网络犯罪分子正不断提高技术方式，寻找利用用户并获取其个人数据的新方法。过去，欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击，伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告，作为从不知情的用户那里获取信息的有效方法，一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”（malvertising），Talos 情报组织认为，一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为，Magnat 活动可能在 2018 年底开始，目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载，他们就会运行一个假的安装程序，将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件，但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器，用于收集用户凭证，通常通过一个被称为 Redline 的普通工具。另一个恶意软件，称为 MagnatBackdoor，通过微软远程桌面设置对用户设备的远程访问。这种访问，结合由 Redline（或类似工具）窃取的用户凭证，可以提供对用户系统的不受约束的访问，尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展，它被用于键盘记录，获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本，并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进，并没有很快放缓的迹象。安装包的名称不断变化，通常参考流行的应用程序的名称，以增加可信度，并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   （消息及封面来源：cnBeta）

近日，安全专家发现了针对 Windows Subsystem for Linux（WSL）创建的恶意 Linux 安装文件，表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法，并将注意力集中在 WSL 上以逃避检测。 首批针对 WSL 环境的攻击样本在今年 5 月初被发现，到 8 月 22 日之前持续每 2-3 周出现一次。在今天的一份报告中，Lumen 公司 Black Lotus Labs 的安全研究人员说，这些恶意文件要么嵌入了有效载荷，要么从远程服务器获取。 下一步是利用 Windows API 调用将恶意软件注入一个正在运行的进程，这种技术既不新鲜也不复杂。从发现的少量样本中，只有一个样本带有一个可公开路由的 IP 地址，暗示威胁者正在测试使用 WSL 在 Windows 上安装恶意软件。恶意文件主要依靠 Python 3 来执行其任务，并使用 PyInstaller 将其打包成用于 Debian 的 ELF 可执行文件。 Black Lotus Labs 表示：“正如 VirusTotal 上检测率所表明的那样，大多数为 Windows 系统设计的终端代理并没有建立分析 ELF 文件的签名，尽管它们经常检测到具有类似功能的非 WSL 代理”。不到一个月前，其中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示，它完全没有被扫描服务中的引擎检测到。 其中一个变种完全用 Python 3 编写，不使用任何 Windows API，似乎是对 WSL 的加载器的首次尝试。它使用标准的 Python 库，这使得它与 Windows 和 Linux 都兼容。 研究人员在一个测试样本中发现了用俄语打印“Hello Sanya”的代码。除了一个与该样本相关的文件外，其他文件都包含本地 IP 地址，而公共IP则指向185.63.90[.]137，当研究人员试图抓取有效载荷时，该IP已经离线。 另一个“ELF到Windows”的加载器变体依靠 PowerShell 来注入和执行 shellcode。其中一个样本使用 Python 调用函数，杀死正在运行的防病毒解决方案，在系统上建立持久性，并每20秒运行一个PowerShell脚本。根据分析几个样本时观察到的不一致之处，研究人员认为，该代码仍在开发中，尽管处于最后阶段。   （消息及封面来源：cnBeta）

今年 9 月，本站曾报道 Microsoft Defender 中可通过命令行方式下载恶意文件；而现在，在 Windows Update 中也发现了类似的功能，从而也能被黑客滥用用于执行恶意文件。 援引外媒 Bleeping Computer 报道，MDSec 研究人员 David Middlehurst 发现，攻击者可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt，从而在 Windows 10 系统上执行恶意代码：   wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer 该技巧绕过 Windows 用户帐户控制（UAC）或Windows Defender应用程序控制（WDAC），可用于在已经受到威胁的系统上获得持久性。之所以能够发现，是因为他发现已经有黑客利用这个漏洞执行攻击行为。     （稿源：cnBeta，封面源自网络。）

前言 最近一段时间，我们一直在监测一种新的恶意程序，我们称之为“Meh”。这一切都是在我们遇到大量文件时开始的，这些文件的开头是随机生成的字符串，然后是一个编译的AutoIt脚本…… 分析 Meh由两个主要部分组成。 第一部分是解密器，我们将其命名为MehCrypter，它由多个阶段组成，并作为已编译的AutoIt脚本进行分发，以随机生成的字符串序列作为前缀。AutoIt解释程序将跳过此字符串序列，该解释程序将扫描确定文件格式的字节并有效地混淆文件，而不会影响其功能。 第二部分是密码窃取程序，称为Meh。窃取程序是恶意软件的核心，并具有许多功能。它能够窃取剪贴板内容，键盘记录，窃取加密货币钱包，通过种子下载其他文件等。它几乎所有功能都在子线程中执行，这些子线程是从注入的进程执行的。在下一篇博客文章中，我们将重点介绍密码窃取器。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1340/       消息来源：DECODED  ，封面来自于网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft 的漏洞研究团队在 npm（Node Package Manager） 存储库中发现了一个恶意 JavaScript 程序包，可从 UNIX 系统窃取敏感信息。 该恶意软件包名为 1337qq-js，于 2019 年 12 月 30 日上传到 npm 存储库中。目前，该恶意软件包已被 npm 的安全团队删除。在此之前，该软件包至少被下载了 32 次。 根据 npm 安全团队的分析，该软件包通过安装脚本来泄漏敏感信息，并且仅针对 UNIX 系统。 它收集的数据类型包括： 环境变量 运行过程 / etc / hosts 优名 npmrc文件 其中，窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包，并轮换使用任何 compromised 的凭据。 事实上，这是恶意软件包第六次被放入 npm 存储库索引，此前的五次分别为： 2019 年 6月 -黑客将电子本地通知库进行后门操作，以插入到达 Agama 加密货币钱包的恶意代码。 2018 年11月 -一名黑客借壳了the event-stream npm 程序包，以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部，并窃取加密货币。 2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。 2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。 2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库，这些库被配置为从使用它们的项目中窃取环境细节。     （稿源：开源中国，封面源自网络。）

Sophos的安全研究团队近日发现了名为Snatch的勒索软件，利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃，并迫使受感染设备重新启动进入安全模式。而在安全模式下，通常会禁用防病毒和其他安全软件，从而允许该恶意程序作为服务进行自启，对PC进行全盘加密，最后向受害者勒索比特币。 在过去3个月内，Sophos已经收到了12例关于该勒索软件的反馈报告，要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道：“Snatch可以在常见的Windows系统上运行，从Windows 7到Windows 10，所有32位和64位版本都受到影响。我们观察到Snatch无法在Windows以外的平台上运行。” （稿源：cnBeta，封面源自网络。）

在向苹果反馈三个月之后，一位安全专家详细披露了如何绕过Gatekeeper（门禁），欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示，macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞，现在决定公开披露。 Cavallarin在个人博客上表示：“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后，我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞，而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用，审查通过后予以接受并添加签名，确保应用未经篡改或改动。如果某个应用存在问题，Apple 会迅速从商店中下架。 视频：https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示：“根据设计规范，Gatekeeper将外部磁盘和网络共享视为安全位置，而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择，在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道：“Zip档案可以包含指向任意位置的符号链接（包括automount enpoints），并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说，用户可以“轻易”欺骗安装网络共享驱动器，然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   （稿源：cnBeta，封面源自网络。）

经过多年的更迭，跟踪软件（stalkerware）已经发展到可以避开防病毒应用程序的严苛审查。本周三，卡巴斯基实验室表示他们已经将跟踪软件标记为恶意程序，并且在手机端上安装跟踪应用的时候会向用户发出提醒。2018年，卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。 跟踪软件也称为“间谍软件”，“消费者监控软件”等，采用应用程序的形式或对设备进行修改，使某人能够远程监控目标的活动。例如，一个名为 PhoneSheriff 的应用程序允许监视者阅读目标设备上的文本并查看照片，并秘密访问其手机的 GPS 位置。 跟踪软件可以安静地安装在用户设备上，然后访问包括GPS位置、短信、照片和麦克风等个人数据。而且使用跟踪软件并不需要很高的技术能力，甚至于每月花费数百美元就能买到。据卡巴斯基实验室称，一些供应商还提供每月68美元的订阅计划。 卡巴斯基实验室表示，在与电子前沿基金会网络安全负责人伊娃•加尔佩林（Eva Galperin）交谈后，公司已经开始行动起来将跟踪应用标记为恶意程序。卡巴斯基实验室的安全研究员Alexey Firsh在一份声明中表示：“因此，我们会对商业间谍软件进行标记，并发出特定的警报，告知用户关注跟踪软件带来的危险。我们相信用户有权知道他们的设备上是否安装了这样的程序。” 图片来自于 卡巴斯基实验室 在接受Wired采访时候，加尔佩林表示卡巴斯基实验室的这项倡议能够得到其他防病毒公司的响应，然后成为行业的标准。未来卡巴斯基实验室的扫描不仅会检测是否存在跟踪软件，而且会为用户提供删除它们的选项。这项保护目前正面向Android设备推广，不过跟踪软件在iOS上并不常见。   （稿源：cnBeta，封面源自网络。）