分类: 恶意软件

Zscaler:伪装成电报应用程序的 FFDroider 恶意软件会窃取社交媒体账号

由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队,刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉,这款基于 Windows 平台的恶意软件,能够创建一个名为 FFDroider 的注册表项,并将窃取到的凭据和 cookie 发送到被攻击者把持的命令与控制(C&C)服务器。 (图自:Zscaler ThreatLabz) 研究团队发现,FFDroider 恶意软件会将自己伪装成热门消息应用“电报”(Telegram)。 命名与控制服务器记录(初始请求包括了受感染主机的文件名和 IP 地址) 在受害者访问设备时,FFDroider 会开始通过各大浏览器(包括 Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge)窃取 cookie 和凭据。 显示被盗 Instagram 账户信息的加密请求 FFDroider 不仅会利用盗取来的 cookie 登录受害者使用的社交媒体平台以提取更多个人敏感信息,还会通过展示虚假广告来诱骗受害者输入他们的敏感信息,结果导致进一步的攻击。 包含来自受感染的 Facebook Cookie 的被盗信息的解密请求 深入分析发现,FFDroider 广泛针对 Facebook / Instagram / Twitter 等社交平台、以及亚马逊 / eBay / Etsy 等电商网站的用户发起了攻击。 从 Instagram 窃取的敏感数据的解密请求 为避免造成更大的损失,Zscaler 团队呼吁大家不要通过来路不明的渠道下载 Telegram 应用程序、并设置必要的安全防护措施 —— 包括保持计算机软件更新至最新状态、以及对社交媒体账户设置双因素身份验证。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257739.htm 封面来源于网络,如有侵权请联系删除

Google Play 商店被发现伪装称杀毒工具的窃密恶意软件 已被下载数千次

考虑到有那么多受恶意软件感染的程序溜进Play Store,人们开始觉得Google在警告人们侧载应用程序的危险时是在浪费口水。在发现一些伪装成杀毒应用的窃取登录凭证恶意软件后,它们中间的六个被发现并删除。 Check Point安全研究人员说,Google从其商店中删除这六个应用程序之前,它们已经被下载超过15000次。讽刺的是,当用户以为他们在下载杀毒软件时,他们实际上是在安装Sharkbot Android资料窃取恶意软件。 Sharkbot的工作方式是说服受害者在模仿输入表格的窗口中输入他们的凭证,通常是在它检测到银行应用程序被打开时。它还可以通过键盘记录、拦截短信和获得完全远程访问来窃取信息。 一旦受害者输入了他们的用户名和密码,这些细节就会被发送到一个恶意的服务器,并被用来访问银行、社交媒体、电子邮件等账户。 大多数受害者来自英国和意大利。有趣的是,该恶意软件使用地理围栏来专门识别和忽略中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。 ZDNet写道,这些应用程序能够避开Play Store的保护措施,因为它们的恶意行为直到有人下载后才被激活,并且与服务器进行通信。受Sharkbot感染的应用程序已于3月从Google Play商店中删除,尽管它们可能仍可在其他商店中找到。 就在两周前,法国移动安全公司Pradeo的研究人员透露,一个名为Craftsart Cartoon Photo Tools的应用程序包含一个名为Facestealer的Android木马恶意软件版本。它能够窃取移动用户的Facebook登录凭证,在Google将其删除之前,已经被下载了超过10万次。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255757.htm 封面来源于网络,如有侵权请联系删除

SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat

早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(AcidRain)的新型擦除(wiper)恶意软件头上。 Surfbeam2 调制解调器攻击前后的并排比较(via SentinelLabs) 鉴于此事与俄乌冲突爆发的时间点接近,早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问,起初还以为它们遭到了分布式拒绝服务(DDoS)攻击。 不过参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。 设备擦除代码:写入 ox40000(左)或使用 MEM*IOCTLS(右) 可知 3 月 15 日那天,研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪,并推测该用户名为“乌克兰行动”(Ukraine operation)的缩写。 至于这款擦除器的功能,研究人员称其相当“通用”。因为在尝试破坏数据之前,它会对文件系统和各种已知存储设备上的文件进行深度抹除,然后让设备重启变砖。 尝试重启设备的代码 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示: AcidRain 的功能相对简单,并且会进行暴力尝试。意味着攻击者要么不熟悉目标固件的细节,要么希望该工具保持通用性和可重复使用。 部分标题字符串对比 尽管攻击者的确切身份仍是个谜,但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。 2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。 左为 AcidRain,右为 VPNFilter 。 最后,研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件,但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报告可知: 未具名的攻击者利用了错误配置的虚拟专用网设备,远程访问了 KA-SAT 网络的‘可信访问’部分。 接着利用相关访问权限,执行了同时面向大量家庭调制解调器的有针对性的管理命令。 这些破坏性命令覆盖了调制解调器闪存中的关键数据,导致 Modem 无法访问网络、但也并非永久无法使用。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1253557.htm 封面来源于网络,如有侵权请联系删除

透明部落黑客针对印度官员发动新一轮黑客攻击

 Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性,以及他们的核心目标是建立长期间谍渠道。” 上个月,该APT组织扩展了它的恶意软件工具集,用一个名为 CapraRAT的后门侵入了安卓设备,这个后门与 CrimsonRAT 有很高的“重合度”。 Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载,有效负载包含一个基于 python 的存储器,用于安装基于 .NET的侦察工具和RAT,以及一个原装的基于 .NET的植入,在受感染的系统上运行任意代码。 除了不断改进他们的部署策略和恶意功能,透明部落黑客依赖于各种各样的分发方法,例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序,以攻击印度实体和个人。 其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序,Kavach是一个印度政府授权的双因素身份验证解决方案,用于访问电子邮件服务。 另外还有 covid-19主题的诱饵图像和 VHD格式文件,这些文件被用作从远程命令和控制服务器(比如CrimsonRAT)检索额外有效载荷的发射台,CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。 研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件,以适应各种紧急操作,这表明该组织具有攻击性、持久性、灵活性,并不断改进他们的策略,以感染目标。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

精心伪造的微软客户支持和帮助文档实际上是窃取信息的 Vidar 恶意软件

网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在已经不常见,但总是会有人希望寻求“帮助”,这个恶意的Vidar CHM恶意软件以ISO格式通过电子邮件散播,该ISO被伪装成一个”require.doc”文件。 在这个 request.doc ISO文件中包含几个恶意文件,一个被称为”pss10r.chm”的微软帮助文件(CHM)和一个被称为”app.exe”的可执行文件。一旦用户被骗提取这些文件,用户的系统就会被破坏。前者即”pss10r.chm”实际上是一个一般的合法文件,但附带的exe文件却是臭名昭著的Vidar,Vidar是偷窃者恶意软件,从浏览器等地方窃取信息和数据。该活动类似于我们在2月份了解到的RedLine恶意软件活动。 下面是一个合法的”pss10r.chm”与这个Vitar活动中使用的恶意文件的对比图片。 恶意CHM的目的是运行另一个文件,即包含Vidar恶意软件的app.exe,以成功传递恶意软件载荷。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1251141.htm 封面来源于网络,如有侵权请联系删除

盗版有风险:谨防 BitRAT 恶意软件伪装成 Windows 10 激活工具传播

近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。 叫卖帖(图 via Bleeping Computer) 在买来恶意软件后,每位攻击者都会在 BitRAT 基础上进行打包分发,包括但不限于网络钓鱼、水坑、木马等。 AhnLab 安全研究人员最近发现,威胁参与者正在将 BitRAT 伪装成 Windows 10 专业版的激活工具,并在网盘上分享传播。 据悉,Webhards 是一项在韩国相当流行的在线存储服务,其通过社交媒体平台 / Discord 发布的直接下载链接,而吸引了大量的访问者。 但是对于粗心的网络用户来说,还是很容易被各类威胁参与者所利用的。 伪装成激活工具的恶意软件下载器 按照正规流程,用户需要通过合法渠道向微软购买许可证以激活 Windows 10 操作系统。不过也有一些迂回方法,比如利用 Windows 7 → Windows 10 的免费升级政策。 胆子更大的一些盗版用户,会冒险搜索网络上散布的非官方激活工具,但其中混入了许多恶意软件 —— 比如上图所示的“W10DigitalActiviation.exe”。 其带有一个简洁的图形化用户界面(GUI),配上对小白“相对友好”的一键激活按键。然而点击之后,它并不会在主机系统上激活 Windows 许可证。 代码分析发现,威胁参与者会利用硬编码,从命令与控制服务器上下载名为“Software_Reporter_Tool.exe”的恶意软件(本质上是 BitRAT 恶意软件)。 恶意代码分析(实际会下载 BitRAT 恶意软件) 恶意文件的会被安装到 %TEMP% 路径,并添加到 Startup 文件夹中。为了避免被系统自带的安全软件给清除,它甚至还会将自身纳入 Windows Defender 的排除项。 在榨干了所谓“激活工具”的利用价值后,“W10DigitalActiviation.exe”会被卸磨杀驴(从系统中删除),从而只在受害者计算机上留下被夺舍的 BitRAT 恶意软件。 对于网络犯罪分子们来说,BitRAT 的功能可谓是‘便宜又大碗’,能够从主机上窃取大量有价值的信息、执行 DDoS 攻击、绕过用户权限控制(UAC)等。 此外它还能够当做键盘记录器、监测剪贴板、访问网络摄像头、录音、窃取 Web 浏览器的凭证,甚至利用受害设备的计算资源来挖掘 XMRig 加密货币。 以及通过 SOCKS4 和 SOCKS5(UDP)通路,提供对受害者 Windows 系统的访问、隐藏虚拟网络计算(hVNC)、还有基于反向代理的远程控制。 BitRAT 恶意软件的 C&C 控制面板 从这些功能来看,ASEC 分析师认为它与 TinyNuke(及其衍生的 AveMaria / Warzone)代码有很强的相似性。 综上所述,即使抛开法律与道德因素,使用盗版软件的安全风险、仍无异于一场赌博。 用于激活非法软件副本 / 破坏知识产权保护的系统工具越多,最终感染上恶意软件的可能性就越大。即使暂时负担不起 Windows 许可证,也可考虑其它期待选项。 更重要的是,大家还是要养成良好的习惯 —— 不要轻易使用来路不明的许可证激活器、或其它由未知供应商制作并发布的未签名可执行文件。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249813.htm 封面来源于网络,如有侵权请联系删除

新型 LokiLocker 勒索软件会擦除整个 PC 上的文件

黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。 (图自:BlackBerry Threat Intelligence) 目前尚不清楚 LokiLocker 勒索软件的起源,但代码分析发现它是用英语编写的,这点让安全研究人员感到很是疑惑。 图 1 – KoiVM 混淆器版本号 至于 LokiLocker 的受害者,世界各地都有分散,但主要分布在东欧和亚洲地区。 图 2 – Koi、NETGuard 与混淆类名 不过黑莓威胁情报团队认为,用于开发 LokiLocker 的工具,是由名为 AccountCrack 的伊朗破解团队开发的。 图 3 – Loki 函数为空或无法反编译 当然,仅凭这一点,还无法最终认定 LokiLocker 勒索软件的起源。 图 4 – WinAPI 包装器 对于普通用户来说,还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。 图 5 – Loki 配置 最后,为了在不幸中招后有机会恢复文件,平日里也可通过 OneDrive 等网盘服务进行定期同步备份。 图 6 – KoiVM 虚拟化功能 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248751.htm 封面来源于网络,如有侵权请联系删除

更多恶意软件在利用合法的 TestFlight 和 WebClips 途径来侵入 iOS 设备

尽管苹果一直在警告侧载应用程序的危险性,并坚持对上架 App Store 的应用展开严格的审查。但由于 TestFlight 和 WebClips 这两项功能的存在,越来越多的恶意软件开发者正在积极利用这两大“官方漏洞”。比如欺诈者可忽悠 iPhone / iPad 用户侧带有恶意软件的应用程序,进而窃取加密货币、账户凭证等敏感信息,或开展其它不为人知的恶意活动。   通过严格的审查,这家库比蒂诺科技巨头很好地保证了 App Store 的软件质量和用户体验。 但若某恶意应用可在未通过安全审查的情况下轻松潜入 iPhone 或 iPad,后果就不堪设想了。 安全公司 Sophos 在一篇帖子中指出,通过推送虚假的加密货币 App,近期冒头的 CryptoRom 活动,正在将魔爪伸向毫无戒备的 iOS 和 Android 用户。 长期以来,Android 系统一直有开放“侧载”的选项。在提供极大自由度的同时,此举也让小白用户面临着相当大的恶意软件风险。 Sophos 指出,CryptoRom 恶意软件活动严重依赖于 TestFlight 功能来传播,该渠道允许 iOS 用户下载并安装尚未通过 App Store 审核的应用程序。 在道高一尺魔高一丈的网络安全攻防战中,诈骗者们绝对不会轻易放过各种漏洞。 除了伪装加密货币交易所,他们还丧心病狂地通过 TestFlight 测试通道来忽悠 iOS 用户去安装恶意软件。一旦在受害者的设备上被顺利安装,推送带有恶意软件的应用程序,也就轻而易举了。 此外 CryptoRom 的幕后黑手,还有更加可怕的第二种手段 —— 利用苹果提供的 WebClips 功能。通过将网页链接直接添加到 iPhone 主屏,诈骗者可轻易将链接伪装成来自合法服务或平台的普通 App 。 Sophos 指出,目前 CryptoRom 活动正在社交网络、约会网站 / App 上大肆兜售,表明幕后组织者正在积极部署社工策略。作为预防措施,还请 iPhone / iPad 用户千万不要在官方 App Store 渠道之外获取应用程序。     转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248183.htm 封面来源于网络,如有侵权请联系删除

研究人员发现针对乌克兰的第 3 款擦除恶意软件

研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该恶意软件会从连接到被攻击机器的任何驱动器中删除用户数据和分区信息。在 Twitter 上分享的样本代码表明,该恶意软件通过用空字节字符覆盖它们来破坏机器上的文件,使它们无法恢复。 ESET 威胁研究主管 Jean-Ian Boutin 告诉 The Verge:“我们知道,如果擦除起作用,它将有效地使系统失去作用。然而,目前还不清楚这种攻击的整体影响是什么”。 Boutin 说,到目前为止,被攻击的案件数量似乎不多,ESET 的研究已经观察到一个组织被 CaddyWiper 作为目标。 ESET 的研究先前发现了另外 2 款针对乌克兰电脑的擦除恶意软件。第一个毒株被研究人员称为 HermeticWiper,是在2月23日发现的,即俄罗斯开始军事入侵乌克兰的前一天。另一个被称为 IsaacWiper 的狙击手于2月24日在乌克兰部署。然而,ESET分享的时间线表明,IsaacWiper和HermeticWiper在发布前几个月都在开发中。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247013.htm 封面来源于网络,如有侵权请联系删除

YouTube上的 Valorant 骗局:RedLine 感染

Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区,这是一款免费的Windows第一人称射击游戏,在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称,这些骗术是安装在游戏中的外挂,以帮助玩家快速精准瞄准敌人,不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎,因为它们可以自动瞄准,玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面,在那里他们会获取一个RAR存档,其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上,这个文件是RedLine 信息窃取程序的副本,RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一,它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码),Minecraft(帐户凭据,级别,排名),Steam(客户端会话),Discord(令牌信息) 在收集了这些信息之后,RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中,并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外,电子游戏中的作弊行为会破坏游戏的乐趣,另外,它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写的,也没有数字签名(所以反病毒警告肯定会被忽略),而且很多确实是恶意软件。 ASEC的报告包含了最近的一个例子,但这只是恶意下载链接的海洋中的一小部分,它们藏在在YouTube宣传各种各样的免费软件的视频中。 宣传这些工具的视频通常是从其他地方偷来的,并在新创建的渠道上恶意转发,充当诱饵。 即使这些视频下面的评论称赞上传者,并声称该工具如宣称的那样有效,它们也不应该被信任,因为这些很容易被伪造。       消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文