安全研究人员发现，目前有一种新的Android恶意软件正在广泛传播，主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ，目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示，一旦恶意软件感染了用户，它就会开始为他们注册高级电话号码，从而为各种类型的服务收取高额费用。 最终结果是，所有被感染的用户每个月都会收到大笔电话账单，直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”，在2000年代末和2010年代初非常流行，随着智能手机的兴起而逐渐消失，但 在2010年代后期卷土重来， 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示，基于此计划中使用的高级电话号码，黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说：“在这种计划和类似的计划中，黑客和溢价率数字的所有者正在合作，甚至可能是同一群人 。”“这简直是一场数字游戏：使用优质服务拨打的电话越多，为那些服务背后的人带来的收入就越多。每个人都赢了，除了不幸的骗局受害者。” 至于恶意软件本身，Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper，第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块，主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上，此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示： “目前，该恶意软件丢弃了高级拨号程序，但将来，有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上，然后再下载其他恶意软件，这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击，全球感染总数达数亿。Hazum补充说：“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet，他们暂时在名为“ af ”，“ dolok ”，名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源：zdnet ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据国际刑警组织周三报道，三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕，该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称，这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示，该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件，该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具，然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件，使黑客能够进入受感染的电脑，并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示，该组织 “完全依靠各种公开的”恶意软件，如AgentTesla、Loky、AzoRult、Pony、NetWire等，这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证，TMT集团就会从事商业电子邮件欺诈 (BEC) ，这是一种在线诈骗，他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件，并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中，但国际刑警组织和Group-IB表示，他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称，总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示，该集团是由多个小的子集团组织起来的，它们共同合作，TMT的许多成员仍然在逃。Group-IB发言人表示，这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织（是REvil勒索软件的主要传播者之一）。         （消息及封面来源：cnBeta）

至少自2012年以来，一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标，目前已将目光投向了Linux服务器。 Intezer的分析报告指出，该木马伪装成Linux服务器上常用的HTTPd程序，它是一个新版本恶意软件，被跟踪为Stantinko。 早在2017年，ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络，它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件，安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器，以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件，但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解，特别是同一恶意软件（v1.2）的较新版本（v2.17），称为“httpd”，其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后，“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件，并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上，然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求，则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出，新版恶意软件只起到代理的作用，新变种与旧版本共享多个函数名，一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件，这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

国庆假期之后，安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测，该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种，并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1407/         消息来源：proofpoint，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管该软件包没有多余的装饰，但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间，还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1406/         消息来源：malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在过去的一篇文章中，我们介绍了Linux恶意软件ELF_TSCookie，它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本（ELF_PLEAD）。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1401/         消息来源：JPCERT，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TroubleGrabber是一种新的凭证窃取恶意软件，它通过Discord的附件传播，并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处，但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的，目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载，窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1399/       消息来源：netskope，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。