卡巴斯基发布 iPhone 恶意软件扫描工具
网络安全公司卡巴斯基近日发布了一种工具,可以检测苹果iPhone和其他iOS设备是否感染了一种新的“三角测量”(Operation Triangulation)恶意软件。 这种恶意软件是由卡巴斯基在自己的公司网络中发现的,报告称至少自2019年以来,该恶意软件已经在全球范围内感染了多台iOS设备。 尽管恶意软件分析仍在进行中,但卡巴斯基透露,“三角测量”恶意软件活动使用iMessage上未知的零日漏洞利用来执行代码,无需用户交互和提升权限(零点击)。 这允许攻击者将更多有效载荷下载到设备以进一步执行命令和收集信息。 值得注意的是,俄罗斯情报和安全部门FSB将该恶意软件与高级政府官员和外国外交官的手机感染关联起来。 在最初的报告中,卡巴斯基提供了很多关于使用移动验证工具包(MVT)手动检查iOS设备备份以寻找潜在恶意软件危害指标的详细信息。 因为Apple的各种安全机制(沙盒、数据加密、代码签名)会阻止实时系统分析,卡巴斯基提供的工具智能对iOS设备的(iTunes)备份文件进行分析。 随后,卡巴斯基发布了一款适用于Windows和Linux的更易用的iOS设备自动化扫描工具。 转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/pvkSAPPJ5nQXx8buUa3-jw 封面来源于网络,如有侵权请联系删除
卡巴斯基:2022 年手机银行木马数量暴涨 100%
2月27日,卡巴斯基公布的《2022 年移动威胁》显示,去年出现了近20万个新型手机银行木马,比前一年增长了 100%,达到了近六年来的最快增幅。 2019-2022卡巴斯基检测到的移动银行木马数量 报告列出了在检出次数中排名前10的手机银行木马,显示名为Trojan-Banker.AndroidOS.Bian.h的木马达到了接近30%的比例。 检测到的次数最多的手机银行木马Top 10 报告也统计了被攻击用户排名前 10 的国家及地区,显示西班牙受到攻击的独立用户最多,而其中 85.90% 的受影响用户是被上述排名第一的 Trojan-Banker.AndroidOS.Bian.h所攻击。 受手机银行木马攻击的用户所在国家/地区Top 10 报告指出,虽然在非官方应用商店最有可能遭遇银行木马,但 Google Play 已经反复充斥着伪装成正常软件的银行木马下载程序,例如Sharkbot、Anatsa/Teaban、Octo/Coper 和 Xenomorph。其中Sharkbot 伪装成一个文件管理器,这种类型的软件能够请求更多系统权限,以安装其他恶意软件包来执行恶意银行木马活动。 在Google Play上伪装成文件管理器的手机银行木马Sharkbot 银行木马旨在窃取手机银行帐户凭证或电子支付详细信息,但它们通常可以重新用于其他类型的数据窃取或安装其他恶意软件,例如Emotet和TrickBot之类臭名昭著的恶意软件变种最初就源于银行木马。 报告认为,银行木马开发的急剧增加表明网络犯罪分子正以移动用户为目标,虽然网络犯罪活动在 2022 年总体趋于平稳,攻击数量在 2021 年有所下降后保持稳定,但也说明网络犯罪分子仍在努力改进恶意软件功能和传播媒介,用户需要警惕官方应用市场和虚假热门程序下载广告中隐藏的恶意木马。 转自 Freebuf,原文链接:https://www.freebuf.com/news/358895.html 封面来源于网络,如有侵权请联系删除
卡巴斯基为 TinyCheck 设立官网,以协助全球受害者做出应对
继两年前开源跟踪侦测工具TinyCheck后,卡巴斯基上周替该公司于2019年推出的跟踪侦测工具TinyCheck设立了官网,这是个开源的免费工具,可用来检查Android、iOS或其它行动装置是否被安装了跟踪程式,以协助全球的受害者做出应对,让更多非政府组织能够接触并加以利用。 卡巴斯基解释,该公司是在2019年与法国的一家女性庇护所讨论之后打造了TinyCheck,该组织主要支持与日俱增的跟踪程式受害者,但不知道如何从技术上解决此一问题,他们需要一个无法被发现、易于使用且有助于搜集证据的解决方案,于是由卡巴斯基出手协助。 卡巴斯基的研究人员开发了免费且开源的TinyCheck工具,让任何人都可下载并改善它。TinyCheck并非是一个安装在手机上的程式,而是安装在Raspberry Pi单板电脑装置上,以非侵入式的方式来检查手机上的跟踪程式,它可透过Wi-Fi连接来检查目标手机的对外流量,并辨识与这些流量互动的已知设备,例如与跟踪程式有关的伺服器。 卡巴斯基强调,TinyCheck不会读取手机的流量内容,不管是简讯或电子邮件,但只会与手机通讯的对象互动,例如线上伺服器或IP位址,而且所有的分析都会在本地端完成,不会传送给包括卡巴斯基在内的任何第三方。 在TinyCheck问世的几年来,已有越来越多的非政府组织采用了TinyCheck,最近该工具更受到欧盟组织、记者与企业的注意,欧洲的执法机构也正在测试TinyCheck,期待它能在调查过程中进一步地支持受害者。 其实卡巴斯基在两年前便已透过GitHub分享TinyCheck。该公司表示,替TinyCheck打造一个专有的网站是为了让更多人能够接触并利用它,不过,这并不是给一般人直接使用的工具,建议受害者应寻求当地支持组织的协助。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/VKe3OUL3Zd8FJwDCPewnkw 封面来源于网络,如有侵权请联系删除
卡巴斯基发布“阎罗王”勒索软件的免费解密工具
虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费的解密工具,赎金软件的受害者可以用它来取回他们的数据,而不需要支付一分钱。 据了解,Yanluowang已经在包括美国、巴西和土耳其在内的多个国家发动袭击。已经开发的解密器显然将受到受害者的欢迎,但卡巴斯基提示说,至少需要一个被加密的原始文件才能发挥作用。 卡巴斯基在关于发布该免费工具的帖子中说: 卡巴斯基专家对该勒索软件进行了分析,发现了一个漏洞,可以通过已知文本攻击解密受影响用户的文件。这所需的一切都被添加到Rannoh解密工具中。 要解密一个文件,你应该至少有一个原始文件。如前所述,阎罗王勒索软件将文件沿着3千兆字节的阈值分为大文件和小文件。这就产生了一些必须满足的条件,以便解密某些文件。 – 要解密小文件(小于或等于3GB),你需要一对大小为1024字节以上的文件。这足以解密所有其他小文件。 – 要解密大文件(超过3GB),你需要一对大小不低于3GB的文件(加密的和原始的)。这将足以解密大文件和小文件。 根据以上几点,如果原始文件大于3GB,就有可能解密受感染系统上的所有文件,包括大文件和小文件。但如果有一个小于3GB的原始文件,那么只有小文件可以被解密。 更多信息请见卡巴斯基的《如何恢复被阎罗王加密的文件》一文: https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/ 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260543.htm 封面来源于网络,如有侵权请联系删除
卡巴斯基调查:30% 的人认为使用跟踪软件来监视伴侣是正常的
据Techspot报道,根据卡巴斯基的一项调查,30%的人认为使用跟踪软件来监视他们的伴侣是正常的。跟踪软件是一类允许一个人监视另一个人的软件,通常是在目标的移动设备上安装该软件,而他们并不知情。这类应用程序通常伪装成家长控制应用程序或防盗解决方案,可以监控互联网活动,跟踪用户的行踪,录制音频和视频,以及其他功能。 卡巴斯基最近委托进行了一项调查,以衡量公众对隐私的看法–特别是数字跟踪。在接受调查的21个国家的21000多名处于恋爱关系中的人中,有30%的人认为监视其伴侣的数字活动是正常的,这令人吃惊。在这个子集中,超过一半的人说,只有在某些情况下这样做才合适。 什么构成可接受的情况?调查结果显示,在那些认为监视伴侣是正常的人中,64%的人说如果他们认为伴侣不忠,他们会这样做,而63%的人说如果这与安全有关,他们会这样做。在这个群体中,如果他们认为他们的伴侣参与了犯罪活动,有一半人也会监视他们的伴侣。 近四分之三(74%)的受访者表示他们从未被技术手段跟踪过。 如果在设备上发现了跟踪软件,人们会如何反应?大多数受访者(83%)表示,如果他们发现自己的设备上未经自己同意安装了监控软件,他们会与伴侣对峙,但报告指出,在这种情况下站出来与伴侣对峙,可能只会让跟踪软件受害者面临的风险升级。 (消息及封面来源:cnBeta)
卡巴斯基称 Lyceum 再次现身
Lyceum是一个已为人知的黑客组织,与针对中东组织的攻击有关,如今它带着新的恶意软件和策略重新露面,而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示,他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示,Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字,将这种新的恶意软件分成了两组变种,一组叫詹姆斯,另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信,这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种,卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具,该工具似乎不包含任何网络通信机制。该公司推测,恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本,用于从浏览器中窃取用户凭证,以及一个自定义键盘记录器,看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示,“我们对Lyceum的调查显示,该组织多年来已经发展了自己的武器库,并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月,当时Secureworks报告称,观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称,该威胁组织可能至少从2018年4月开始就活跃了,与Lyceum相关的攻击是基于域名注册,专注南非目标。 Secureworks表示,其调查显示,Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证,获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似,那些组织专注于具有重要战略意义的中东目标,如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而,Secureworks指出,这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处,但与Secureworks一样,他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析,Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处,该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说,DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括:目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。 除了对调查结果的总结外,卡巴斯基本周还发布了一份来自最近一次会议的报告,提供了关于Lyceum新活动的技术细节。 消息来源:DarkReading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Bloodstealer 木马:新的恶意软件访问玩家的游戏账号,窃取数据和密码
据一份最新报告显示,攻击者正在通过新的恶意软件访问玩家的Steam、GOG、Epic Games和EA Origin账户并窃取他们的信息。 网络安全公司卡巴斯基将这种恶意软件命名为“BloodyStealer”,并警告玩家,这种恶意软件能够从上述网站的会话数据和密码中获取信息。 据报道,该木马正在暗网和暗网论坛上做广告和出售,价格为每月10美元或“终身许可证”40美元。卡巴斯基公司于今年3月首次发现了“BloodyStealer”。 除了会话数据和密码,卡巴斯基的研究人员认为,BloodyStealer还可以抓取设备数据、桌面文件、银行信息、内存日志、BT种子文件和屏幕截图等信息。恶意软件收集的数据会被转移到远程服务器上,在那里它们最有可能通过Telegram频道或暗网平台变现。 卡巴斯基进一步透露,自从该恶意软件被发现以来,已经检测到它被用于攻击拉丁美洲、欧洲和亚太地区用户。 “与其他现存的恶意软件工具相比,BloodyStealer在市场上仍然是一个全新的工具;然而,通过分析现有的遥测数据,我们在欧洲、拉丁美洲和亚太地区发现了BloodyStealer,”卡巴斯基在一篇博客文章中指出。“在调查期间,我们发现BloodyStealer主要攻击家庭用户。” 当玩家下载有问题的文件或应用程序时,他们就很容易受到攻击,这些文件或应用程序大多带有允许他们在游戏中作弊的功能。也就是说,为了保护他们的设备免受BloodyStealer和其他恶意软件的攻击,玩家应该保持警惕,避免使用可疑的应用程序或文件,因为它们可能是恶意软件。 此外,对于玩家来说,使用双因素身份验证来保护自己的账户也是很重要的。如果想要获得游戏或注册与游戏相关的订阅,从官方网站获得这些内容是比较安全的。 消息来源:IBTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
SAS 2021: FinSpy 监视工具再次出现,比以往更强大
在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。” 多种规避技术 新样品采用了多层规避策略。首先,根据分析,受害者下载并执行木马程序后,他们会受到两个组件的审查。第一个是“预验证器”,它运行多个安全检查,以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出,每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败,命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过,服务器将提供第二个组件,称为“后验证器”。它收集信息,使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图),并将其发送到其配置中指定的C2服务器。 卡巴斯基表示,C2服务器根据收集到的信息,决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析,如果FinSpy最终部署,它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。” 另一个规避策略是这样的,FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit,而无需绕过固件安全检查。”“UEFI感染非常罕见,通常很难执行,由于其强规避性和持久性,它们格外难以处理。虽然在这种情况下,攻击者没有感染UEFI固件本身,但在它接下来的系统启动阶段,攻击是特别隐蔽的,因为恶意模块安装在一个单独的分区,可以控制受感染机器的启动过程。” Kuznetsov说,攻击者做了大量工作,使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上,这种间谍软件部署得非常精确,几乎不可能分析,这也意味着它的受害者特别很难有效防御,研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。” 高度模块化的FinSpy 卡巴斯基还研究了最新样本的性能,看看是否有进化,发现FinSpy的架构仍然高度模块化,但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面,包括协调器和所有插件,直到使用它们之前,所有内存页面都将保持加密。”“一旦需要执行代码或访问数据,那一个页面就会被解密。当不再需要它时,它就会被再次加密。” 他补充说,“这意味着,即使你制作一个受感染机器的实时内存图像,也很难在内存中找到木马,因为你能看到的唯一未加密的东西,只是这个隐藏程序的一小部分。” 根据分析,隐藏器还负责启动“协调器”,协调器是一个核心模块,将加载其余的功能和控制插件。Kuznetsov说,它或多或少与之前的样本相同,但它增加了一个名为“通信器”的新模块,这是一个硬编码的二进制文件,位于用于维护C2通信的协调器的资源部分。 另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是,它在机器内部传播,从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始,”Kuznetsov解释说。“它会在所有子进程中复制自己,所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件,以实现数据收集目的。 “插件本身主要用来收集受害者的信息,”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件,任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是,有一些数据取证工具可以找到已删除文件的信息,并存储已删除文件的历史。”Kuznetsov说,“还有一个非常独特的插件,利用了现代浏览器的除错功能。通过设置特定的环境变量,它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做,攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集,并可以向攻击者直播或预先录制。研究人员指出,在启动感兴趣的应用程序时,数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中,它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里,我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具,还完成了一份300页的报告。结论是什么?我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。” 消息来源:ThreatPost,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
卡巴斯基:Kanye West 的《Donda》新专辑就像是“网络诈骗磁铁”
网络犯罪分子正在发起一个新的骗局,利用Kanye West的《Donda》专辑的发行,在互联网上分发包含恶意软件的假专辑。网络安全公司卡巴斯基研究了这一事件,以了解威胁者是否在互联网上传播任何恶意软件。他们强调,其中一个骗局是针对备受期待的媒体(电影、音乐)的发布,因为他们可以将恶意代码放在可以轻易下载的假文件中。 这个特殊的骗局尝试涉及将假的恶意文件上传到互联网上,这些文件与电影《黑寡妇》问世前的文件相似。Kanye的粉丝会得到一个下载专辑的链接,然后被要求参与一项调查,以确认他们不是机器人,之后,客户被重定向到一个提供几个比特币生成骗局的网站。kasper 卡巴斯基实验室检测到以下两个文件被感染了广告软件,并伪装成《Donda》专辑,以欺骗Kanye的粉丝:”Download-File-KanyeWestDONDA320.zip_88481.MSI和Kanye West _ DONDA (Explicit) (2021) Mp3 320kbps [PMEDIA] __ – Downloader.exe”。 除了常见的欺诈性下载之外,卡巴斯基还发现了各种不同的欺诈网站,它们采用不同的策略,试图诱使客户点击虚假链接,提供个人信息,并以其他方式泄露他们的敏感数据。 卡巴斯基安全专家安东·伊万诺夫在关于围绕《黑寡妇》发布的骗局时的警告中解释说,骗子和网络犯罪分子正在利用许多人的兴奋、热情和放松警惕,因为他们试图找到一种方法来获得新内容。 为了避免成为此类骗局的受害者,建议仔细检查下载链接,不要点击不正当的网址,并始终从有信誉的来源下载。 (消息及封面来源:cnBeta)
网络钓鱼盯上 WhatsApp 等即时通讯软件 卡巴斯基给出安全建议
鉴于许多黑客已经瞄上了 WhatsApp、Viber 和 Telegram 等即时通讯服务来开展网络钓鱼攻击和诈骗,卡巴斯基安全研究人员也特地对此类 Android 客户端的风险等级展开了一番评估。其指出,全球平均每天发生 480 次网络钓鱼和类似事件,前三地区为印度(7%)、巴西(17%)、以及俄罗斯(46%)。 作为最受智能机用户欢迎的即时通讯(IM)服务之一,涉及 WhatsApp 的网络犯罪活动也相当活跃(占 89.6% 左右)。 紧随其后的是 Telegram(5.6%)和 Viber(4.7%),而 Google Hangouts 用户最不可能成为网络钓鱼攻击的受害者(不到 1%)。 为降低 IM 用户遭遇网络钓鱼诈骗和危险链接的风险,卡巴斯基安全团队给出了如下建议: ● 检查链接中是否存在拼写错误或其它异常; ● 请勿向亲友分享任何可疑的邀请链接; ● 警惕来自其他人的不明邀请链接,在被要求输入凭据时务必提高警惕; ● 好友账户或被黑客入侵,收到熟人发来的链接和附件也需多加提防; ● 使用可靠的安全解决方案,以及时收到警告提醒。 (消息及封面来源:cnBeta)