据外媒 8 月 9 日报道，卡巴斯基实验室（Kaspersky Lab）研究人员近期发现勒索软件 Mamba 卷土重来，瞄准巴西与沙特阿拉伯各组织机构展开新一轮攻击活动。 Mamba 是一款典型的加密硬盘驱动器的恶意软件，首次于 2016 年 9 月被 Morphus Labs 安全专家在巴西能源公司的机器设备上发现。此外，黑客曾于同年 11 月利用该勒索软件针对旧金山市政交通局展开大规模攻击活动。 调查显示，Mamba 仍使用合法的磁盘加密开源工具 DiskCryptor 锁定目标计算机硬盘，对其进行数据加密处理。一旦感染 Windows 设备，它将强制系统重新启动，然后自定义修改主引导记录（ MBR ）并使用 DiskCryptor 工具加密磁盘分区。如果整个加密过程顺利完成，计算机系统将再次重新启动。此外，Mamba 感染目标设备后将出现一份不寻常的 “ 赎金票据 （如下图）”，其受害者并不需要缴纳任何费用，只被要求提供两个电子邮件地址与一个 ID 号码即可恢复系统页面。 遗憾的是，研究人员暂时无法解密使用 DiskCryptor 实用程序加密的数据，因为该程序利用了强大的加密算法。目前，卡巴斯基研究人员提醒用户远离恶意网站、安全上网，以降低勒索软件锁定硬盘数据风险。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，维基解密近期在线曝光美国中央情报局（ CIA ）新黑客工具 CouchPotato，用于拦截 RTSP/H.264 视频流，特别是来自联网摄像头的视频。 调查显示，此次曝光的是首版 CouchPotato 样本，至于 CIA 之后有没有更新版本来解决存在于首版的问题目前还无从求证。知情人士获悉，第一个版本需要占用大量的 CPU 时间，这意味着 CIA 的截获行为极有可能已经被发现。 曝光的文件显示，CouchPotato 可以收集 AVI 格式的视频文件或来自流媒体中的JPG格式图片。在拦截过程中，该工具还利用了视频 ffmpeg、图像编码与解码、RTSP 连接。为了尽可能减小 DLL 二进制的大小，许多音频、视频编解码器以及一些不必要的功能都从 ffmpeg 中移除。此外，图像三列算法 pHash 也被整合到 ffmpeg 的 image2 demuxer 中，这样能够发挥图片更改检测的能力。目前，CouchPotato 难以检测，仅依靠兼容 ICE v3 Fire 和 Collect 的加载器展开运行。 稿源：cnBeta，封面源自网络；

据外媒 8 月 2 日报道，安全公司 FireEye 研究人员于近期发现黑客以商业发票或交易费用为主题传播网络钓鱼电子邮件，旨在诱导用户下载恶意软件 HawkEye，窃取电子邮件密码与 Web 浏览器登录凭证。 HawkEye 是一款多功能木马程序，具备键盘记录与截图功能，允许黑客窃取用户服务器名称、操作系统等数据后发送至 C＆C 服务器。目前，该恶意软件已面向公众网站出售发行，以致不同黑客组织踊跃购买使用。此外，令人担忧的是，HawkEye 还能通过 USB 进行传播。 研究人员近期表示，恶意软件 HawkEye 在此次攻击活动中新增键盘记录功能，允许黑客窃取更多数据。然而，令人不解的是，黑客似乎并未专门针对任何企业或特定地区展开攻击活动。 据悉，FireEye 研究人员此前就曾报告过多起恶意软件 HawkEye 威胁活动，包括商业电子邮件攻击、中东组织网络钓鱼攻击等活动。目前，恶意软件 HawkEye 不断演变，研究人员期望找到更多防御策略以避免类似攻击活动再度发生。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 3 日报道，趋势科技（ Trend Micro ）研究人员近期发现勒索软件 Cerber 历经六个不同版本后再现新变种，旨在窃取比特币钱包进行获利。 研究人员经调查分析后表示，勒索软件 Cerber 新变种与 5 月检测的版本相比结构和传播方式基本相同，但该变种却存在一处细微差异：瞄准比特币钱包进行盗窃活动。据悉，Cerber 新变种通过窃取比特币钱包 Bitcoin Core、Electrum、Multibit 应用程序的相关文件完成这一操作。 此外，Cerber 新变种还尝试从 IE、Google Chrome 与 Mozilla Firefox 浏览器中窃取用户已保存的登录凭证，而这些凭证与所有比特币钱包信息都将通过命令与控制服务器发送给攻击者。值得注意的是，当 Cerber 新变种将相关文件发送至服务器时，它还会自动删除原有数据，以增加受害者损失。目前，研究人员提醒用户不要随意打开未经验证的电子邮件附件以降低感染风险。 稿源：Trend Micro， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，维基解密近期最新披露一批据说被美国中央情报局（ CIA ）所使用过的网络操纵工具 Dumbo，旨在关闭监控摄像头、以保护需要执行一系列任务的特工。 黑客工具 Dumbo 不仅可以屏蔽摄像头、麦克风、监控软件，还能扫描音视频记录、以及用一种不允许进行恢复的方式损坏文件。维基解密公布的这份手册，最后一次更新时间为 2015 年 6 月。此时 Dumbo 版本已经升到 3.0，支持市面上所有版本的 Windows 操作系统（从 Windows XP 开始往上、但不支持 64 位版本的 XP）。 维基解密称：“ Dumbo 能够暂停网络摄像头的使用，以及通过 PAG 破坏任意视频记录。PAG 全称 ‘ 物理访问组 ’（Physical Access Group），它是 CCI（网络情报中心）的一个特殊支队，主要帮助 CIA 获取目标计算机的物理访问 ”。 与 CIA 所使用的其它恶意软件和黑客工具相比，Dumbo 的最大不同是需要对目标计算机进行物理访问，具体操作经常通过插入一块 U 盘而发起。此外，攻击者还需要获得管理员权限，才能访问和破坏监控软件。但从维基解密此前的爆料来看，CIA 显然可以轻易获得 Root 权限。 攻破一个系统之后，Dumbo 还会提供工具来关闭监控设备与软件之间的连接，但也会查看网络中的部分附加设备、搜索特定的进程和记录，最终提供对损坏的文件的控制、或彻底将之删除。如果禁用监控系统的操作未能起效，CIA 特供还能够让与之相连的 Windows 系统产生蓝屏死机，以强制设备离线、让监控摄像头无处施展。 稿源：cnBeta，封面源自网络；

据外媒 8 月 2 日报道，趋势科技（ Trend Micro ）研究人员于 7 月首次发现模仿 WannaCry 的 GUI（ 图形用户界面）的 Android 勒索软件 SLocker 新变种滥用社交网络 QQ 服务与锁屏功能肆意感染移动设备。目前，警方已逮捕 SLocker 开发人员，但其他非法操作人员仍逍遥法外。 调查显示，多数攻击者主要利用移动端 QQ 聊天讨论组 “ 钱来了 ” 或 “ 王者荣耀修改器 ”传播 SLocker 新变种。“ 王者荣耀 ” 是当前中国市场最受欢迎的网络游戏之一，拥有 2 亿注册用户。 图1. 赎金票据截图 SLocker 新变种除利用 GUI 诱导用户下载勒索软件外，还在内部设计上作出部分更改，即具备变换设备壁纸功能。由于 SLocker 新变种使用 Android 集成开发环境（AIDE）创建，因此可直接用于 Android 设备开发应用程序。值得注意的是，攻击者利用 AIDE 环境更加容易开发简单的 Android 工具包（APK），以吸引更多新用户输出其他变种。此外，勒索软件供应商还可使用合法云存储服务（bmob）更改解密密钥。 尽管该变种新附加功能看上去更为高级，但实际加密过程并不复杂。与上一版本使用 HTTP、TOR 或 XMP P与 C＆C 远程服务器进行通信相比，此变种甚至不使用任何 C＆C 通信技术。研究人员分析勒索软件样本后发现，一旦受感染设备执行命令，SLocker 新变种将加密目标 SD 卡中包括缓存、系统日志与 tmp 文件在内的所有文件类型。另外，SLocker 新变种似乎还使用 AES 算法与过时的 DES 算法加密文件数据。 图2. DES 加密算法的代码片段 或许是为了弥补加密 SD 卡所有文件类型这一缺陷，该变种还具备持久锁屏功能。如果受害者点击赎金缴纳界面的 “ 解密 ” 按键，将会出现管理员页面；如果点击 “ 取消 ”，攻击者就会持续劫持用户屏幕；如果点击 “ 激活 ”，该变体将重置设备 PIN 并进行锁屏。 相关数据表明，黑客目前并未放缓传播速率。研究人员建议移动用户从 Google Play 等合法应用商店下载应用、自行设置应用程序权限、定期备份数据并安装全方位傻毒软件。 附：原文报告《 新 WannaCry — SLocker 变种滥用 QQ 服务 》 原作者：Lorin Wu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 1 日报道，Proofpoint 安全研究人员近期发现黑客组织 Carbanak 利用网络钓鱼电子邮件大规模传播新型恶意软件 Bateleur，旨在感染全美餐饮连锁企业网络系统。 黑客组织 Carbanak 此前不仅针对零售商、商业服务与供应商等酒店组织展开攻击活动，还通过非法手段窃取全球银行数十亿美元。然而，Carbanak 在此次攻击活动中主要通过后门程序绕过企业 Windows 防御系统，进行截图、窃取用户密码、执行命令等操作。 与多数网络攻击活动类似，使用网络钓鱼邮件主要是为了引诱目标用户下载恶意附件。据悉，此次攻击活动使用的恶意附件以金融支票为主题并通过伪造 Outlook 或 Gmail 地址发送至目标邮箱。另外，该附件由 “ Outlook 保护服务 ” 或 “ Google 文档保护服务 ” 进行加密处理。在此情况下，真实的防病毒公司名称将会出现在 JScript 文档管理器上，以便诱导受害者安心打开文档。如果用户打开文档编辑，该附件将会通过一系列预定任务访问恶意软件有效负载 。 此外，恶意软件 Bateleur 还具备渗透密码功能，尽管这一特定指令需要命令与控制服务器的额外模块才能运行。目前，新型恶意软件 Bateleur 攻击活动仍未停止，研究人员提醒用户时刻保持警惕，提高安全意识以防网络钓鱼攻击。 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  1 日消息，美国制药企业默克近期在线公布《 2017 第二季度财务业绩报告 》，指出勒索软件 NotPetya 于 6 月袭击公司后，大规模破坏生产、研究与销售等多个关键领域业务，影响全球逾 65 个国家数万台系统设备。 科技公司 Comae 创始人 Matt Suiche 针对此前乌克兰攻击活动中使用的 NotPetya 样本进行分析后发现该勒索软件具备擦除器功能，允许破坏磁盘 24 个扇区的同时复制恶意代码。此外，研究人员推测，攻击者可能通过转型战略隐藏境外政府针对乌克兰关键基础设施展开攻击活动。 卡巴斯基安全专家进行类似研究后得出结论：与其他勒索软件不同，NotPetya 不会加密受感染系统文件，而是针对硬盘驱动器的主文件表（ MFT ）锁定用户数据访问权限，并利用恶意代码替代计算机主引导记录（ MBR ）使其无法运行。由于攻击者利用 NotPetya 重写硬盘驱动器的 MBR，导致 Windows 设备处于崩溃状态。当受害者尝试重启计算机时，甚至位于安全模式下也无法加载操作系统。 NotPetya 攻击活动不久后，默克成为全球众多受害企业之一。调查显示，受到该起攻击活动影响的其他公司分别包括乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、航运巨头 AP Moller-Maersk、TNT 快递与律师事务所 DLA Piper 等。据悉，默克仍在努力恢复业务并尽量减少损失。目前，他们已大幅度恢复包装业务及小部分配方业务。另外，公司外部生产业务在此期间并未受到影响且仍在执行订单与产品运输。 关联阅读：联邦快递公司证实：旗下荷兰运输公司 TNT Express 尚未自 NotPetya 勒索软件攻击中恢复 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能，允许黑客通过无障碍访问服务窃取用户敏感数据。 无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面（UI）。倘若黑客滥用此系统功能，不仅能够从设备上的其他应用程序中窃取敏感数据，还可获取管理员权限。此外，该木马新增功能还具备卸载拦截功能。 相关数据表明，尽管当前黑客尚未大范围部署 Svpeng，但受害目标却跨越 23 个国家，其中多数受害用户位于俄罗斯（29％）、德国（27％）、土耳其（15％）、波兰（6％）与法国（3％）。值得注意的是，即使大部分受害用户位于俄罗斯，但该木马程序并不会在俄语设备上运行，因为这是俄罗斯黑客规避侦查与逮捕的标准策略。 Svpeng 恶意软件家族一向以创新闻名。自2013年以来，Svpeng 是首批攻击银行短信业务的木马软件，允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年，黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng，使其跻身高危手机恶意软件行列。 有趣的是，一旦设备感染 Svpeng 后，该木马就会自动检测设备运行语言，如果不是俄语，设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外，每当用户使用键盘按键时，该木马都会截图并上传至恶意服务器。 近期，研究人员从 Svpeng 命令与控制服务器（ CnC ）拦截到一个加密配置文件，解密后可查找受攻击的应用程序，进而获取钓鱼网址。据悉，该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址，还包括一款手机赚钱软件应用 Speedway。 目前，黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称，该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示，黑客仅需访问其中一个系统功能，即可获取所有必要的附加权限。 原作者：Roman Unuchek， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Google 安全人员此前披露一款恶意软件 Lippizan，能够录制通话记录、拍摄照片、以及监视设备其它活动。近期，又有其它安全研究企业在线曝光国产智能手机厂商的设备中发现预装 Triada 木马。 研究人员 Dr.Web 指出，这是一种相当复杂的恶意软件，因为它可以直接将自身注入到了名叫 “ Zygote ”的 Android 父进程中。Zygote 在手机正常运行期间处于活跃状态，因此能够访问到任意应用程序的内容。在最新变种中，该木马已获得沙盒机制的加持、被更新得无法追踪。 Dr.Web 已经披露了部分被感染机型上的 Android 核心库（libandroid_runtime.so），包括 Leagoo M5 PlusLeagoo M8、Nomu S10、Nomu S20 等。目前，Dr.Web 怀疑 ROM 制作者、或者其他可访问到用于这些设备的 Android 代码的人别有用心，在设备出货前将恶意软件灌注到了这些设备中。 尽管设备制造商已被告知该恶意软件问题，但鉴于其主打低成本市场，预计它们不太可能会为这些设备推出任何安全更新。 稿源：cnBeta，封面源自网络；