分类: 恶意软件

Chrome 商城出现虚假微软 Authenticator 扩展程序 已上架将近 1 个月

Microsoft Authenticator 是一款非常优秀的安全工具,通过双因素认证提高账户的安全性。但近期,有诈骗者通过 Microsoft Authenticator 的好名声来欺骗用户分享他们的个人信息。援引外媒 gHacks 报道,在 Chrome Web Store 上发现了一款虚假的 Microsoft Authenticator 扩展程序。在被下架之前,该扩展已经上线将近 1 个月时间。 这款扩展程序并非由微软提供,而是来自于一个名为“Extensions”的开发者。而且在评论下方还有不少积极的正面评论,这些评论很可能是假的,用于来让扩展看起来像是微软官方的。正如你对一个假扩展所期望的那样,它实际上不能被用来验证微软账户的登录。相反,它有一个按钮,将你重定向到一个波兰页面,要求你创建一个账户。 正如 gHacks 所强调的那样,这个假的微软认证器扩展在被删除之前有 448 个用户和三星级评价。它于 2021 年 4 月 23 日首次出现在 Chrome 网络商店,这意味着它在被删除之前已经运行了近一个月。 微软的一位发言人向The Register证实,“微软从来没有为Microsoft Authenticator 提供过 Chrome扩展。公司鼓励用户向 Chrome 网络商店报告任何可疑的扩展”。Google没有回答关于该假列表如何在商店中出现并在近一个月内没有被删除的请求。   (消息及封面来源:cnBeta)

俄罗斯一男子因利用恶意软件盗取 150 万美元在美被判5年监禁

据外媒报道,美国一名联邦法官于当地时间周三判处一名俄罗斯男子5年监禁,罪名是他参与了利用恶意软件窃取相当于150万美元的美国纳税人纳税申报表的阴谋。据悉,35岁的Anton Bogdanov曾是利用会计软件漏洞将退税转到自己账户的一员。 据起诉书称,Bogdanov和他的同伙通过登录该软件以获取客户信息并更改收件人信息,进而将来自美国国税局(IRS)的钱转移到他们控制下的借记卡上。 Bogdanov更广为人知的化名是Kusok,他在犯罪期间居住在俄罗斯。2018年11月,他在泰国曼谷等待登上飞往俄罗斯的航班时被捕,进而成为美国当局在一次国际度假期间逮捕的多名被指控的网络罪犯之一。 FBI纽约分局副局长William Sweeney Jr.周三在一份声明中说道:“当受害者得知Bogdanov和他的同伙在俄罗斯时,他们可能认为正义难以伸张。今天的结果应该提醒我们,我们的影响是全球性的,我们专注于阻止网络罪犯,无论他们可能藏在哪里。” 如果所有罪名成立,Bogdanov将面临27年的监禁。据悉,在2019年3月从泰国被引渡到美国后,Bogdanov于2020年1月认罪。   (消息及封面来源:cnBeta)

安盛保险公司遭遇勒索软件袭击 Avaddon 称对此负责

据外媒BleepingComputer报道,保险巨头安盛集团在泰国、马来西亚、中国香港和菲律宾的分公司遭到了勒索软件网络攻击。据该家媒体昨日报道,Avaddon勒索软件集团在其泄密网站上称,他们从安盛亚洲业务中窃取了3TB的敏感数据。 另外,BleepingComputer昨天观察到针对安盛全球网站的分布式拒绝服务(DDoS)正在进行,这使得安盛的全球网站在一段时间内无法访问。 根据该组织的说法,Avaddon获得的数据包括客户的医疗报告(暴露他们的性健康诊断)、身份证复印件、银行账户报表、索赔表格、付款记录、合同等等。 大约一周前,安盛表示,在法国承保网络保险时将不再报销勒索软件勒索支付的费用。 勒索软件集团攻击安盛亚洲办事处 昨天,Avaddon勒索软件集团声称对袭击保险巨头安盛(AXA)亚洲分支机构负责。 此外,该组织还称,安盛在泰国、马来西亚、中国香港和菲律宾的网站受到了主动DDoS攻击: Avaddon勒索软件团伙于2021年1月首次宣布,他们将发动DDoS攻击以摧毁受害者的网站或网络直到他们主动联系并开始就支付赎金进行谈判为止。 BleepingComputer曾于2020年10月首次报道了这一新趋势,当时该勒索软件组织开始将DDoS攻击作为额外的杠杆。 就在Avaddon宣布安盛系统受到攻击的大约一周前,安盛曾表示,他们在法国承保的网络保险将不再包括勒索软件勒索赔偿。 尽管攻击的确切日期尚不清楚,但正如BleepingComputer看到的,Avaddon昨天开始在他们的泄露网站上曝光了一些窃取来的数据。 另外,Avaddon还威胁称,安盛有约10天的时间跟他们沟通和合作,之后他们将曝光安盛的重要文件。 该集团声称获得了安盛3TB的数据,包括: 客户医疗报告(包括包含性健康诊断); 客户索赔; 支付给客户的款项; 客户的银行账户扫描文件; 仅限于医院和医生的材料(私人欺诈调查、协议、拒绝偿付、合同); 身份证明文件如身份证、护照等。 安盛:除了泰国合作伙伴外,还没有证据表明其他合作伙伴也被盗走数据 BleepingComputer联系到安盛时后者表示:“亚洲援助最近遭受了一场有针对性的勒索软件攻击,影响到了公司在泰国、马来西亚、中国香港和菲律宾的IT业务。因此,在泰国由国际合作伙伴援助(IPA)处理的某些数据已经被访问。目前,没有证据表明泰国IPA以外的任何进一步数据被获取。一个由外部法医专家组成的专门工作组正在调查这起事件。我们已经通知了监管机构和商业伙伴。” 安盛发言人对BleepingComputer表示:“安盛非常重视数据隐私,如果IPA的调查证实任何个人的敏感数据受到影响,那么我们将采取必要措施通知并为所有受影响的企业客户和个人提供支持。” 考虑到本周FBI和澳大利亚网络安全中心(ACSC)已经发出警告,Avaddon勒索软件正在针对美国和世界各地广泛领域的组织发起攻击,围绕该事件的时间点值得注意。 对组织的勒索软件攻击持续增长并导致许多组织受到破坏,攻击者要求支付高额赎金。 最近,DarkSide网络犯罪集团要求Colonial Pipeline支付500万美元以恢复其系统的正常运作。 就在本周,BleepingComputer报告称,爱尔兰卫生服务系统也收到了价值2000万美元的勒索软件需求。 安盛尚未就Avaddon要求的赎金金额发表评论。     (消息及封面来源:cnBeta)  

恶意软件攻击正在适应全球趋势 加密挖矿应用危害明显

一份新的报告显示,在COVID-19大流行期间,网络犯罪分子的策略发生了变化,特定应用和网络应用攻击明显增加。这些网络攻击占去年所有攻击的67%。在过去的两年里,这个数字增加了一倍多。根据日本NTT《2021年全球威胁情报报告》,网络攻击在医疗保健业增加了200%,在制造业增加了300%,在金融业增加了53%。 去年,这三个行业占所有攻击的62%,比前一年增加11%。该报告对2020年1月1日至12月31日的全球攻击数据进行了统计,结论如下: 虽然去年恶意软件在特征和功能方面变得更加商品化,但由于多功能恶意软件的崛起,它也变得更加多样化。 恶意挖矿软件已经超过了间谍软件,成为使用最广泛的恶意软件,但针对特定行业的特定恶意软件变种的使用仍在不断发展。 蠕虫病毒在金融和制造业中最为常见,远程访问特洛伊木马对医疗保健业造成了严重破坏,而勒索软件则对技术行业造成了严重破坏。 由于利用未受保护的基础设施的学生中流行加密,教育部门受到了加密软件的冲击。 2020年,恶意挖矿占所有检测到的恶意软件的比例高达41%。木马病毒占总数的四分之一以上(26%),蠕虫病毒占10%,勒索软件占6%。 XMRig挖币机占所有挖币活动的82%,是“最受欢迎的”非法挖币方法。恶意挖矿行为在欧洲、中东和非洲以及美洲最常见,但在亚太地区却很罕见。 根据NTT的研究,全球50%的组织将云安全作为优先事项,使其成为未来18个月内的首要网络安全任务。     (消息及封面来源:cnBeta)

与华盛顿特区警方谈判陷入僵局后 勒索软件团伙发布高度敏感数据

一个在4月份入侵哥伦比亚特区大都会警察局(MPD)的勒索软件团伙在周二发布了人事记录,披露了近20名警官的高度敏感数据,包括心理评估和测谎测试结果,驾驶执照图像,指纹,社会安全号码,出生日期以及居住、财务和婚姻历史。 勒索软件团伙威胁说,如果警察不付钱的话,他们就会公布警察线人的身份。根据据称是两个组织之间的聊天记录截图显示,这些数据包括在从暗网一个网站下载的161MB数据包当中。这个数据包在Babuk勒索软件集团成员和MPD官员之间的谈判破裂后曝光。 勒索软件团伙要求警方支付400万美元作为交换条件,承诺不再公布任何信息,并提供一个可以恢复数据的解密密钥。大都会警察局(MPD)对此的回答是支付10万美元,以防止被盗数据的发布。如果这个提议不被接受,那么就没有继续会谈的必要。对于大都会警察局(MPD)的回复,勒索软件团伙表示这个价格是不可接受的,并且要求外界在午夜时分关注他们的网站。 该组织网站上的一个帖子表示,双方谈判走到了死胡同,警方提供的金额不适合他们,他们在官网上又发布了20个个人文件,这些文件包含在1个有密码保护的161MB文件当中。在MPD官员拒绝提高赎金之后,勒索软件团伙后来公布了161MB文件的密码。MPD代表没有回应关于文件真实性或谈判现状的问题。 与如今几乎所有的勒索软件团伙一样,该团伙采用了双重勒索模式,不仅对解锁被盗数据的解密密钥收费,而且还以不公开任何数据的承诺作为交换。勒索软件团伙通常会泄露少量的数据,希望能促使受害者支付费用。如果受害者拒绝,未来发布的数据将包括更多的私人和敏感信息。     (消息及封面来源:cnBeta)  

新型 Smishing 钓鱼木马曝光:冒充 Chrome 窃取用户信用卡信息

网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动,该活动利用网络钓鱼技术窃取受害者的信用卡信息,并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体,发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。 通过结合高效的网络钓鱼技术、积极传播的恶意软件以及绕过安全解决方案的方法,这个活动特别危险。安全公司 Pradeo 评估,它的传播速度使它在过去几周内已经让数十万人受到影响。 首先,攻击者会向受害者发送要求支付海关费用以释放包裹的短信。当他们打开链接时,他们首先被哄骗去更新他们的Chrome应用,但所谓的更新是一个恶意软件。然后,他们被引导支付一小笔钱(通常最多1或2美元)。当他们这样做时,这种攻击背后的网络犯罪分子就得到了受害者的信用卡信息。 一旦用户安装虚假的 Chrome 应用程序,那么每周就会通过受害者的设备发送超过 2000 条短信,每天发送时间维持 2或3个小时,向随机的电话号码发送,这些号码似乎是相互关联的。这种机制确保了攻击活动的成功传播。为了不被发现,该恶意软件通过使用官方 Chrome 应用程序的图标和名称隐藏在移动设备上,但其软件包、签名和版本与官方应用程序没有任何共同之处。 该活动正努力绕过现有的移动安全解决方案。首先,他利用受害者的电话号码加速发送钓鱼短信,以确保这些短信不会被短信应用程序的垃圾邮件过滤器所屏蔽。其次,该恶意软件使用混淆技术并调用外部代码来隐藏其恶意行为,因此躲过了大多数威胁检测系统。第三,一旦该应用程序被大多数杀毒软件识别并引用,网络犯罪分子只需用新的签名重新包装,就可以重新躲避扫描。 Pradeo的引擎已经识别出两个假的Chrome应用程序,作为该活动的一部分。当比较我们所分析的两个应用程序时,我们看到它们99%是相同的,只有一些文件名似乎被随机改变,另一方面它们的容量也是相同的。     (消息及封面来源:cnBeta)

勒索软件团伙已在暗网上泄露了 2103 家公司数据

自 2019 年以来,勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年,攻击者的方式主要是对企业数据进行加密,然后要求支付赎金来获得解密。不过自 2020 年年初以来,勒索软件行动开始进行一种新的战术,称为双重勒索(double-extortion)。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说,如果企业不支付赎金,那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧,威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究员一直在追踪 34 个勒索软件团伙的数据泄露网站,并告诉 BleepingComputer,他们现在已经泄露了 2103 个组织的数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi(REvil)、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中,最活跃的前 5 名团伙是Conti(338次泄密)、Sodinokibi/REvil(222次泄密)、DoppelPaymer(200次泄密)、Avaddon(123次泄密)和Pysa(103次泄密)。 3 个不再活跃的团体,比前五名中的一些团体有更多的泄漏,它们是 Maze(266次泄漏)和 Egregor(206次泄漏)。 所列的一些勒索软件团伙已不再运作,如NetWalker、Sekhmet、Egregor、Maze、Team Snatch,或改名为新名称,如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点,他们告诉BleepingComputer,受害者更担心他们的数据被泄露,而不是加密文件的丢失。   (消息及封面来源:cnBeta)

邮件披露 1.28 亿 iOS 用户受到了 2015 年的 XcodeGhost 恶意软件影响

由 Epic 与苹果在法庭上展开交锋期间披露的电子邮件信息可知,2015 年的时候,共有 1.28 亿 iOS 用户下载了被 XcodeGhost 恶意软件感染的应用程序。当时逃过官方检测的 XcodeGhost,旨在通过挖掘用户数据来牟利。尽管苹果很快采取了行动,但有关 XcodeGhost 攻击影响的完整细节,仍不被外界所知晓。 在本周的 Epic Games 诉苹果 App Store 案件审理期间,我们终于对 XcodeGhost 黑客攻击事件的影响范围有了更清晰的了解。 率先曝光这一系列邮件的 Motherboard 指出:期间共有 1.28 亿用户下载了含有恶意代码的 2500 多款应用程序,且其中约 1800 万用户均位于美国地区。 邮件中还详细说明了苹果是如何努力确定攻击的严重程度,并向受害者发出通知的。 App Store 副总裁 Matt Fischer 说到:由于大量潜在的客户受到了影响,我们是否有必要向所有客户发送电子邮件通知? 请注意,这在电子邮件的语言本地化方面也带来了一些挑战,因为 App 下载发生在全球各个区域的 App Store 市场。 对于此事,时任 iTunes 客户体验经理 Dale Bagwell 表示同意,理由是大规模的通知将极具挑战性。 我们有一款能够发送批量请求的工具,但目前仍处于测试阶段,以确保我们能够正确地向每个用户通报确切的应用程序名称。 不过 Bagwell 也提到了该工具的一些局限性,比如向 1.28 亿人发送大量电子邮件的话,可能需要耗费一周的时间。 最后需要指出的是,尽管 XcodeGhost 恶意软件在 App Store 上非常普遍,但事情并不特别复杂或危险。 当时苹果表示,没有任何信息表明它被用于任何恶意的事情、或收集可识别的个人身份信息。     (消息及封面来源:cnBeta)

苹果于 2016 年收购了恶意软件检测公司 SourceDNA

Apple Insider 报道称:早在 2016 年,苹果就已经收购了恶意软件检测初创企业 SourceDNA 。但直到其被扯进 Epic Games 诉苹果 App Store 案件,外界才正式获知了这一消息。作为一家初创企业,SourceDNA 打造了一款用于检查应用程序是否存在恶意软件或恶意代码的自动化系统。而在近日的案件审理期间披露的电子邮件表明,苹果于 2015 年产生了收购 SourceDNA 的意向。 苹果应用审查流程高级主管 Trystan Kosmynka 表示,XcodeGhost 引发的问题,让他们提起了收购 SourceDNA 的浓厚兴趣。 作为一款臭名昭著的恶意软件,XcodeGhost 在 2015 年污染了苹果 App Store 上的诸多应用程序。2015 年的时候,SourceDNA 还揭示了第三方开发人员工具的一些违规行为,比如秘密地记录了某些信息。 此外由披露的电子邮件信息可知,这起收购将世界顶尖的工程师兼安全专家创始人 Nate Lawson、及其获得专利的二进制分析和定制的逆向编译器等技术,也纳入了苹果麾下。 最后,在周四的证词中,Trystan Kosmynka 扩展讲述了苹果在 App Store 在应用审核过程中用于捕获恶意软件的相关工具。 在收购了 SourceDNA 之后,他们利用这家初创企业的相关技术,重新打造了一款较新的工具。   (消息及封面来源:cnBeta)

微软提醒组织机构警惕泛滥成灾的礼品卡骗局

随着互联网的普及和不断发展,躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来,我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道,且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁,都使用了欺骗性的电子邮件作为攻击媒介,以诱使受害人在设备上安装恶意软件。 今天,软件巨头微软再次发布了面向组织机构的反诈宣传文案,并且强调了已经泛滥成灾的礼品卡骗局。 文中指出,攻击者正在利用企业电子邮件泄露(BEC)。作为一种网络钓鱼技术,其旨在访问企业信息或窃取金钱。 在本例中,攻击者利用了域名抢注,来诱骗受信任误以为发件人是老朋友,且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中,行政助理收到了一封伪装成其老板的电子邮件,称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作,因而交代行政人员立即采购一批礼品卡,并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后,最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单,但微软还是指出了 BEC 攻击的不同寻常之处。有些时候,攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后,冒名者通常会立即访问特定的站点,以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中,大部分都是在攻击发生数日前抢注的,意味着背后的组织协调性可能也极高。 微软补充道:我们注意到这些域名并未启用隐私保护,更谈不上欧盟《通用数据保护条例》(GDPR)的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址(首选 Gmail 等免费邮件服务),且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样,微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击,它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     (消息及封面来源:cnBeta)