 注入网站和广告中，用户加载 Youtube 的时候，名为 Cryptojacking 的恶意代码就会启动，占用掉用户 80% 的 CPU 性能来挖掘一个名为 Monero 的加密货币。 Monero（门罗币）是一种新型的加密虚拟货币，它比之前的比特币更加匿名，用户交易时完全隐蔽，因而受到矿工们的热烈欢迎。而 Cryptojacking 正是基于挖掘门罗币提出的一个脚本程序，本意是为网站用户和脚本所有者建立一种协议，脚本所有者利用用户电脑CPU采矿，用户换取免费的电影、去广告等等。 但是，人总是贪婪的，这个脚本很快就泛滥开来，一些黑客开始无节制得利用 Cryptojacking 在别人电脑上挖矿，甚至将用户的 CPU 占用 90% 以上。去年，一些黑客开始将 Cryptojacking 做成病毒的形式植入到各种网站上，用户只要打开这些网站，电脑就会被劫持作为黑客的挖矿工具。 这也不仅仅是针对外网，2017 年 11 月，就有消息称中国电信江苏分公司校园门户网站提供下载的“天翼校园客户端”被植入后门病毒，学生运行安装包以后，该后门病毒接受黑客远程指令，利用中毒电脑刷广告流量和挖矿生产“门罗币”，还有之前星巴克的公共 Wi-Fi 也出现了类似劫持脚本。 目前，门罗币的价格约在 300 到 400 美元之间浮动，而且总体呈上涨趋势，估计网络上还会出现更多劫持病毒，提醒大家尽量不要在网络上胡乱下载文件和点击不明出处的广告。 稿源：cnbeta.com，封面源自网络

本周召开的世界经济论坛上，马士基（Møller-Mærsk）集团董事长Jim Hagemann Snabe在演讲过程中再次谈及发生于去年的 NotPetya 网络攻击事件，导致公司整个“基础设施”几乎都重新安装了一遍。在 10 天时间内，马士基重新安装了 4000 台服务器，4.5 万台 PC 主机以及 2500 款应用程序，而如果按照正规流程下来至少需要 6 个月时间，因此董事长称之为“英雄的努力”。 Hagemann评测到：“想象下一家公司每隔 15 分钟就有 1 万到 2 万个集装箱进入港口，而在这 10 天时间内都没有 IT 方面的支持。你根本想象不出是怎么样混乱的场景。” 不过在员工的协作努力下，公司的出货量仅经历了 20% 的下降，依然有 80% 在手工方式下得以成功运作，直到系统恢复正常。马士基此前透露，此次袭击事件可能会使它的利润损失高达 3 亿美元。 相关阅读： 全球航运巨头马士基集团因 NotPetya 网络攻击损失数亿美元 稿源：cnBeta.COM，封面源自网络

外媒 1 月 25 日消息，一个名为 Hide’N Seek（ HNS ）的新僵尸网络正在世界各地不断增长，对物联网设备造成重大影响（截至目前为止，受感染的物联网设备数量已达 2 万）。据研究人员介绍，HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施，目前 HNS 主要是针对不安全的物联网设备，尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现，和其他与 Mirai 有关的物联网（IoT）僵尸网络并不相同。因为 HNS 有着不同的起源，且不共享其源代码。事实上，Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道： “ HNS 僵尸网络以复杂并且分散的方式进行通信，使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞（ CVE-2016-10401 和其他针对网络设备的漏洞），对一系列设备进行 Web 开发。 除此之外，HNS 还可以执行多个命令，包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性，可以随机生成一个 IP 地址列表来获得潜在的目标，随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功，僵尸程序将查找设备提供的 “ buildroot login ” 横幅，并尝试使用一组预定义凭据进行登录。如果失败，它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次，若用户设备与僵尸程序具有相同的局域网，那么僵尸程序将会设置 TFTP 服务器，以便受害者能够下载样本。但如果是位于互联网上，僵尸程序将尝试一种特定的远程有效载荷传递方法，让用户设备下载并运行恶意软件样本。 一旦设备被感染，僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是，像大多数物联网僵尸网络一样，HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动， 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能，这意味着 HNS 将被部署为一个代理网络。另外，研究人员透露 HNS 僵尸网络仍然不断变化中，可能会被应用于多种攻击场景。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。