分类: 数据收集

谷歌搜索 2021 Webspam 报告:过滤垃圾网站数量是 2020 年的六倍

由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-free)的搜索体验。 (来自:Google Search Central Blog) 此前,SpamBrain 已被这家搜索巨头用于防止用户点击那些可能被注入了恶意软件的有害网站、或旨在诱骗人们泄露个人信息 / 汇款的诈骗站点。 Google 表示,鉴于垃圾信息散播者在持续不断地找到绕过过滤机制的方法,基于人工智能的筛查系统也是相当必要的。 需要指出的是,搜索是 Google 的重要收入来源之一。而高质量和安全的网站搜索结果,也对该公司来说至关重要。 经过多年摸索,垃圾网站制作方早已精通搜索引擎优化(SEO)技术,来人为地提升其搜索排名。 作为应对,Google 也迫切需要排除掉那些利用欺诈算法的垃圾网站。 截至目前,Google 已借助 SpamBrain 将垃圾站点砍掉 70%,其中包括被黑客入侵并植入有害代码的感染站点。若被其得逞,受害者将被窃取登录凭据等机密信息。 其它类型的垃圾站点,还涉及将恶意软件注入受害者的计算机、或诱导重定向至恶意站点。庆幸的是,Google 声称 SpamBrain 能够将这类害群之马排除在搜索结果之外。 Google 政策沟通经理 Ned Adriance 在一封电子邮件中提到: 欺诈者经常拙劣地模仿其它网站,常见套路是填充替换关键词、假借品牌徽标、并附上想要引诱受害者拨打的电话号码。 而 Google 的 SpamBrain 算法方案,能够基本上确保此类欺诈型站点出现在相关搜索结果页面中,且过滤了 75% 的乱码垃圾站点。 这些垃圾站点往往在一堆无意义的文本中填充大量关键词,以试图提升其搜索排名。有时甚至会砸钱挂上垃圾链接,来诱骗搜索引擎的爬虫和抬升 PageRank 品质评分。 对于用户来说,时间总是相当宝贵的。而 Google 的各种解决方案,就希望为用户带来更好的内容检索体验。 【背景资料】 Google 于 2018 年推出的 SpamBrain 系统,且与近 20 年前刚开始治理恶意网站时相比,去年搜索过滤的垃圾站点数量已暴增 200 倍。 即便如此,这场“道高一尺魔高一丈”的垃圾信息攻防战,显然不会轻易完结。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261185.htm 封面来源于网络,如有侵权请联系删除

Google Project Zero 统计:大部分厂商能在 90 天内修复漏洞

Google 安全团队 Project Zero 近日分享了过去几年安全研究的统计数据,在 2019 年 1 月至 2021 年 12 月期间,团队共计报告了 376 个漏洞,期限为 90 天。其中 351 个(93.4%)已被修复,14 个(3.7%)被供应商标记为“WontFix”,11 个(2.9%)仍未修复。然而,在最后一类中,有 3 个仍在 90 天的期限内。 在所有被发现的漏洞中,微软产品中检测到了 96 个(26%),苹果检测到了 85 个(23%),而 Google 自己检测到了 60 个(16%)。具体数据如下: 从上面可以看出,供应商的情况都有积极的变化。然而,有趣的是,在 2021 年,宽限期被要求了 9 次,其中一半是由微软提出的。 在移动方面,iOS 有 76 个 BUG 被报告,三星产品有 10 个,Pixels 有 6 个。iOS 的平均修复时间为 70 天,而其他两个品牌为 72 天。如果你想知道为什么在iOS上检测到如此多的安全缺陷,这是因为苹果将大量的应用程序作为操作系统的一部分,而 Android 的应用程序更新主要是通过 Google Play 管理,所以不属于操作系统级别的缺陷。 在浏览器方面,Chrome 有 40 个 BUG,苹果的 WebKit 有 27 个 BUG,Firefox 有 8 个 BUG。WebKit 修补缺陷的速度最慢,为72天,Chrome 为30天,而 Firefox 为 38 天。 Google Project Zero 指出: 总的来说,我们看到数据中出现了一些有希望的趋势。供应商正在修复他们收到的几乎所有的 BUG,而且他们通常在 90 天的期限内完成,必要时还有14天的宽限期。在过去的三年里,供应商在大多数情况下都加快了他们的补丁,有效地将整个平均修复时间减少到约52天。 在2021年,只有一个 90 天的期限被超过。我们怀疑这种趋势可能是由于负责任的披露政策已经成为行业的事实标准,供应商更有能力对不同期限的报告做出快速反应。我们还怀疑,由于行业的透明度越来越高,供应商已经从彼此那里学到了最佳做法。 一个重要的注意事项:我们知道,与其他错误报告相比,来自Project Zero的报告可能是异常值,因为它们可能会得到更快的行动,因为存在着公开披露的实际风险(因为如果最后期限条件没有得到满足,团队就会披露),而且Project Zero是可靠的错误报告的可信来源。 我们鼓励供应商发布指标,即使是高水平的指标,以便更好地全面了解整个行业安全问题的修复速度,并继续鼓励其他安全研究人员分享他们的经验。   (消息及封面来源:cnBeta)

商业间谍黑客 RedCurl 再次现身

Hackernews编译,转载请注明出处: 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面,今年它针对4家公司进行新入侵行动,其中包括俄罗斯最大的批发商店之一,同时对其工具集进行了战术性改进,以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中,攻击者都展示了广泛的红队技能,以及利用自己定制的恶意软件绕过传统防病毒检测的能力。” 至少从2018年11月起,这个讲俄语的黑客组织 RedCurl 开始活跃,至今已经已参与30起攻击,行动是针对14个组织的企业网络间谍和文件盗窃,这些企业涉及建筑、金融、咨询、零售、保险和法律行业,分布在英国、德国、加拿大、挪威、俄罗斯和乌克兰等地区。 攻击者使用一系列成熟的黑客工具潜入目标,窃取内部公司文件,如员工记录、法庭和法律文件,以及企业电子邮件历史。 RedCurl 的运作方式标志着它与其他对手的不同,尤其体现在它不部署后门,也不依赖 CobaltStrike 和 Meterpreter 等开发后工具,这两种工具都被视为远程控制受损设备的典型方法。更重要的是,尽管该组织保持着稳固的访问权限,但没有人发现到该组织实施了以经济利益为动机的攻击,包括加密受害者的基础设施,或者要求对被盗数据进行赎金。 相反,它的重点似乎是尽可能秘密地获取有价值的信息,使用自行开发和公开的程序,利用社会工程手段获得初步访问权,执行侦察,实现持久性,横向移动,以及过滤敏感文件。 研究人员说,“网络空间的间谍活动是国家支持的高级持续性威胁的一个特点。”“在大多数情况下,此类攻击针对的是其它国家或国有企业。企业网络间谍活动仍然相对罕见,而且在许多方面都是独一无二的。然而,该组织的成功可能会诱发网络犯罪的新趋势。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员展示了针对 Tor 加密流量的新指纹攻击

一项针对 Tor 网页浏览器的网站指纹攻击的新分析显示,它的竞争对手可以收集受害者经常访问的网站,但只有在攻击者对用户访问的网站的特定子集感兴趣的情况下才有可能。 研究人员乔瓦尼 · 切鲁宾、罗布 · 詹森和卡梅拉 · 特罗索在最新发表的一篇论文中说: “当监控一小组共五个流行网站时,攻击的准确率可以超过95% ,而对25个和100个网站的不加选择(非定向)攻击的准确率分别不超过80% 和60% 。”。 Tor浏览器通过一个覆盖网络向用户提供“不可链接通信”,该网络由6000多个中继组成,目的是把进行网络监视或流量分析的第三方的原始位置和使用情况匿名处理。在将请求转发到目的IP地址之前,它通过构建一个穿过入口、中间和出口中继的电路来实现这一点。 除此之外,每个中继都会对请求进行一次加密,以进一步阻碍分析并避免信息泄漏。虽然Tor客户端本身对其进入中继不是匿名的,因为流量是加密的,请求通过多个跳跃点跳转,但进入中继无法识别客户端的目的地,就像出口节点由于同样的原因无法识别客户端一样。 针对Tor的网站指纹攻击旨在打破这些匿名保护,使竞争对手能够观察到受害者和Tor网络之间的加密流量模式,从而预测受害者访问的网站。学者们设计的威胁模型假设攻击者运行一个出口节点,以捕捉真实用户产生的流量的多样性,然后用这个模型作为收集 Tor 流量跟踪的源,并在收集到的信息之上设计一个基于机器学习的分类模型来推断用户的网站访问。 对手模型包括一个“在线训练阶段,使用从出口中继(或继电器)收集的真实Tor流量的观察数据,随着时间的推移不断更新分类模型,”研究人员解释道,他们在2020年7月使用定制版本的Tor v0.4.3.5运行了一周的出入口中继,以提取相关的出口信息。 为了减轻这项研究引起的道德和隐私方面的担忧,论文的作者强调了安全防范措施,以防止用户通过Tor浏览器访问的敏感网站泄露。 研究人员总结道:“我们在现实世界的评估结果表明,如果敌人的目标是在一个小范围内识别网站,网站指纹攻击只能在自然环境成功。”“换句话说,旨在监控大范围用户网站访问的行为将会失败,但针对特定客户配置和网站的行为可能会成功。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一项研究显示各家汽车制造商收集了海量个人信息

大多数人都知道,现代电子设备,如智能手机、平板电脑和计算机,存储了我们个人和私人生活的一系列信息,我们不希望陌生人得到这些信息。然而,许多人没有考虑到他们的车辆信息娱乐系统和其他系统内到底储存了多少个人信息。 现在一份报告研究了全球15大汽车制造商,并调查了它们之间的数据共享政策。该研究对每个品牌28个不同的数据点进行了评估,重点是对司机收集的数据,看看哪个汽车制造商收集的信息最多。 研究显示,特斯拉是收集用户数据最多的汽车制造商之一,它拥有市场上一些最智能和最联网的车辆。一辆汽车提供的个性化服务越多,它需要的用户数据就越多。这使得特斯拉在收集最多用户数据的汽车制造商名单中名列前茅,在28分中得到20分。 奥迪紧随特斯拉之后,在28分中得了19分。宝马和迷你并列第三位,在28分中得到16分。保时捷以14分排在第四位,但值得注意的是,在所有汽车制造商中,保时捷收集的个人信息范围最广。排在第五位的是大众汽车,在28分中得到12分。有趣的是,美国制造商福特坐在第14位,在28分中得到7分。收集司机个人信息最少的汽车制造商是达契亚,在28分中得到5分。 所有汽车制造商中最常收集的信息包括姓名、电话号码和地址等个人详细资料。这些信息大部分是为导航系统而储存的,以便轻松选择上班或回家的路线,避开交通。然而,如果你忘记删除这些信息,你的车的新主人就会知道你住在哪里,你在哪里工作,你的名字和你的电话号码。一些汽车制造商存储了位置记录。在这种情况下,新车主会知道你经常去的地方,让他们很清楚在你一天中的任何时候都能找到你。 在调查涉及的所有汽车制造商中,保时捷是复制个人信息范围最广的一个,包括电子邮件、电话号码、地址、位置历史、当前位置、联系人、日历和你的手机位置。它是研究中列出的唯一一家收集所有类别数据的汽车制造商。名单上的每个汽车制造商都以某种形式收集信息,包括电子邮件、电话号码、地址、位置历史和当前位置。 许多汽车制造商还收集了驾驶特征大量数据,到目前为止,特斯拉收集的数据最多,包括制动和加速、碰撞、安全气囊部署和充电历史等数据。相比之下,福特只收集了速度、制动和加速方面的信息。   (消息及封面来源:cnBeta)

Symantec 发现新黑客组织 Harvester

一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件) Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。 自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。 Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌游戏商店恶意软件窃取 Facebook 凭证

上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程序引导用户连接Facebook以使用该应用程序时,他产生了怀疑。然后他看了一眼应用程序的代码,就在这时,他发现应用程序执行命令用于检索Facebook凭证。 他发现了两个使用相同代码的应用程序,认为它来自同一个新的恶意软件组织。这两个应用程序属于同一类别:摄影应用程序。 Ingrao说:“这些请求是用亚洲/新加坡的时间戳执行的,所以攻击很有可能是来源于那里。” 一些被恶意软件感染的应用程序下载量超过50万次,包括Pix Photo Motion Edit 2021和Magic Photo Lab – Photo Editor,后者的安装量超过5万次,现已从Play Store中删除。 Maxime发现,在不同国家的Play Store,“Pix Photo Motion Edit 2021”在新应用程序排名中都是第一名,甚至在墨西哥也是第一名。这使得它在两周内的下载量达到50万次。 恶意软件启动一个webview并运行javascript命令来检索用户输入的值。然后利用api图获取账户信息。 研究员称,恶意软件检索了用户在Facebook上的信息,包括已经创建了的页面(粉丝的数量、用户讨论情况、页面评级),还检索了已经创建的广告活动(活动的状态、所花费的金额),以及用户是否注册了信用卡。   他表示:“这些信息很可能被利用,欺诈者可以在用户页面上发布广告,并利用用户的信用卡进行广告活动。” Maxime证实,威胁行为者无法窃取信用卡信息,但可以用它来攻击受害者的账户。 Maxime采取了行动,他告诉The Digital Hacker,他已经通过谷歌的报告表格说明该恶意应用程序,但谷歌还没有回应,尽管其中一款应用在他报告之前就从Play Store下架。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SAS 2021: FinSpy 监视工具再次出现,比以往更强大

在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先,根据分析,受害者下载并执行木马程序后,他们会受到两个组件的审查。第一个是“预验证器”,它运行多个安全检查,以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出,每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败,命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过,服务器将提供第二个组件,称为“后验证器”。它收集信息,使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图),并将其发送到其配置中指定的C2服务器。 卡巴斯基表示,C2服务器根据收集到的信息,决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析,如果FinSpy最终部署,它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”   另一个规避策略是这样的,FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit,而无需绕过固件安全检查。”“UEFI感染非常罕见,通常很难执行,由于其强规避性和持久性,它们格外难以处理。虽然在这种情况下,攻击者没有感染UEFI固件本身,但在它接下来的系统启动阶段,攻击是特别隐蔽的,因为恶意模块安装在一个单独的分区,可以控制受感染机器的启动过程。” Kuznetsov说,攻击者做了大量工作,使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上,这种间谍软件部署得非常精确,几乎不可能分析,这也意味着它的受害者特别很难有效防御,研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”   高度模块化的FinSpy   卡巴斯基还研究了最新样本的性能,看看是否有进化,发现FinSpy的架构仍然高度模块化,但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面,包括协调器和所有插件,直到使用它们之前,所有内存页面都将保持加密。”“一旦需要执行代码或访问数据,那一个页面就会被解密。当不再需要它时,它就会被再次加密。” 他补充说,“这意味着,即使你制作一个受感染机器的实时内存图像,也很难在内存中找到木马,因为你能看到的唯一未加密的东西,只是这个隐藏程序的一小部分。” 根据分析,隐藏器还负责启动“协调器”,协调器是一个核心模块,将加载其余的功能和控制插件。Kuznetsov说,它或多或少与之前的样本相同,但它增加了一个名为“通信器”的新模块,这是一个硬编码的二进制文件,位于用于维护C2通信的协调器的资源部分。   另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是,它在机器内部传播,从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始,”Kuznetsov解释说。“它会在所有子进程中复制自己,所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件,以实现数据收集目的。 “插件本身主要用来收集受害者的信息,”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件,任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是,有一些数据取证工具可以找到已删除文件的信息,并存储已删除文件的历史。”Kuznetsov说,“还有一个非常独特的插件,利用了现代浏览器的除错功能。通过设置特定的环境变量,它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做,攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集,并可以向攻击者直播或预先录制。研究人员指出,在启动感兴趣的应用程序时,数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中,它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里,我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具,还完成了一份300页的报告。结论是什么?我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”   消息来源:ThreatPost,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲药品管理局就 COVID-19 疫苗数据泄露发出警告

欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)