据外媒 8 月 21 日报道，趋势科技（ Trend Micro ）研究人员近期发现加密货币勒索软件 Miner，允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝（EternalBlue）” 进行肆意传播。据悉，该勒索软件首次于今年 7 月发现，受其影响最严重的国家包括日本（43.05%）、印度尼西亚（21.36%）、台湾（13.67%）、泰国（10.07%）等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示，该勒索软件使用 WMI 作为无文件持久性机制，即由 WMI Standard Event Consumer 脚本应用程序（scrcons.exe）执行。此外，Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示，无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先，Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门（BKDR_FORSHARE.A）；其次，系统在安装各种 WMI 脚本后，会将其连接到 C＆C 服务器并获取指令；最终，目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前，安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外，管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附：趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 Check Point 于 8 月 21 日发布最新报告《 全球恶意软件威胁影响指数 》，指出 7 月十大最受 “ 欢迎 ” 的恶意软件。其中，广告恶意软件 RoughTed 影响全球组织的比率虽然由 28％ 下降至 18%，但目前仍名列榜首。以下是全球十大最受 “ 欢迎 ” 恶意软件列表（箭头代表与上个月相比的改变）： 1、↔广告恶意软件 RoughTed：大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接，不仅可以攻击任意类型的平台与操作系统，还可绕过广告拦截器与指纹识别功能，提高了黑客攻击的成功率。 2、↑HackerDefender Rootkit：用于隐藏 Windows 用户设备文件、进程与注册表项，还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下，无法采用传统手段找到隐藏后门。 3、↓浏览器劫持软件 Fireball：是一款功能齐全的恶意软件下载程序，允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 图一：浏览器劫持软件 Fireball 4、↑多用途机器人 Nivdort：又名 Bayrob，用于收集密码、修改系统设置、下载其他恶意软件，通常利用垃圾邮件进行大规模传播，收件人地址以二进制编码确保唯一性。 5、↑Conficker 蠕虫：允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C＆C 服务器接收指令。 6、↓勒索软件 Cryptowall：最初是一款加密软件，经过扩展后成为当下最知名的勒索软件之一，主要特色是 AES 加密与 To r匿名网络 C＆C 通信，其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 7、↑银行木马 Zeus：通过捕获浏览器中间人（Man-in-the-Browser，MitB）按键记录与样式窃取银行账户信息。 图二：宙斯 Zeus 8、↑Pykspa 蠕虫：通过从设备中提取个人用户信息，并使用域名生成算法（DGA）与远程服务器进行通信。 9、↑木马 Pushdo：除了可以感染系统、下载 Cutwail 垃圾邮件模块外，还可用于安装其他第三方恶意软件。 10、↑恶意软件 Hancitor：允许攻击者在目标机器上安装银行木马或恶意软件下载器。通常，Hancitor 也被称为 Chanitor，因为攻击者可以通过发送附带恶意软件的邮件、传真或发票感染收件人网络系统。 此外，Check Point 专家还在该报告中指出 7 月份全球三大最受 “ 欢迎 ” 的手机恶意软件： 1、间谍软件 TheTruthSpy：允许攻击者隐匿安装并跟踪与记录设备数据。 2、黑客工具 Lotoor：允许攻击者通过 Android 操作系统漏洞在受攻击的移动设备上获得 root 权限。 3、恶意软件 Triada：适用于 Android 模块化后门程序，可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。 调查显示，虽然来自具有高度传染性恶意软件变种影响各组织的几率在不断减少是件令人鼓舞的事情，但这并不意味着他们可以放松警惕。尽管恶意软件 RoughTed 影响规模有所下降，但在七月仍有近五分之一的组织受到感染。一旦关闭攻击者通道，网络犯罪分子仍会迅速设计出新恶意软件形式，使每个行业的组织都必须采用多层次方式保障自身网络系统安全。 稿源：Check Point，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，全球最大的集装箱航运公司马士基（AP Moller-Maersk）于 8 月 15 日在线公布《 2017 第二季度财务业绩报告 》，证实公司于 6 月遭受勒索软件 NotPetya 袭击后损失数亿美元。 调查显示，公司收入损失源自重大业务中断，因被迫暂时关闭感染恶意软件的关键系统 Damco 与 APM 终端作为防御措施。据悉，由于该恶意软件只影响马士基集装箱相关业务，因此包括所有能源企业在内的九家公司中六家能够正常运营。此外，马士基还于攻击期间对所有船只进行全面检测，以确保所有员工运输安全。 据统计，马士基只是数百家受害企业之一，此前乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、TNT 快递与律师事务所 DLA Piper 等机构也纷纷受其影响。马士基高管表示，此次网络攻击活动由以往不常见的恶意软件影响，其更新 Windows 系统与防病毒软件的措施并非最有效方案。目前，马士基正进一步加强系统保护方案。 关联阅读：美国制药巨头默克证实：NotPetya 网络攻击活动严重危及全球多领域业务 稿源：Mike_Mimoso， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 8 月 16 日报道，安全公司 Cybereason 研究人员 Uri Sternfield 近期发现勒索软件 Cerber 出现新型变种，可加密 Canary 文件、规避杀毒软件检测。        Canary 文件是一种安全防御手段，用于早期检测勒索软件威胁。研究人员表示，该文件位于系统特定位置，其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图，那么它将当即提供必要防御方案。 调查显示，Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确，Cerber 将会对其进行加密并规避杀毒软件检测；如果图像格式不正确，Cerber 将跳过文件所在的整个目录。 研究员 Sternfield 表示，虽然该功能允许 Cerber 规避杀毒软件检测，但同时也会削弱自身价值。对此，研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外，Cybereason 还研发出一款免费应用程序 RansomFree，可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件，然而，该做法极易创建非正常 Canary 文件。例如，将图像文件重命名为 .jpeg。因此，此操作并非永久防御措施，用户需要加强自身系统防御体系，以减少恶意软件攻击。 稿源：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 采取自动化的方式检测递交到应用商店或扩展商店的应用或扩展，但过去几个月内，安全研究人员发现大量恶意应用和扩展未被 Google 自动化检测程序发现。 据悉，最新一款被安全研究人员发现的 Chrome 恶意扩展是 Interface Online，它设计窃取用户的银行登录凭证，并于过去 17 天内至少更新了两次。当安装该扩展到用户访问特定网页时，它会激活一个 JavaScript 运行，以记录输入登录框的用户名和密码，然后将日志上传到攻击者控制的服务器。 调查显示，攻击者目前主要针对巴西银行用户。然而，Google 在接到安全研究人员的通知后当即将其移除，但随后它又再次出现。最终，研究人员通过举报后才将其完全移除。 稿源：solidot奇客，封面源自网络；

安全公司趋势科技于近期发布一份研究报告，指出网络犯罪分子通过微软 PowerPoint 利用 Windows 对象链接嵌入（OLE）界面中的漏洞安装恶意软件。 调查显示，该漏洞接口通常被恶意 RTF 文件利用，即恶意软件伪装成 PPSX 文件，这是一种仅允许播放幻灯片的 PowerPoint 文件，但不可编辑。如果接收器下载并打开它，内容将显示漏洞文本。 据悉，该文件将触发漏洞 CVE-2017-0199，然后将开始感染主机，恶意代码通过 PowerPoint 动画运行。随后，将下载文件 “logo.doc” 。该文档实际上是一个具有 JavaScript 代码的 XML 文件，该代码运行 PowerShell 命令下载名为 “RATMAN.exe” 的新程序，这是一种名为 Remcos 的远程访问工具的特洛伊木马版本，之后建立与 Command＆Control 服务器的连接。 Remcos 可以记录击键，截取屏幕截图，录制视频和音频，并下载更多恶意软件。此外，它还可以让攻击者完全控制受感染的计算机。为了保护自身，恶意文件使用了一个未知的 .NET 保护器，这使安全研究人员难以对其进行分析。最终，由于 CVE-2017-0199 的检测方法专注于 RTF 文件，因此使用 PowerPoint 文件允许攻击者逃避防病毒检测。但是，趋势科技确实注意到，微软已经在 4 月份通过最新安全补丁解决了这个漏洞。 稿源：cnBeta，封面源自网络；

据外媒 8 月 13 日报道，安全公司 Avast 研究人员 Jakub Kroustek 近期发现一款恶意病毒 IsraBye 通过伪装成勒索软件肆意传播并永久损毁系统文件，同时可将用户桌面内容替换成反以色列画面。 以色列政府针对耶路撒冷的阿克萨清真寺采取新安全措施，引发阿克萨危机事件。然而，巴勒斯坦认为这是以色列对伊斯兰教的控制与扩张。调查显示，由于 IsraBye 在阿克萨事件发生不久后被发现，因此研究人员推测该恶意软件的出现并非偶然 。 恶意病毒 IsraBye 由 5 个不同可执行文件组成，其第一个可执行文件名为 IsraBye.exe 。当程序启动时，IsraBye.exe 会自动将以下反以色列字符串消息替换到所有连接驱动器上的文件中： Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare 事实上 IsraBye 并不会对文件进行加密，而是直接毁坏文件本身内容。一旦完成操作，它将从 IsraBye.exe 可执行文件中提取并启动 4 个名为 Cry.exe、Cur.exe、Lock.exe 与 Index.exe 的文件。其中 Cry.exe 可执行文件将以反以色列的图像取代目标设备的桌面墙纸。 另外，Lock.exe 可执行文件运行以下三个功能：首先，它将寻找 procexp64、ProcessHacker、taskmgr、procexp、xns5 进程并在被检测时终止它们。其次，如果它尚未运行，将启动 Index.exe。最后，它将主 Israbye.exe 文件复制到其他驱动器的 root 目录 ClickMe.exe 中，以便传播恶意软件。 研究人员 Ido Naor 注意到，在 ％Temp％ 文件夹中创建一个名为 ClickMe.exe 的文件，可能会使 IsraBye 在第一次启动时处于崩溃状态。最后，Index.exe 可执行文件将显示锁屏，并提取 wav 文件并进行播放。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 11 日报道，网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加，旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马，首次于 2014 年被趋势科技（ Trend Micro ）研究人员发现，其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示，银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉，该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开，就会自动从承载该软件的多个互联网域名中下载 Emotet。此外，黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前，研究人员尚不清楚在最近的感染事例中，哪些国家的 Windows 操作系统是其主要目标，也并未提及具体受害者人数的统计数据。总而言之，这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此，研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 10 日消息，研究人员近期在 Google Play 商店发现一款新型恶意软件 SonicSpy，不仅可以窃取用户通话记录、音频图像，还可以监控用户日志调用、联系方式与 Wi-Fi 接入站点等信息。总而言之，SonicSpy 允许攻击者远程执行 73 种不同命令。此外，该恶意软件还被怀疑是伊拉克开发人员的研究成果。    调查显示，恶意软件 SonicSpy 主要作为消息应用程序出售，以避免用户在下载时产生任何疑惑，在感染用户设备后能够自动窃取数据并将其传输至命令与控制服务器。目前，研究人员在 Google Play 商店中发现三种不同版本的 SonicSpy（称为 soniac、hulk messenger 与 troy chat），其每个版本都可作为一种监控信息应用程序。虽然 Google 在检测后已删除上述恶意程序，但在第三方应用程序市场中可能仍存在其他版本。据悉，soniac 在 Google 移除时已被下载 1,000 至 5,000 次。 研究人员在分析 SonicSpy 样本后发现，它与间谍软件 Spyote 存在相似之处。SonicSpy 与 Spynote 不仅共享同一代码，还都使用动态 DNS 服务且运行在非标准的 2222 端口。对此，研究人员猜测上述两款恶意软件可能由相同的开发人员研发。 研究人员 Michael Flossman 表示，恶意软件幕后黑手利用加密通信应用程序也显示了他们对收集敏感信息的强烈兴趣。虽然 SonicSpy 目前已从 Google Play 商店中移除，但它极有可能还会再次进入。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究机构 Malwarebytes 计算机专家近期发现一款古老的 Mac 平台恶意广告程序新变种 Mughthesec，能够绕过苹果 Mac OS 系统的安装前程序验证安全机制。据称，这种恶意广告程序是 OperatorMac 家族恶意程序升级变种。 安全专家指出，Mughthesec 可以将其伪装成一款 Adobe Flash 播放器安装程序。如果该恶意程序检测到一台虚拟机器，它将自动安装并合法拷贝；但如果是真实机器，它会安装上 Advanced Mac Cleaner、Safe Finder 与 Booking.com 三款恶意广告程序。其将会劫持并拦截受感染系统的主页和域名，接下来它还会修改浏览器默认搜索引擎为 AnySearch。随后，Advanced Mac Cleaner 则出来提醒用户系统需要优化和修复问题。如果设备受到感染，安全专家建议彻底清洁重装整个 Mac OS 系统。 稿源：cnBeta，封面源自网络；