分类: 恶意软件

跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”

反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内存、存储驱动器(SSD和/或HDD)和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”(Skill Bench),基本上也是为用户提供基准测试。 但是,如上所述,目前有近20种反病毒软件,准确地说,有23种,将该软件标记为恶意软件,其中绝大多数将其识别为木马程序(如下图)。这个问题并不完全是新问题,因为像这样的案例是由用户在网上论坛上报告的。 微软也在这个反恶意软件的名单中,将UserBenchmark标记为一个恶意的木马。根据微软安全情报1.353.1394.0版本,UserBenchmark是”危险的,可以执行攻击者的命令”。该应用程序已被标记为”严重”威胁。 从上面的截图来看,由于 UserBenchmark 的 Nullsoft 脚本安装系统(NSIS)性质,它似乎被检测为恶意软件。事实上,NSIS的网站指出,这是一个常见的误报问题,因为许多反病毒程序将 NSIS 文件标记为潜在的恶意软件。但是,这可能确实是一个值得警惕的问题,因为在 NSIS 包内捆绑恶意软件也是可能的。   (消息及封面来源:cnBeta)

Emotet 垃圾邮件软件在全球范围内攻击邮箱

Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。 据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。 一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。 目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。 然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软警告 NOBELIUM 攻击技术愈加泛滥 谨防 HTML 代码夹带恶意软件

早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获得“HTML Smuggling”系统的访问权。 HTML Smuggling 技术概览(图自:Microsoft Security) 微软表示,HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。 钓鱼邮件示例 近年来,这项技术已被越来越多地用于部署网银恶意软件、远程访问木马(RAT)、以及其它有针对性的钓鱼邮件活动。 Mekotio 活动中曝光的威胁行为 其实早在今年 5 月,这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到,最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉鸡并传播勒索软件负载和其它威胁)。 HTML Smuggling 网页代码示例 顾名思义,HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时,这些恶意编码脚本就会在不知不觉中被解码,进而在受害者的设备上组装出有效负载。 被 JavaScript 加花的 ZIP 文件 换言之,攻击者没有直接通过网络来传递可执行文件,而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子,攻击者会在电子邮件消息中附上 HTML Smuggling(或重定向)页面链接,然后提示自动下载序列。 钓鱼页面 为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击,微软在文中给出了一些演示实例,告诫银行与个人采取必要的防御措施,同时不忘推销一下自家的 Microsoft 365 安全解决方案。 在浏览器中构造的、带有密码保护下载器的 JavaScript 实例 据悉,Microsoft 使用多层方法来抵御网络威胁,通过与一系列其它终端防御措施协同合作,以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。 Trickbot 钓鱼活动的 HTML Smuggling 攻击示例 最后,微软强烈建议广大客户养成良好的习惯,抽空了解各类恶意软件感染案例,同时将非必要的本地 / 管理员权限调到最低。   (消息及封面来源:cnBeta)

Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。 BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标网络,并将对受损设备的访问权出售给其他网络罪犯。 它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者网络,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。 SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。 据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。 为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。 布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。” “这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。” 但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。 单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。 单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。 一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。 有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。 在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地网络上具有面向公众IP地址的活动主机)。 该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。 布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个方法已经被证明有用,它可能会引起更多的关注。” “安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。” 在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲刑警组织宣布已逮捕 7 名 REvil/GandCrab 勒索软件关联嫌疑人

欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人,他们以一个大型勒索软件卡特尔组织“会员(affiliates)”(合作伙伴)的身份工作,自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。 据信,REvil和GandCrab都是由同一批操作的,他们创建了赎金软件代码以提供给其他网络犯罪分子出租。 这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金,然后跟REvil/GandCrab的编码者分享利润。 Europol称,自2019年以来,这七名嫌疑人经手过的攻击总共要求的赎金超过了2亿欧元。 自今年2月以来,Europol表示,它一直在跟执法机构和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些会员。根据Europol的说法,逮捕行动发生在: 2月、4月、10月–三名REvil和GandCrab会员在韩国被捕; 10月–一名REvil会员在波兰被捕(因Kaseya REvil攻击而被指控); 11月4日–两名REvil成员在罗马尼亚康斯坦察被捕; 11月4日–一名GandCrab成员在科威特被捕。 这些逮捕行动是在以美国为首的西方国家今年夏天早些时候承诺打击勒索软件团伙之后进行的。 在决定打击勒索软件运营商之前,勒索软件攻击在今年达到了顶峰,一些团体发起的攻击使行业部门瘫痪了好几天–如今年5月对Colonial Pipeline的攻击,该攻击迫使美国东海岸45%的燃料供应停止。 参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender也有在9月16日为过去的REvil受害者发布了一个通用解密器。这家罗马尼亚公司还发布了针对GandCrab版本的免费解密器,所有这些都可以从NoMoreRansom门户网站下载。 2020年8月,8名GangCrab会员在白俄罗斯被捕,但该次行动并不是Europol联合调查的一部分。 GandCrab和REvil行动的简短历史 GandCrab RaaS于2018年1月首次发布广告,它最初是一个普通的团体,他们将其代码出租给网络犯罪集团,后者使用带有恶意文件附件的垃圾邮件来感染用户。 该组织在2019年初转移了目标,当时他们开始跟一小群会员合作,在针对企业组织的攻击中以管理服务提供商为目标,希望从他们可以从小型家庭用户那里提取的小额赎金要求转移到他们可以从其网络瘫痪的公司那里索取更大的赎金。 由于这种新型攻击方法开始产生更大的利润,该组织在2019年5月关闭了他们的GandCrab行动,并在一个月后即2020年6月,发布了他们的赎金软件的重塑和改进版本。 被称为REvil或Sodinokibi,这个新RaaS门户网站只跟愿意攻击大公司的会员合作。多年来,REvil RaaS及其会员跟一些相当大的攻击公司有关,如苹果、宏基、阿根廷电信等等。 根据2021年2月发表的一份IBM报告,据信REvil行动仅在2020年就获得了约1.23亿美元的收入。 然而,今年5月和7月分别针对JBS Foods和Kaseya服务器的两次攻击越过了美国政府愿意接受的底线。JBS Foods的攻击造成了美国各地肉类供应的大规模中断,而对Kaseya服务器的攻击则在7月4日假期造成了全球数以千计的IT网络瘫痪。 该组织在一周后关闭,没有任何形式的解释,该组织的领导人–一个名为未知的人似乎从地下论坛消失了。 一些REvil编码员试图在9月恢复该行动,但他们因为一个未知的第三方劫持了其Tor服务器基础设施而在一个月后关闭。 路透社和《华盛顿邮报》的报道后来显示,到7月,该组织的服务器已经被一个外国执法机构入侵并反追踪。 而当该组织在9月卷土重来时,美国网络司令部劫持了它的服务器,并且前者并不知道执法部门的行动。不过这次劫持让REvil团伙受到惊吓,这似乎成为了最后的退休,而也可能是Europol和其他执法团体正在对他们迄今为止设法确定的GandCrab/REvil会员采取行动的原因。 (消息及封面来源:cnBeta)

黑莓发现初始访问代理链接到3个不同的黑客团体

  一个未知初始访问代理被揭露为三个不同的攻击者提供入口点,攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”,该组织负责为MountLocker和Phobos等勒索软件集团,以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知,网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制,他们为其他网络犯罪集团提供服务,包括勒索软件附属公司,通过持续进入受害者网络的后门,在不同地区和行业的众多潜在组织中立足,成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络,然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来,中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件,这取决于他们活动的目标。” 2021年8月,一份超过1000访问列表的分析文件在暗网地下上论坛上售卖,该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名,发现时它正在传送Cobalt Strike 信标,用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来,这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是,“supercombination[.com]”,trashborting[.]另一个姐妹域名,被发现与恶意软件MountLocker和病毒Phobos有关,即使域名解析为IP地址“91.92.109[.]174”,在去年4月至11月,它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得,运营商“要么有大量的人力,要么在互联网上设置了大量“陷阱”,使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明,网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同,这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话,可以肯定的是,这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BlackMatter 勒索软件营运者称因地方当局压力而停业

BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务,理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划,其他犯罪集团通常在这里注册,以获得BlackMatter勒索软件的使用权。 这条消息是由vx-underground信息安全小组的一名成员获得。BlackMatter勒索软件背后的犯罪集团在其中表示,由于某些无法解决的情况,以及来自当局的压力,该项目被关闭。48小时后,整个基础设施将被关闭。 虽然该组织没有解释,但在过去两周发生了三个重大事件。其中第一个是来自微软和Gemini Advisory的报告,该报告将Darkside和BlackMatter创造者的FIN7网络犯罪集团与一家名为Bastion Secure的公共网络安全公司联系起来,据称他们通过该公司招募了不知情的合作者。 第二个事实是,安全公司EMSIsoft为BlackMatter勒索软件秘密开发了一个解密工具,该公司一直在秘密向受害者提供该工具,以避免他们支付该组织的赎金要求,使其利润受到影响。第三个是《纽约时报》本周日的一篇报道,宣布美国和俄罗斯已经开始了更紧密的合作,旨在打击基于俄罗斯的网络犯罪和勒索软件团伙等。这一点很重要,因为FIN7集团历来被认为是在俄罗斯境内运作。 FIN7最近的声明也是在今年夏天多个勒索软件行动的操作者和成员在世界各地被追捕和逮捕之后做出的。例如,在他们之前Darkside勒索软件中,FIN7集团的服务器被黑客攻击,并且加密货币资金被盗。在勒索软件团伙面临巨大压力的这段时期,今年的攻击达到了历史最高水平,一些攻击在全球造成了重大问题。这里的例子包括对Colonial Pipeline的Darkside勒索软件攻击(导致美国东海岸的燃料供应问题),对JBS食品公司的REvil攻击(破坏了整个美国的肉类供应),以及对Kaseya的REvil攻击(破坏了全球数以千计的公司)。 正如黑帽和DEF CON安全会议的创始人杰夫-莫斯今天早些时候在Twitter上所说,执法机构通常知道大多数勒索软件运营者的身份,但也知道由于俄罗斯的不合作行为,他们无法对一些团体下手,这种情况似乎正在改变。   (消息及封面来源:cnBeta)

FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者

FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的侦察阶段,网络犯罪分子会找出非公开的信息,他们威胁要发布这些信息或者在敲诈过程中把这些信息作为筹码诱使受害者遵守赎金要求,”FBI说道,“即将发生的可能影响受害者股票价值的事件如公告、兼并和收购,鼓励勒索软件行为者瞄准一个网络或在建立了访问权的情况下调整勒索的时间表。如果受害者不迅速支付赎金,勒索软件行为者将威胁公开披露这些信息,这会造成潜在的投资者反弹。” FBI还称,其已经发现了几起勒索软件集团利用正在进行的合并或收购谈判的信息对组织施加压力以支付费用的案例。 去年,REvil勒索软件集团的一个长期成员鼓励利用纳斯达克证券交易所作为一种方式来强行要求受害者付款。几周后,另一个勒索软件组织在跟该公司的谈判中引用了受害者的公开交易股票。据FBI披露称,当年晚些时候,对另一个勒索软件攻击的分析发现,黑客使用几个关键词在受害者的网络上搜索与向监管机构提交的财务文件和即将发布的新闻有关的非公开财务信息。 今年4月,DarkSide勒索软件集团–后来改名为BlackMatter–宣布,它正在寻求跟市场交易商合作以惩罚那些未能付款的受害者。在其现已经停用的博客上发布的一条信息中,他们敦促交易员联系并获得该团伙最新的企业受害者的内部消息以便他们能在任何数据被泄露和消息公开之前卖空股票。 “现在我们的团队和合作伙伴加密了许多在纳斯达克和其他证券交易所交易的公司,”俄罗斯黑客集团的一个帖子写道,“如果公司拒绝付款,我们准备在公布前提供信息,这样就有可能在股票的减价中赚取。” FBI长期以来一直在敦促各组织不要屈服于网络犯罪分子的赎金要求,因为这使黑客更有胆量瞄准更多的组织并资助其他犯罪活动,但它也指出,理解当企业面临无法运作时,高管们将评估所有选项以保护他们的股东、员工和客户。 这一警告则是在FBI警告称上述BlackMatter勒索软件集团已经针对被认为是关键基础设施的多个组织–包括美国食品和农业部门的两个组织后发出的。   (消息及封面来源:cnBeta)

超过千万安卓用户成为付费短信诈骗应用的目标

一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截程序、摄像头过滤器和游戏,下载了欺诈性应用程序的用户大多来自埃及、沙特阿拉伯、巴基斯坦、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰。 尽管有很大一部分有问题的应用程序已经从Google Play商店中删除,但截至2021年10月19日,其中82个应用程序仍然可以在在线市场上使用。 首先,这些应用程序会提示用户输入自己的电话号码和电子邮件地址,以便使用宣传的功能,然后诱使受害者订阅付费短信服务,根据国家和移动运营商的不同,这些服务每月收费40美元。 Avast研究人员Jakub Vávra说:“这些应用不会解锁用户可能认为应该出现的宣传功能,而是会显示更多的短信订阅选项,或者完全无法使用。”。 Ultimams广告软件骗局还值得注意的是,它通过流行社交媒体网站(如Facebook、Instagram和TikTok)上的广告渠道传播,用“吸引人的视频广告”吸引毫无戒心的用户。 除了卸载上述应用程序外,建议用户与运营商禁用付费短信选项,以防止用户滥用订阅。Vávra说:“根据一些用户留下的差评,似乎儿童是受害者之一,这使得这一步骤在儿童手机上尤为重要,因为他们可能更容易受到这类骗局的影响。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

分销网络遭黑客攻击后,伊朗加油站停止服务

伊朗国家石油产品分销公司(NIOPDC)的加油站26日停工,原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站,80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因,目前还没有公开说明幕后黑手的信息,但伊朗正在指责一个敌对国家。 并非全无线索,ISNA 通讯社首先将此次事件称为网络攻击,并表示看到那些试图通过机器使用政府发行的卡购买燃料的人收到一条消息,上面写着“网络攻击 64411”,但该线索真实性待考证。 这条信息使人联想到7月份的一次网络攻击,该次攻击扰乱了伊朗的火车服务。攻击者者还修改了铁路留言板,称是黑客导致列车晚点或取消,并显示了最高领袖阿里·哈梅内伊办公室的电话号码。 网络安全公司SentinelOne的研究显示,伊朗的火车站系统被专门用来删除数据(文件雨刷)的恶意软件攻击,这个软件被称为Meteor,以前从未见过。 26日的黑客攻击让一些伊朗人等了几个小时才打开加油站,结果却没有燃料。 据媒体报道,客户试图使用政府发行的卡以每升5美分或每加仑20美分的价格获得补贴燃油,然后收到了“cyberattack 64411”的消息。 随着NIOPDC分销网络遭到攻击的消息传播,伊朗多个城市的数字广告牌开始显示“哈梅内伊!我们的燃料在哪里?”和“贾马兰加油站的免费燃料”的信息。 一些当地媒体最初报道说,加油站中断是由技术故障造成的,后来指出问题是由网络攻击造成的。 据英国广播公司记者沙扬·萨尔达里扎德(Shayan Sardarizadeh)和基安·谢里菲(Kian Sharifi)报道,伊朗国家电视台证实了加油站遭受网络攻击的报道,伊朗网络空间最高委员会认为这起事件是由国家支持的,尽管并没有指明哪个国家。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接