据外媒 6 月 8 日报道，卡巴斯基实验室研究人员在 Google Play 商店发现一款新型 Android 恶意软件 Dvmap，允许禁用设备安全设置、安装第三方恶意应用程序并在设备系统运行库时注入恶意代码以获取持久 root 权限。 有趣的是，恶意软件 Dvmap 为绕过 Google Play 商店安全检测，首先会将自身伪装成一款安全的应用程序隐藏在益智游戏 “ colourblock ” 中，然后在短时间内升级为恶意版本。据称，该款游戏在被移除前至少下载 50,000 次。 调查显示，木马 Dvmap 适用于 32 位与 64 位版本 Android 系统。一旦成功安装，恶意软件将尝试在设备中获取 root 访问权限并安装多个恶意模块，其中不乏包含一些中文模块与恶意软件 “ com.qualcmm.timeservices ” 。为确保恶意模块在系统权限内执行，该恶意软件会根据设备正在运行的 Android 版本覆盖系统运行库。而在完成恶意应用程序安装后，具有系统权限的木马会关闭 “ 验证应用程序 ” 功能并修改系统设置。 据悉，第三方恶意应用程序主要将受感染设备连接至攻击者 C&C 服务器并向其转交设备控制权限。目前，虽然研究人员仍对恶意软件 Dvmap 进行检测，但并未观察到源自受感染 Android 设备的任何恶意命令。为防止用户设备遭受感染，研究人员建议用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限并仅授予应用程序必要权限。 附: 卡巴斯基实验室分析报告《 Dvmap: 首款代码注入式 Android 恶意软件》 原作者：Mohit Kumar，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 5 日报道，安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件，即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。 据悉，网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前，名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播，其邮件主题包括 “ 采购订单＃130527 ” 与 “ 确认函 ” 等。 调查显示，当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上，即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档，PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。 安全研究人员表示，用户设备中受视图保护的安全功能会通知用户操作风险，并提示用户启用或禁用该项操作。此外，SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。 原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 3 日报道，Heimdal Security 安全研究人员于近期发现，黑客正利用勒索软件 Jaff 新变种共享后端基础设施，并在黑市贩卖被盗信用卡数据与银行账户信息，其中主要包括账户余额、位置与附加电子邮件地址等私人数据。 勒索软件 Jaff 于近期被发现涉及部分大型网络钓鱼邮件活动，即利用内含 PDF 附件与嵌入式 Microsoft Word 文档传播宏病毒恶意代码。一旦用户下载附件并点击链接，恶意软件将会在激活后自动窃取用户重要信息。 网络黑市出售的私人账户信息多数分布于美国、德国、法国与西班牙等地区，价格从 1 美元至几比特币不等，具体取决于账户自身价值。安全专家表示，勒索软件攻击的危害远不止加密用户数据。黑客在大肆收集受害者私人信息的同时还通过盗取信用卡数据谋取高额利润回报。 据悉，黑客正通过一台位于（俄罗斯）圣彼得堡的服务器（ IP 地址 5[.]101[.]66 [.]85 ）针对全球用户开展勒索软件攻击活动。此类案件并非仅此一例，犯罪组织还经常为获取最大利润回报改善业务操作水平，开展多元化攻击活动。 原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 4 日报道，IBM 安全专家于近期发现成百上千的客户Active Directory 域在受到银行恶意软件 QakBot 攻击后被锁定。 Active Directory（ 活动目录 ）是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。活动目录服务是 Windows Server 2000 操作系统平台的中心组件之一。（百度百科） 恶意软件 QakBot 是一种主要通过共享驱动器或移动设备实现自我复制的网络蠕虫。该恶意软件主要针对企业银行账号窃取用户资金与私人数据，例如：数字证书、缓存凭证、HTTP（S）会话认证数据、Cookie、身份验证令牌以及 FTP 、POP3 登录凭证等。近期，QakBot 被发现针对美国政府机构、银行开展攻击活动，其中包括美国国家财政部、企业银行与商业银行。 调查显示，恶意软件 QakBot 除了使用了特殊的检测机制规避沙箱外，还利用了 dropper 执行 explorer.exe 并在进程中自动注入 QakBot 动态链接库（DLL），以破坏其原始文件传播恶意软件。 安全专家表示，银行恶意软件 QakBot 为了在目标网络中进行传播，还能使用 C＆C 服务器的特定命令实现随需应变。此外，QakBot 还能利用“浏览器中间者”(Man-in-the-Browser，MitB)攻击，将恶意代码注入在线银行会话中，以便通过被控制的域名获取脚本。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 1 日报道，知名网络安全公司 Check Point 发现一个疑似由中国企业 Rafotech 支持的恶意软件 Fireball ，允许黑客操控受害者浏览器、更改搜索引擎并窃取用户私人数据。目前，该恶意软件已感染 2.5 亿台电脑，或将引发全球网络安全危机。 恶意软件 Fireball 远离合法服务器，具有运行代码、下载文件、安装插件、更改计算机配置与监视用户等功能，甚至还可作为一款高效的恶意软件释放器。 调查显示，印度 2530 万台设备（ 10.1％ ）、巴西 2410 万台设备（ 9.6％ ）、墨西哥 1610 万台设备（ 6.4％ ）、印度尼西亚 1310 万台设备（ 5.2% ）与美国 550 万台设备（ 2.2% ）均遭受恶意软件感染，影响范围波及全球 20% 企业网络。 Check Point 表示，该恶意软件与一家声称为 3 亿客户提供数字营销与游戏应用的中国企业 Rafotech 存有潜在联系。恶意软件 Fireball 可通过 “ 浏览器劫持 ” 将自身捆绑至看似合法的软件上进行传播，致使用户无法更改受感染设备上的浏览器主页、默认搜索引擎。 调查显示，恶意软件利用 Rafotech  “ Deal WiFi ” 、“ Mustang Browser ” 、“ Soso Desktop ” 与 “ FVP Imageviewer ” 等产品软件进行附带传播。此外，Rafotech 还可利用虚假域名、垃圾邮件、甚至从黑客手中购买插件等方法传播该恶意软件。对此，Rafotech 目前尚未发表任何评论。 安全专家表示，用户可以使用一些简单的方法检查设备是否感染恶意软件 Fireball。首先，打开浏览器检查是否能将其更改为另一款搜索引擎，如 Chrome、Firefox 或 Explorer ；其次，检查默认搜索引擎是否也可进行更改。最后，扫描所有浏览器扩展程序。倘若无法修改上述选项，则表示该设备已感染恶意软件 Fireball。 目前，安全专家建议受影响用户从 Windows 控制面板中的程序与功能卸载恶意软件或使用 Apple 设备 “ 应用程序 ” 文件夹中的 Finder 功能从 PC 端删除该恶意软件。此外，受影响用户应将浏览器恢复为默认设置。 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，勒索软件是一种破坏电脑功能的恶意软件，然后再通过对方支付赎金的方式将系统恢复正常。这种现象已经变得非常普遍，“ 勒索软件 (Ramsomware ) ” 这个词条也已于 2012 年被收录《 牛津英语词典 》。但它很有可能并不像人们想象地那样就是一棵摇钱树。 英国肯特大学在今年 3 月份公布的一份调查报告 –《 勒索软件经济分析 ( Economic Analysis of Ransomware ) 》指出，勒索软件能否赚钱取决于人们是否愿意花钱来恢复他们的档案，这当中受到许多因素影响，包括受害者如何评估他们的文件价值以及他们是否相信付了赎金之后能拿回他们的文件。 报告显示，勒索软件开发者的目标是只要一半的受害者支付赎金就可以了。其中一种办法就是创建详细的受害者文件然后展开相应的勒索。受到危害文件数量庞大的用户支付的概率可能会高于受到危害文件数量相对小的。同样，加密文件的用户支付概率也会高于未加密的。另外，攻击者还会看被攻击者所使用的硬件，一般情况下，使用价格更贵笔记本的用户比使用廉价笔记本的用户更可能支付赎金。此外，性别也在当中扮演一定的角色。根据调查报告显示，女性比男性更易支付赎金来恢复她们的文件。 尽管这篇调查报告表示勒索软件开发者对受害者的赎金要视实际情况而定，但它也提出了 “ 理想赎金 ”– 950 英镑。在该金额下，有 10% 的受害者最终都会选择支付。 报告详细内容《 勒索软件经济分析（ PDF ) 》 稿源：cnBeta；封面源自网络

据外媒 27 日报道，Recorded Future 安全专家发现一名德国黑客通过 Pastebin 网站传播 Houdini 蠕虫。 调查显示，Houdini 蠕虫开发人员似乎也是开源勒索软件 MoWare HFD 变种的创建者之一。安全专家表示，Pastebin 网站发布的恶意脚本 Visual Basic 于 2016 年 8 月、10 月以及今年 3 月的访问次数出现峰值，而该脚本多数情况被攻击者用于传播 Houdini 蠕虫。此类攻击首次出现于 2013 年并于 2016 年更新。 Recorded Future 在 Pastebin 网站中发现 213 个恶意帖子，其中包括一个具有 105 个子域名的一级域名。分析显示，一级域名与子域名来自动态 DNS 提供商，由于攻击者是利用他人帐号发布 Houdini 蠕虫恶意脚本，安全专家能够确认的信息仅有：来自德国的注册者 穆罕默德 · 拉德（ Mohammed Raad ），其相关电子邮件为  “ vicsworsbaghdad@gmail.com ” 。 Google 搜索上述信息后，发现了使用相同信息的 Facebook 个人资料。调查显示，Mohammed Raad 是德国 Anonymous 组织的主要成员之一。此外，Facebook 的个人资料还包括该成员近期与勒索软件 MoWare HFD 有关的会话记录。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，美国知名快餐品牌 Chipotle Mexican Gril 于本月 26 日宣布，该公司已经确定了今年早些时候用于盗用信用卡信息的恶意软件。除了这个消息之外，该公司还发布了一个新工具，帮助客户检查他们去过的餐厅是否受到波及。Chipotle 目前并未透露受影响餐厅的具体数量，但表示其在全美范围内的 “ 大多数 ” 餐厅都可能受到影响。 Chipotle 在一份声明中表示：“ 在使用 POS 机时，恶意软件从支付卡的磁条上搜索跟踪数据（有时除了卡号、到期日期和内部验证码之外，还有持卡人名称信息），但没有迹象表明客户的其他信息受到影响。” 根据 Chipotle 发布的新工具显示，此次事件计划波及 Chipotle 在每个州的餐馆。Chipotle 餐厅的收银系统基本上在 2017 年 3 月 24 日 – 4 月 18 日期间被恶意软件感染。 Chipotle 旗下休闲披萨连锁店 Pizzeria Locale 也受到黑客攻击的影响。Chipotle 公司建议客户报警，联系联邦贸易委员会或为银行帐户设置欺诈警报或进行冻结。 稿源：cnBeta；封面源自网络

据外媒 26 日报道，Croatian 安全研究员曝光 EternalRocks SMB 蠕虫病毒后一度引发多家媒体大肆渲染，致使开发人员中止业务操作，尽管后者声称 EternalRocks 并无恶意企图。 EternalRocks 借勒索软件 WannaCry 席卷全球之势利用多款 NSA 黑客工具在 Windows 计算机之间进行大规模传播而获取利益。此外，EternalRocks 与 WannaCry 在使用 SMB 协议方面存在相似之处，不同部分在于 EternalRocks 并未在受感染系统中传播勒索软件。 EternalRocks 命令与控制（ C＆C ）服务器托管在暗网上。其论坛曾于 24 日发布一条最新消息，声称 EternalRocks 仅起到 SMB 防火墙的作用，并非勒索软件。但安全专家经调查表示，EternalRocks 正在传播可执行病毒文件。对于已感染该恶意软件的系统而言，除非彻底清除 “ 病源 ” ，否则将会扫描感染更多用户设备。 原作者：India Ashok， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据媒体报道，谷歌近日下架了 Play 商店中 40 多款应用，因为这些应用会悄悄迫使 Android 用户点击广告。据悉这些应用累计下载量高达 3600 万次，安全研究人员表示，这应该是 Google Play 发生的最大一起广告欺诈案例，并且从官方应用商店中安装的角度来看，这也是最成功的恶意软件。 安全公司 Check Point 声称，这 41 个应用程序来自同一家韩国公司 Kiniwini，其应用中隐藏了非法的广告点击功能，且应用大部分是游戏。谷歌的 Bouncer 技术实际是用于阻止应用在 Play 商店上架，但这次显然出了问题。 Check Point表示，这些恶意应用会通过模仿 PC 浏览器的软件在后台秘密打开网页。一旦目标网站被打开，恶意软件就会使用 JavaScript 代码找到并点击 Google 广告基础架构上的横幅。每次广告被点击后，该韩国公司就会获得收入，Check Point 估计该公司每月可赚 30 万美元左右。 Kiniwini 公司最早的恶意软件版本要追溯到 2016 年 4 月份，这意味着其逃避了足足一年的审核。目前该韩国公司在官网上表示已经注意到谷歌下架了其软件，但他们计划重新发布代码更新过的游戏。 稿源：IT之家；封面源自网络