外媒 1 月 22 日消息，CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic，利用数万个受感染的网站开展攻击。据悉，黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍，参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本，一旦网站遭到入侵，攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称，但是在未压缩时，它所包含的文件始终具有相同的结构。经过研究人员分析，目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下（“ vomiu ”，“ blsnxw ”，“ yrpowe ”，“ hkfoeyw ”，“ aqkei ”，“ xbiret ”，“ slvkty ”）。该文件夹包含以下内容： ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件，; 它最初只有 “  .suspected ” 扩展名，只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录，其中包含一系列文件。 下图显示了这种结构的一个例子： EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心：如果用户通过网页浏览器接触到它，它首先将流量重定向到“ caforyn.pw ”，然后再重定向到 “ hitcpm.com ”，充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务，目的是为其客户增加流量，但是这种流量是通过损害网站的非法方式产生的。除此之外，这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度，被攻陷的网站必须在搜索引擎上拥有良好的排名。因此，恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时，他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内，受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据，hitcpm.com 排名世界第 132 位，全球互联网用户访问量约为 0.2367％ 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据： 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发，例如： ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置，如 DNS，设置，主页等，以便尽可能多地将流量重定向到调度器站点。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 21 日消息，俄罗斯联邦安全局（ FSB ）发现黑客组织正在实施一项加油站设备的欺诈计划，旨在利用电子加油机上安装的恶意程序，达到在抽送汽油时每加仑减少 3 ％ 至 7 ％ 的目的，从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者，并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道， FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ，指控其开发了多个恶意软件程序，并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中，Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外，据 FSB 猜测，欺诈计划可能已为其带来 “ 数亿卢布 （1 人民币相当于 8.99 俄罗斯卢布）”的收益。 FSB 透露，恶意软件不仅可以在加油机上显示虚假数据，允许加油站员工为顾客抽送汽油时每加仑减少 3％ 至 7％ ，并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是，Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此，远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见： 早在 2014 年，纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年，研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称，遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击，通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源：ThreatPost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，安全研究人员称一个先进的 Android 银行木马 Exobot 的源代码在知名的黑客论坛上出售给不同的人群后，Android 用户的处境将会变得更糟。 这个令人担忧的木马是一种 Android 恶意软件，最早出现在 2016 年 6 月的恶意软件攻击场景中。就像今天大部分专业编码的桌面或移动银行木马一样，Exobot 一直按月租用给客户。 虽然客户无法访问 Exobot 木马的源代码，但他们可以使用 Exobot 作者提供的配置面板来编译每个客户端自定义设置的恶意应用程序。然后，租借人必须分发这些应用程序给受害者。过去两年来，Exobot 一直是最活跃的 Android 移动木马之一（其中还包括 BankBot、GM Bot、Mazar Bot，以及 Red Alert）。 最初，一些安全公司把该木马称为 Marcher，但是最终还是以其作者的名字来称呼它。在 2016 年下半年，Exobot 初期带来的利润刺激了 Exobot 的作者创造了 Exobot v2。当木马在暗网、黑客论坛、XMPP 垃圾邮件，甚至在公共互联网上大肆宣传时，Bleeping Computer 覆盖了Exobot v2 的崛起。 根据记者过去与众多安全研究人员进行对话的证据，Exobot 似乎是一个有利可图的业务，被用于全球许多国家的用户。 Exobot 作者将银行木马出售 出乎意料的是，Exobot 的作者以 “ android ” 的通用假名进行了一项重大举措，虽然事后看来这可能会给未来的用户带来很多问题。就在近日Exobot 的作者决定关闭 Exobot 租赁计划，并将源代码出售给一小部分客户。 以下是 Exobot 的作者销售广告的两幅图片，由 SfyLabs 的移动安全研究员 Cengiz Han Sahin 提供。 安全人士 Sahin 称恶意软件领域的这种说法一般意味着以下两点之一： 要么是恶意行为者注意到执法部门或竞争对手反击市场份额的兴趣激增，要么是他的生意确实非常丰富，风险或者收入不再为利益所驱动。 公众担忧 Exobot 源码被公开 但是，尽管有这些原因，Exobot 的销售会对Android恶意软件的攻击场景产生深远的影响是毋庸置疑的，即使不是马上。 有记者过去曾经报道过很多这样的事件，根据这位记者的经验和 Sahin 的预测，源代码在网上泄露只是时间问题。这样的销售几乎从不保密，而且当 Exobot 的作者不提供买方需要的支持时，不满意的客户就会泄露源代码。例如在过去的十年里，有很多家庭桌面银行木马被泄露。 一旦泄露，Exobot 代码 将和 Slempo、BankBot 和、GM Bot Android 银行木马的命运相同，重新组织成数百个分支木马，从而降低进入移动恶意软件场景所需的成本和技术技能。 Exobot 的出售或衍生新型恶意软件活动 但是，在低技能的恶意行为者泄露 Exobot 版本之前，这个木马的新客户已经开始使用了。 安全人士 Sahin 表示：“ 在恶意行为者开始销售 Exobot 源代码之后，不到一个月，在奥地利，英国，荷兰和土耳其就发现了新的活动。土耳其是受这些活动影响最大的国家，共有 4400 多台设备牵涉其中。 这种恶意 Exobot 应用程序的增加是由于 Exobot 源代码的一些私人销售引起的。如果源代码泄漏， Exobot 攻击的规模可能会超出安全人士的想象，如同 BankBot 木马一样。据悉，BankBot 在 2016 年底在线泄露，其一直是通过 Google Play 商店传播的恶意应用程序的核心， 分散的 Android 操作系统市场、不及时交付补丁的移动运营商、以及谷歌的游戏商店团队似乎无法跟上恶意软件作者的步伐，这种种原因使得 Android 用户在移动恶意软件上处于严重的劣势。而唯一能保护大多数用户的方法就是移动杀毒解决方案和一些使用常识，例如拒绝从不受信任的来源安装应用程序、不安装需要不必要权限的游戏商店应用程序等。 消息来源：Bleeping Computer，翻译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，全球最大的垃圾邮件僵尸网络 Necurs 已发出数百万封垃圾邮件，旨在推送一种鲜为人知的加密货币——Swisscoin 。目前垃圾邮件活动已导致 Swisscoin 损失了最初交易价格的 40％ ，不过 Necurs 在其中扮演什么角色还尚未可知。 通常这种垃圾邮件被称为抽运和转储，依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣。垃圾邮件发送者预先以低价购买股票，当垃圾邮件活动抬高价格时，则以较高的价格出售股票。 第一次推动加密货币 Necurs 多年来一直从事发送垃圾邮件的网络犯罪活动，比如传播 Dridex 银行木马和一些勒索软件。但值得注意的是，Necurs 于本周第一次通过大型垃圾邮件活动宣传 Swisscoin 加密货币 ，而不是像往常一样推送低价股票。 有关 Swisscoin 的交易行为在去年的一份报告中被描述为一种多层面营销 ( MLM ) 的庞氏骗局。这种交易经过短暂停止后于 1 月 15 日恢复运营，并且垃圾邮件也在当天开始传播。目前 Necurs 僵尸网络已派出三种不同的垃圾邮件，以下为邮件主题： This crypto coin could go up fifty thousand percent this year （这个加密货币今年可能会上涨 5 万美元） Let me tell you about one crypto currency that could turn 1000 bucks into 1 million（让我告诉你一种可以将 1000 美元变成 100 万美元的加密货币） Forget about bitcoin, there’s a way better coin you can buy （忘掉比特币吧，你可以买到更好的加密货币） 据初步统计，自从垃圾邮件发出后，加密货币损失了其最初交易价格的 40％。 因为之前没有类似的垃圾邮件活动作为参考物，所以目前并不清楚 Necurs 对 Swisscoin 交易价格有什么影响，不过研究人员认为比特币的下滑可能会对 Swisscoin 的价格造成一些波动。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 16 日报道，美国网络安全公司 ICEBRG 发现了四种恶意 Chrome 扩展，用于执行点击欺诈或搜索引擎优化。目前受影响的用户数量已经超过 50 万 ，并且攻击者可能会利用该扩展进一步访问企业网络和用户信息。为了做好防护措施，ICEBRG 通知了荷兰国家网络安全中心（NCSC-NL）、美国计算机应急部署小组（US-CERT）以及 Google 安全浏览运营团队。 近日，ICEBRG 发现客户工作站到欧洲 VPS 提供商的出站流量出现了异常激增，其中包括一些全球主要组织的工作站。因此 ，ICEBRG 对该情况展开了调查。根据调查结果，四种恶意 Chrome 扩展的名称分别是： 1、Change HTTP Request Header（ppmibgfeefcglejjlpeihfdimbkfbbnm） 2、Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph) 3、Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj) 4、Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae) 研究人员称这四种 Chrome 扩展允许攻击者以 JavaScript 代码的形式向用户浏览器发送恶意命令，但攻击者只能通过在后台加载一个网站以及点击广告来执行点击欺诈。 在媒体报道该事件时，除了 Nyoogle 之外其他三个恶意扩展已经从 Chrome 网上应用商店删除。不过尽管如此，许多用户仍然在其浏览器中加载了这些恶意扩展程序。 注意： 虽然 Chrome 网上应用商店删除了该恶意扩展，但是可能无法将其从受影响的主机中删除。此外，使用第三方 Chrome 扩展程序库可能仍然允许安装扩展程序。 目前 ICEBRG 已经发布了关于四种恶意 Chrome 扩展的详细报告，并建议用户检查浏览器以及删除其计算机的恶意扩展。 详细报告： <MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES> 消息来源：Bleeping Computer、Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 16 日消息，美国印第安纳州汉考克地区一家医院（Hancock Health）被迫向黑客组织支付了价值 5.5 万美元的比特币赎金，以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉，该黑客组织通过暴力破解 RDP 端口，达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四（ 1 月 11 日），Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录，但并没有窃取患者数据 。随后，经过相关研究人员展开调查发现，该组织使用 SamSam 勒索软件加密文件，并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过， 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施，例如通过 IT 人员介入暂停了整个网络；要求员工关闭所有计算机，以避免勒索软件传播到其他计算机；更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份，但从备份中恢复文件很麻烦，因为要把所有的系统投入运行需要几天甚至几周的时间，以至于不得不向黑客组织支付赎金。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称，假补丁虽然主要针对的是德国用户，但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件，其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件，它能打开更多有效载荷的门，而这些未来可被用到多种场合，包括窃取凭证和其他敏感数据。 Malwarebytes 解释称，一旦该恶意软件感染了电脑，那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似，比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载，而不是任何第三方来源。微软已经就这两个漏洞发布了升级，并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前，反病毒解决方案正在开发中，但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源：cnBeta、封面源自网络；

 1 月 17 日凌晨消息，近期，网络安全问题日益突出，恶意软件开发者们也不断竞争，有研究人员发现了一个新的 Android 监视平台，监视内容包括基于位置的录音信息，该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告，“ Skygofree ” 很有可能是一个具有侵略性的安全类软件，该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限，可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息，还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能，当用于处在特定的位置时就自动开启受攻击手机的录音功能，能记录对话和环境噪声。还有一个新功能，那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道：“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发，它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源： ，稿件以及封面源自网络；

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明，攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出，RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器，攻击者就可以将已知的漏洞部署在易受攻击的服务器上，然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示，他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞： ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行（CVE-2013-0156） ◍ PHP php-cgi 查询字符串参数代码执行（CVE-2012-1823；CVE-2012-2311； CVE-2012-2335；CVE -2012-2336；CVE-2013-4878） ◍ 微软 IIS ASP 脚本的源代码泄露（CVE-2005-2678 ） 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中，Check Point 根据从 honeypot 服务器收集的数据，在 Linux 系统上分解了 RubyMiner 的感染例程，并从中认识到攻击者在某些方面的创造力： ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示，目前攻击者瞄准了 Windows IIS 服务器，但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ，Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞， Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言，近几个月来传播加密货币挖掘恶意软件的尝试有所增加，尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件（也是 Monero ）之外，2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期，已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中，研究人员发现攻击者试图使用最近的漏洞攻击，因为会有更多易感染的机器。但奇怪的是，RubyMiner 攻击者却使用非常古老的漏洞，并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露，RubyMiner 攻击者可能是故意寻找被遗弃的机器，比如被遗忘的个人电脑和带有旧操作系统的服务器 ，感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址，Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右，攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞，其幕后团队可能会赚取更多的钱。例如，一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

另一家美国医院已经成为勒索软件攻击的受害者。上个星期，一个勒索攻击设法感染了印第安纳州汉考克地区医院系统，要求医院支付不确定数量的比特币以提供解锁密钥。袭击发生在 1 月 11 日，影响了医疗中心的电子邮件，电子病历和其他内部操作系统。 医院强调，没有病人记录被从网络中删除，病人护理没有受到重大影响。该机构关闭了一些系统，以防止进一步的感染，并联系了联邦调查局和国家信息技术安全公司。截至周六上午，这些系统还未恢复正常，医院员工并继续使用笔和纸来更新患者的医疗数据。 以前一些勒索软件通过员工打开恶意电子邮件或网站链接进入医院系统，但汉考克健康医院的首席执行官史蒂夫·龙（ Steve Long ）说，在这种情况下情况并非如此。这家医院发言人表示，我们和其他医院一样，一直都在进行灾难演习，所以这一切都与我们多年来一直在进行的演练有关，当系统故障或系统违规时，如何继续提供世界一流的医疗和护理是我们多年来一直准备的事宜。 去年，堪萨斯心脏病医院和好莱坞长老会医疗中心遭到勒索软件袭击。 稿源：cnBeta，封面源自网络；