标签: 垃圾邮件

CERT-UA 警告恶意垃圾邮件传播 Jester 信息窃取程序

近期,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester Stealer的信息窃取程序。 据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后,整个感染过程就开始了。经过政府专家的调查,发现该恶意可执行文件是从受感染的网络资源中下载的。 对此,乌克兰计算机应急响应小组及时发布了相应的公告,公告中称:政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。如果你打开文档并激活宏,下载并运行该EXE文件,这将激活恶意程序JesterStealer并对您的计算机造成一定伤害。 据研究,JesterStealer能够从Internet浏览器、MAIL/FTP/VPN 客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭据和身份验证令牌。 该信息窃取恶意软件实现了反分析功能(反虚拟机/调试/沙盒),但它没有实现任何持久性机制。威胁参与者使用静态配置的代理地址通过 Telegram 泄露数据。从发布的公告中得知,通过静态定义的代理地址(包括在 TOR 网络中)窃取的数据在 Telegram 中传输给攻击者。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332628.html 封面来源于网络,如有侵权请联系删除

Emotet 垃圾邮件软件在全球范围内攻击邮箱

Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。 据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。 一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。 目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。 然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客组织 TA505 正在垃圾邮件活动中使用新的恶意软件 Gelup 和 FlowerPippi

据Trend Micro的研究人员称,TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件,它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现,在今年6月,有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序,其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后,通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道,少量垃圾邮件样本还使用了恶意的URL,导致名为FlawedAmmyy的远程访问木马(RAT)下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术,这是“模拟受信任目录(欺骗受信任目录中文件的执行路径),滥用自动提升的可执行文件,并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术,并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长,恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务,或者添加注册表运行项,这取决于用户权限。 Gelup执行的命令(Trend Micro) FlowerPippi是黑客组织TA505最近部署的第二个恶意软件,除了后门功能外,它还具有下载技巧,使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出,该后门用于收集和过滤受害者电脑中的信息,并运行从命令控制(C2)服务器接收到的任意命令。 FlowerPippi 执行的命令 (Trend Micro) 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外,微软安全情报部门在大约两周前发布了一条安全警告,称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马(RAT)使韩国的目标受感染。 Redmond的研究人员表示,虽然黑客们利用的微软办公软件漏洞(CVE-2017-11882 )在两年前就已经被修补,但黑客们仍广泛地利用该漏洞进行攻击,“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一,可以用于各种各样的攻击。大约在一周前,Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马(RAT)的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2],其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:,稿件以及封面源自网络;

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER  下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:2017 年报告技术支持骗局超 15.3 万起 比去年增长 24%

近年来技术支持诈骗已经成为窃取用户个人信息的主要方式,除了传统的邮件、伪造的网站和各种错误警告之外,黑客还会利用各种恶意软件以及未经请求的电话方式来开展恶意活动。然而外媒 ZDNet 表示,这种情况在未来只会变得更加糟糕。 在刚刚过去的 2017 年,微软客户支付服务收到来自全球 183 个国家,总共超过 15.3 起关于技术支持诈骗的案件。Windows Defender 研究项目经理 Erik Wahlstrom 表示,案件数量比 2016 年多了 24%。 Wahlstrom 表示除了个人被窃取之外,在这些案件中还有15%的人会遭遇经济损失,平均损失在 200 美元至 400 美元之间。去年 12 月份,就有不少人被诈骗为伪装的安全软件支付 25 美元。同月,微软收到来自荷兰的技术支持诈骗,结果用户银行账户损失了 89000 欧元(约合 68.7 万人民币)。 稿源:cnBeta,封面源自网络。

垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于): -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传,下载和执行文件 XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能: -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作(读取,写入和操作) -进程操作(执行和终止) -服务操作(停止,启动,创建和修改) -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析: 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

用加密货币对抗垃圾邮件也许并不是个好主意

据外媒报道,随着越来越多数据泄露事件的发生并最终导致曝光邮箱 ID,电子邮件垃圾信息正开始不断变成一种威胁。对此,许多公司开始寻找解决方案,其中一个较为流行的就是向那些不知来历的邮件提供回应。 据了解,该方法的运转主要依靠一份用户白名单。在这份名单上出现的邮箱 ID 则都是用户想要接收的目标,其余未在名单内的则会在发给用户之后收到自动回复电子邮件,届时他们将有两个选择–“进入白名单”和“付钱”。 大部分服务接受的都是法定货币,但也不乏一些接收加密货币支付的。像 Earn.com,它就允许用户通过比特币支付。 区块链初创公司 BitBounce 也已经为用户提供了类似的服务,然而其跟 Earn.com 以及其他竞争者最大的不同就在于它允许用户使用它自己的加密货币 Credo 代币。一封邮件的默认价格是 0.05 美元,其中 70% 将归用户所有,如果用户愿意可以将提成降低或提高。 截止到目前,BitBounce 软件在 Google Play Store 的下载量已经超过了 5 万并还获得了 4.5 分的评分,然而问题是,这个通过 CREDO 代币展开的交易是否比比特币更高效? 对于比特币、以太坊等加密货币来说,它们的交易成本较大,所以当交易额很小的情况下那么交易的速度则会慢很多。也就是说,这些加密货币对于那些小额交易并不是什么好选择。 不过以太坊区块链的交易费仍适用于 CREDO 代币,然而正如 BitBounce 自己也指出的那样,当需要暂停分发CREDO代币的时候,以太坊的交易费可能要增加到每笔1美元甚至更多。 最近似乎非常流行把所有的东西都放到区块链上然后建立一个 ICO,但是这种做法真的能让一切变好吗?就从现在情况来看,至少在对抗垃圾邮件中它似乎并没有起到什么作用。 稿源:cnBeta,封面源自网络

西班牙将掌管垃圾邮件网络俄罗斯程序员引渡给美国

2017 年 4 月,来自圣彼得堡的 37 岁的彼得·列瓦绍夫(Peter Pyotr Levashov)在与他的家人在巴塞罗那度假时,因列瓦绍夫涉嫌在美实施网络诈骗等网络犯罪,西班牙警方应美方请求将其逮捕。星期五晚上,康涅狄格州布里奇波特的联邦法院对他进行了审讯,虽然列瓦绍夫不认罪,但是依然被拘留了。 列瓦索夫的律师声称这起案件是出于政治动机,并争辩说,他应该在西班牙受审,因为有证据表明他在圣彼得堡学习期间通过某种方式窃取了俄罗斯国家机密。 西班牙国家法院 2017 年 10 月份就批准了引渡,驳回了俄罗斯的反引渡要求。西班牙国家警察星期五发表声明说,已经将列瓦绍夫交给了美国警方。 美国当局表示,列瓦绍夫从事犯罪活动多年,主要通过制造僵尸网络的方式,在用户不知情的情况下远程控制其受感染设备。 去年一项起诉书指控说,列瓦绍夫传播的僵尸网络,有时涉及到超过 10 万台计算机,这些僵尸网络能够发出数十亿封垃圾邮件。 这些计算机会发送电子邮件宣传假冒药品,收集用户的登录信息,并安装拦截银行账号密码的恶意软件,只需要一天,该网络就可以发送超过 2500 封垃圾邮件。 稿源:cnBeta.com,封面源自网络