外媒 1 月 14 日信息，MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru，旨在针对基于 ARC 的系统。据悉，Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到，再加上目前 Linux 物联网的威胁形势迅速变化，因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备，从而导致毁灭性的影响。 ARC （Argonaut RISC Core）嵌入式处理器是一系列由 ARC International 设计的32 位 CPU，其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月，MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ，时隔不到两年， unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru，其影响程度极为深远，因为 ARC 嵌入式处理器已经被 200 多个组织授权，并且每年出货量达到 15 亿，这意味着可能暴露的设备数量是非常巨大的。此外，除了攻击 ARC，其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ，MalwareDustdie 团队分析了 Okiru 与 Satori 变体（另一种僵尸网络）的不同之处： 1、配置不同，Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密，而 Satori 并不分割这两个部分，也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证)，而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能（通过随机 UDP），而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中，感染跟进的命令有点不同，也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码，Satori 完全不使用这些漏洞 。 5、Satori （见反编码的 VT 注释部分）是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件，与 Okiru 相比其编码方面存在不同 （请参阅反转代码在 VT 注释中）。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，刑事调查局 ( CIB ) 向通过网络安全知识测试的公众奖励了 250 个 U 盘，随后该主办方陆续接到报告称“累计 54 个8GB U 盘中都带有恶意软件”，该测试是去年 12 月 11 日至 15 日期间由台湾总统办公室主办的信息安全活动的一部分。 知情人士表示，一些通过测试的参赛者报告说，U 盘被其设备上的安全软件标记为含有恶意软件之前，U 盘的分发就已于 12 月 12 日停止了。目前 20 个单位已经退回该驱动器，其余的可能还在流通。 该恶意软件被标记为 XtbSeDuA.exe ，能够从 32 位计算机中窃取个人信息。根据 CIB 的说法，若是数据窃取成功该恶意软件会试图将数据传递到一个位于波兰的 IP 地址，随后该 IP 地址将数据转发给身份不明的服务器。研究人员透露该恶意程序被认为是欧洲刑警组织在 2015 年发现的网络诈骗团伙使用的。 CIB 表示，这种感染来源于当地承包商员工所使用的 “ 将操作系统转移到驱动器并测试其存储容量 ” 的工作站，其中有些驱动器是在中国大陆生产的。但警方并不认为这一起间谍活动 ，仅以“意外安全事件”作为处置。 事实上此类安全事件的发生并不在少数，例如 2008 年，澳大利亚电信公司 Telstra 在 AusCERT 安全会议上无意发布了恶意软件。此外，早在 2002 年，IBM 的 U 盘也被发现包含一种罕见的引导扇区病毒。而且去年，该公司又发生了一起涉及闪存驱动器的事故， 该公司将携带木马病毒的 U 盘与其存储系统存储在一起。 2016 年的一项调查发现，当人们遇到有问题的 U 盘时，好奇心往往会驱使他们一探究竟。在这项研究中，300 名大学生中有近一半的人没有回避插入和点击记忆卡中的文件。此外，研究 认为 U 盘的另一个问题是其经常会被误放，正如两年前在伦敦西部发现了一个包含伦敦希思罗机场敏感信息的未加密 U 盘。 Stuxnet 蠕虫病毒（超级工厂病毒）就是潜伏于 U 盘上并且造成严重破坏的重要例子： Stuxnet 蠕虫病毒于 2008 年在伊朗纳坦兹核设施造成重大的离心机损坏，据说它是通过一个 U 盘被引进到该设施的；2013 年，美国有两家未命名的发电厂被含有恶意 U 盘的软件感染；2016 年，德国核电厂使用的电脑和 18 个U 盘也被发现存在恶意软件。 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 9 日消息，趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍，该恶意软件被描述成用于清理和优化 Android 设备的工具，但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是，在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时，该恶意应用程序 下载安装数量已达 5000 次。 图1. Swift Cleaner，伪装成 Android 清洁应用程序的恶意应用程序 Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来，17％ 的 Android Studio 项目开始使用其编程，例如 Twitter，Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁，极大程度的减少了样板代码的数量，并且非常安全。 图2. 使用 Kotlin 开发的恶意应用程序的封装结构 恶意软件工作原理 启动 Swift Cleaner 后，恶意软件会将用户的设备信息发送到其远程服务器，并启动后台服务以从其远程 C＆C 服务器获取攻击任务。当设备第一次被感染时，恶意软件会将短信发送到 C＆C 服务器提供的指定号码。 图3.恶意应用程序通过短信收集并发送受害者的设备信息 恶意软件收到 SMS 命令后，远程服务器将执行 URL 转发并点击广告欺诈。 在其点击欺诈例程中，恶意软件会收到执行无线应用协议（WAP）任务的远程命令。 在此之后，将注入恶意的 Javascript 代码替换正则表达式。据悉，这是一系列定义搜索模式的字符，允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后，恶意软件会秘密打开设备的移动数据，解析图像 base64 代码，破解 CAPTCHA ，并将完成的任务发送至远程服务器。 图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌 此外，恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C＆C 服务器。一旦上传，C＆C 服务器就会自动处理用户的高级短息服务服务订阅，从而进行流量欺诈。 目前趋势科技称其已向 Google 披露了该恶意软件， Google Play Protect 也设置了保护措施来避免用户收到侵害。 更多详细内容可查看 Trend Micro 分析报告原文： <First Kotlin-Developed Malicious App Signs Users Up for Premium SMS Services> 消息来源：TrendmMicro，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全研究人员去年报告发现了一种神秘的 Mac 恶意程序，它能截屏、记录按键，访问摄像头和获取其它敏感信息。被称为 Fruitfly 的恶意程序的活跃时间至少五年，甚至可能长达十年。现在，根据本周公开的起诉书，该恶意程序存在有 13 年之久。 被告 Phillip R. Durachinsky 使用该恶意程序启动摄像头和麦克风，拍摄和下载截屏、记录按键、窃取税务和医疗记录，照片、互联网搜索和银行交易，恶意程序甚至会在用户搜索色情时警告他。 恶意程序感染了包括个人，警方甚至美国能源部的计算机。 起诉书称，Durachinsky 甚至开发了一个控制面板，让他能同时浏览多个感染计算机的实况画面。起诉书称，他还制作了未成年人性行为的图像。 稿源：cnBeta、solidot，封面源自网络；

外媒 1 月 10 日消息， 以色列网络安全公司 Cyberbit 发现 PoS 端恶意软件 LockPoS 利用新型代码注入技术窃取信用卡数据。据研究人员介绍， 一旦系统受到感染 ， LockPoS 将试图获得访问权限以读取当前使用进程的内存，从而开始搜集信用卡数据并将其发送到命令和控制服务器中。 Cyberbit 的研究人员观察到 LockPoS 使用的新技术与僵尸网络 Flokibot 之前使用的注入技术在源码上多有相似之处。但值得注意的是，LockPoS 使用了不同的技术和例程来解压缩和解密，以便于调用与 Flokibot 相关的 API 。 据悉，LockPoS 使用了三个主要的例程（routines），用于将代码注入到远程进程中：NtCreateSection，NtMapViewOfSection 和 NtCreateThreadEx。而这三个例程均从 ntdll.dll 中导出。研究人员表示， LockPoS 利用的新技术涉及使用 NtCreateSection 在内核中创建一个节对象 ，然后调用 NtMapViewOfSection 将该节的视图映射至另一个进程，之后再将代码复制到该节中并创建一个远程线程来执行映射的代码。但研究人员称 LockPoS 并不会直接从 ntdll 调用例程来注入代码，而是将磁盘上的 ntdll 例程映射到虚拟地址空间。 这样一来，LockPoS 会保留一个干净的 dll 副本，并且可以避免反病毒检测。 目前来说，由于 Windows 10 内核功能无法被监控，改进内存分析可能是唯一有效的检测方法。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”，旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说，Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起，试图欺骗目标用户安装恶意软件，以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现，该组织并未局限于以往的攻击工具 ，而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起，而且进一步融合更多可行方式，以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来，攻击者基本上能够利用 Adobe 诱使用户下载恶意软件，并且使用户相信其下载的软件是来自 Adobe 官方网站（adobe.com）的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征，其中包括该组织创建的后门程序 “ 蚊子”（Mosquito），以及之前与该组织关联使用的IP地址。 除了上述相关特征之外，新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设（如下图所示），是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为：① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁，其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证，ESET 研究人员考虑的可能的攻击媒介是： — 受害者组织网络内的一台机器可能被劫持，以便它可以作为本地中间人（MitM）攻击的跳板，这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关，使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商（ ISP ）的层面上 。 — 攻击者可能使用边界网关协议（BGP）劫持来将流量重新路由到 Turla 控制的服务器，虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序，前面所使用的几个后门则可能被丢弃，如后门 Mosquito ，它是一个 Win32 恶意软件，通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信，或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后，这个阶段将被设定为任务的主要目标——过滤敏感数据，包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分，伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中，要么从 Google Drive 网址下载。为了在系统上建立持久性，恶意安装程序还会篡改操作系统的注册表，创建一个允许远程访问的管理帐户。 目前，ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本，不过其代码分析更加困难。 相关阅读： <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司 AlienVault 的研究人员发现了挖掘门罗币的恶意软件，并追踪到挖掘出来的资金流入了一家朝鲜大学。这显示出，随着制裁迫使朝鲜寻找替代收入来源，朝鲜黑客盯上了数字货币。 挖掘出的资金会自动流入一个域名属于金日成大学的服务器，黑客想取得这些资金要键入三个字母的密码：KJU，这可能是朝鲜领导人金正恩 ( Kim Jong Un ) 名字的首字母。恶意程序的代码写的并不高明，意味着这更可能是一个在校生干的，而不是朝鲜精英黑客组织 “ Lazarus ” 所为。 网络安全研究人员说，近几个月来，平壤黑客专门针对门罗币，他们在受感染的银行和私人公司服务器上猎寻该加密货币。 稿源：cnBeta、solidot，封面源自网络；

据外媒 1 月 6 日报道，黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium （ CFM ）的官方网站散布恶意软件，分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取，且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后，乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ，用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此，攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件，这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器，也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中，恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开，Javascript 就会被执行，并导致系统检索恶意软件的 playload，运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计：受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来，其他威胁行为者从恶意代码中获得灵感，将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用： 一旦在系统上执行，恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下，那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项，以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染，恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示，大多数被恶意软件感染的系统都位于乌克兰和美国，乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商，并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境，攻击者正在不断改进其攻击方法。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 26 日报道，WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码，导致网站信息泄露。目前，WordPress 团队已经提供了应对措施。 WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码，能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接，从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底，官方才从目录中删除了这些恶意插件。 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改，导致原本已屏蔽的旧插件页面仍然可见，并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。 为了保护用户免受恶意插件的侵害，一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者，但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于，它造成了一种道德和法律上的两难境地：删除插件能够保护网站免受黑客攻击，但同时也可能对网站一些功能造成破坏。 目前，为了抵御一些主要的安全威胁，WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本，并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全，同时也能保证网站功能不受影。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 21 日报道，趋势科技于韩国发现了一个新型的加密货币挖掘工具 Digmine，其主要工作方式是利用假冒视频文件感染用户，并且通过 Facebook Messenger 传播，设法尽可能长时间停留在用户系统中，以便于感染更多的用户设备，从而增加潜在的网络犯罪收入。调查显示，Digmine 目前主要在越南，阿塞拜疆，乌克兰，越南，菲律宾，泰国和委内瑞拉等地区蔓延。 Digmine 在 AutoIt 中编码， 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本，若用户的 Facebook 帐号设置为自动登录，那么 Digmine 将可以操纵 Facebook Messenger，以便将文件的链接发送给该帐号的好友，达到感染更多用户设备的目的。需要注意的的是，虽然 Facebook Messenger 可以在不同的平台上运行，但是 Digmine 仅适用于 Facebook Messenger 的桌面/网页浏览器（Chrome）版本。如果恶意文件在其他平台（如移动平台）上打开，则恶意软件将无法正常工作。   Digmine 挖矿工具被披露后，Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示， 目前 Facebook 维护了许多自动化系统，以帮助阻止有害链接和文件。 研究人员建议，为了避免这些类型的威胁，用户需更加警惕社交媒体帐户的使用：注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。 消息来源： trendmicro，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。