HackerNews 编译，转载请注明出处： 日前，一名俄罗斯和以色列双重国籍男子在美国被起诉，涉嫌自2019年或更早开始，至2024年2月至少间歇性地参与开发已停运的LockBit勒索病毒即服务（RaaS）平台。 51岁的Rostislav Panev于今年8月在以色列被捕，当前正等待引渡，美国司法部（DoJ）在一份声明中表示。根据他加密货币钱包的资金转移记录，Panev在2022年6月至2024年2月期间赚取了约23万美元。 美国检察官Philip R. Sellinger表示：“Rostislav Panev多年致力于构建并维护数字武器，支持其LockBit同谋者进行全球破坏，造成数十亿美元的损失。” LockBit是全球最活跃的勒索病毒团伙之一，其基础设施在2024年2月被国际执法行动“Cronos”查封。该团伙因攻击全球至少120个国家的2500多个实体而声名狼藉，其中美国受害者多达1800个。 LockBit的攻击目标涵盖个人、小型企业、跨国公司、医院、学校、非营利组织、关键基础设施、政府和执法机构等多个领域。该RaaS平台估计为该团伙带来了至少5亿美元的非法收入。 法庭文件显示，Panev被捕后，调查人员分析了他的计算机，发现他拥有一个位于暗网的在线存储库管理员凭证，该存储库包含多个版本的LockBit构建器源代码，供附属成员用于创建定制版本的勒索病毒。 此外，调查人员还发现了LockBit控制面板的访问凭证和名为StealBit的工具，后者允许附属成员在加密操作前窃取受害主机的敏感数据。 除了编写和维护LockBit恶意代码外，Panev还被指控为该网络犯罪团伙提供技术支持，并与主要管理员Dmitry Yuryevich Khoroshev（网络别名LockBitSupp）通过直接消息交流，讨论构建器和控制面板的开发工作。 美国司法部表示：“在8月被以色列当局逮捕后的审讯中，Panev承认曾为LockBit团伙进行编码、开发和咨询工作，并因此定期收到加密货币支付。” “Panev承认，他为LockBit开发了禁用杀毒软件的代码；将恶意软件部署到多个连接受害者网络的计算机上；并将LockBit勒索信息打印到受害网络上的所有打印机。” 此次逮捕后，已有七名LockBit成员——Mikhail Vasiliev、Ruslan Astamirov、Artur Sungatov、Ivan Gennadievich Kondratiev、Mikhail Pavlovich Matveev——在美国被起诉。 尽管遭遇这些打击，LockBit的运营者似乎计划东山再起，预计2025年2月发布LockBit 4.0版本。但在持续的执法打击和起诉压力下，勒索团伙能否成功复出仍未可知。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Forescout的分析发现，针对工业控制系统（ICS）的新型恶意软件攻击能够导致工程流程崩溃。 研究人员识别出从2024年8月至11月，攻击三菱和西门子工程工作站的两种恶意软件攻击，并在VirusTotal数据库中列出。 这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。 Chaya_003展现出了终止工程流程的能力。 研究人员发现，攻击者使用了合法服务作为指挥与控制（C2）手段，使得威胁检测变得更加困难。 工程工作站是运行传统操作系统（如Windows）并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术（OT）和ICS环境中对现场设备（如可编程逻辑控制器PLC）进行调试和编程至关重要。 Forescout引用了SANS研究所的最新研究，发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上，促使他们进行了这项新分析。 研究人员将他们的调查重点放在了VirusTotal上传的两类数据上：标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。 Forescout发现了两个Ramnit集群攻击三菱工作站的情况。 Ramnit最早出现在2010年，作为一种银行木马，旨在窃取凭证，后来发展为一个模块化平台，能够从C2服务器下载插件。 该恶意软件可以通过受感染的物理设备（如USB驱动器）或通过被攻破的IT系统网络传播。 研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的，但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中，这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。 调查揭示了三个二进制文件，代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。 其中两个二进制文件名为“Isass.exe”和“elsass.exe”，这表明它们故意伪装成合法的系统进程，可能是为了欺骗用户或绕过杀毒软件。 Chaya_003的C2基础设施利用Discord webhooks，并具有系统侦察和进程干扰功能。 所有样本都实现了列举系统进程的功能，检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配，则会被终止。 研究人员观察到“明确的进化模式”，这表明该恶意软件正在不断改进并为更广泛的部署做好准备。 Forescout呼吁工业组织采取措施，提升防御针对工程工作站的攻击。这些措施包括： 识别连接到OT网络的所有工作站，并评估其软件版本、开放端口、凭证和端点保护软件。 确保所有软件更新到最新版本，并确保端点保护解决方案已启用且保持最新。 避免直接将工程工作站暴露于互联网。 适当分隔网络，将IT、物联网（IoT）和OT设备隔离开来。 限制网络连接，只允许授权的管理和工程工作站连接。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据乌克兰计算机应急响应小组（CERT-UA）披露，名为 UAC-0125 的威胁行为者正在利用 Cloudflare Workers 服务，诱使该国军事人员下载伪装成 Army+ 的恶意软件。Army+ 是由乌克兰国防部于 2024 年 8 月推出的一款移动应用，旨在帮助武装部队实现无纸化操作。 访问伪造的 Cloudflare Workers 网站的用户会被提示下载一个名为 Army+ 的 Windows 可执行文件，该文件是使用 Nullsoft Scriptable Install System（NSIS）创建的，NSIS 是一款开源工具，用于为操作系统创建安装程序。 打开该二进制文件后，会显示一个伪装的文件并启动，同时执行一个 PowerShell 脚本，该脚本旨在安装 OpenSSH，生成一对 RSA 密钥对，将公钥添加到“authorized_keys”文件中，并通过 TOR 匿名网络将私钥传输到攻击者控制的服务器上。 该攻击的最终目标是让攻击者能够远程访问受害者的计算机，CERT-UA 表示，目前尚不清楚这些链接是如何传播的。 该机构进一步指出，UAC-0125 与另一个名为 UAC-0002 的威胁群体相关，后者更广为人知的名称包括 APT44、FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear，这是一个与俄罗斯联邦总参谋部第 74455 单位（GRU）有关的高级持续性威胁（APT）组织。 本月早些时候，Fortra 披露其观察到“合法服务滥用”的上升趋势，恶意行为者利用 Cloudflare Workers 和 Pages 托管虚假的 Microsoft 365 登录和人类验证页面，以窃取用户凭证。 该公司表示，Cloudflare Pages 上的钓鱼攻击已增长 198%，从 2023 年的 460 起事件增至 2024 年 10 月中旬的 1,370 起。同样，利用 Cloudflare Workers 的钓鱼攻击也增加了 104%，从 2023 年的 2,447 起事件增至目前的 4,999 起。 该事件发生时，欧洲理事会对 16 名个人和 3 个实体实施制裁，指责其“俄罗斯在国外的破坏性行动”。这些对象包括涉及在欧洲的外部刺杀、爆炸和网络攻击的 GRU 29155 单位，以及参与中非共和国和布基纳法索的亲俄秘密影响操作的“非洲贸易与投资集团”和“非洲倡议”新闻机构，这些机构传播俄罗斯宣传和虚假信息。   消息来源：The Hacker News, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

E安全消息，黑客组织TIDRONE以针对台湾国防和无人机行业而闻名，现已将业务扩展到韩国，利用企业资源规划（ERP）软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现，与一个讲中文的威胁组织有关。他们的活动以台湾组织为目标，现在扩展到韩国，尤其是小型ERP解决方案。ASEC表示：“自2024年7月以来，该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标，特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading，这是一种众所周知的技术，允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式： 1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。 2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。 恶意加载器经常滥用合法的可执行文件，例如： winword.exe（Microsoft Word） VsGraphicsDesktopEngine.exe rc.exe 该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。 CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。 ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。” 恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。 该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括： C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe C:\NVIDIA\DisplayDriver\rc.exe C:\ProgramData\Microsoft OneDrive\setup\nir.exe 这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。 TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。 ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。” 建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一种名为Pumakit的新Linux rootkit恶意软件被发现，它使用隐身和高级权限提升技术来隐藏其在系统上的存在。 该恶意软件是一个多组件集合，包括一个投递器(dropper)、内存驻留可执行文件、内核模块rootkit和一个共享对象(SO)用户空间rootkit。 Elastic Security在VirusTotal上发现了一个可疑的二进制文件(‘cron’)上传，日期为2024年9月4日，并报告说无法看到谁在使用它以及它针对的目标。 通常，这些工具被高级威胁行为者用于针对关键基础设施和企业系统进行间谍活动、财务盗窃和破坏操作。 Pumakit采用多阶段感染过程，起始于一个名为’cron’的投递器，它从内存中完全执行嵌入的有效载荷(‘/memfd:tgt’和’/memfd:wpn’)。 ‘/memfd:wpn’有效载荷在子进程中执行，执行环境检查和内核映像操作，并最终将LKM rootkit模块(‘puma.ko’)部署到系统内核中。 LKM rootkit中嵌入了Kitsune SO (‘lib64/libs.so’)，作为用户空间rootkit，使用’LD_PRELOAD’注入自身到进程中，以拦截用户级别的系统调用。 Pumakit感染链 rootkit遵循条件激活，检查特定的内核符号、安全启动状态和其他先决条件后才加载。 Elastic表示，Puma利用’kallsyms_lookup_name()’函数来操纵系统行为。这表明rootkit旨在仅针对5.7版本之前的Linux内核，因为新版本不再导出该函数，因此不能被其他内核模块使用。 “LKM rootkit操纵系统行为的能力始于其使用系统调用表及其依赖于kallsyms_lookup_name()进行符号解析，”Elastic研究人员Remco Sprooten和Ruben Groenewoud解释说。 “与针对5.7及以上内核版本的现代rootkit不同，该rootkit不使用kprobes，表明它是为旧内核设计的。” Puma使用’ftrace’钩住18个系统调用和多个内核函数，以获得权限提升、命令执行能力以及隐藏进程的能力。 内核函数’prepare_creds’和’commit_creds’被滥用以修改进程凭证，为特定进程授予root权限。 该rootkit可以从内核日志、系统工具和杀毒软件中隐藏自己的存在，并且还可以隐藏目录中的特定文件和进程列表中的对象。 如果钩子被中断，rootkit会重新初始化它们，确保其恶意更改不会被撤销，模块不能被卸载。 用户空间rootkit Kitsune SO与Puma协同工作，将其隐身和控制机制扩展到用户交互。 它拦截用户级别的系统调用，并改变ls、ps、netstat、top、htop和cat等命令的行为，以隐藏与rootkit相关的文件、进程和网络连接。 它还可以根据攻击者定义的标准动态隐藏任何其他文件和目录，并使恶意二进制文件对用户和系统管理员完全隐形。 Kitsune SO还处理与命令和控制(C2)服务器的所有通信，将命令中继到LKM rootkit，并将配置和系统信息传输给操作员。 除了文件哈希之外，Elastic Security还发布了一个YARA规则，以帮助Linux系统管理员检测Pumakit攻击。     消息来源：bleepingcomputer；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Cyber Security News消息，卡巴斯基发现，一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序，目标是一些俄国企业。 报告表明，该攻击活动开始于 2024 年 1 月，通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具，该工具主要用来激活一些商业软件。 根据发现的激活器样本，RedLine被一种非常不寻常的方式隐藏，激活器库被 .NET Reactor 混淆，恶意代码被压缩和加密成多个层。研究人员注意到，恶意版本的激活工具在 .NET 中构建，并使用了自签名证书，而合法的 C++ 版本则使用了有效证书。 攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接，并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样，在安装时会要求用户关闭相应的安全保护，以此逃避安全检测，否则软件将无法正常运行。 另外，用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件，并在执行已打补丁的软件时，通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。 这种方法利用的是用户的信任，而不是企业软件的漏洞。 RedLine 窃取程序以恶意软件即服务（MaaS）的形式传播，其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据，包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。 该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。 因此，为了安全起见，企业应避免使用盗版软件。       转自Freebuf，原文链接：https://www.freebuf.com/news/417408.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77 家加密货币交易所和银行应用程序的凭证，涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。 据发现恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 （MaaS） 平台运行，每月的使用价格为3000美元。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其一个僵尸网络的分析显示，英国、意大利、法国、土耳其和德国发生了 776 起感染活动，表明其存在显著活跃的迹象，且该恶意软件似乎仍在积极开发中。目前，一些比较典型的凭证窃取对象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。 DroidBot 的开发人员可能是土耳其人，为威胁组织提供进行攻击所需的所有工具，包括恶意软件构建器、命令和控制 （C2） 服务器以及中央管理面板，可以从目标那里控制其操作、检索被盗数据和发出命令。通过对一个C2 基础设施的分析，已有17个威胁组织在使用该恶意软件。 DroidBot 的后台面板 有效负载构建器允许威胁组织自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址，此外还可以访问详细的文档、获得恶意软件创建者的支持，并访问定期发布更新的 Telegram 频道。 总而言之，DroidBot MaaS 操作使没有经验或技能较低的网络犯罪分子的进入门槛相当低。 模仿热门应用 DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”，以诱骗用户安装恶意应用程序，主要功能包括： 键盘记录 – 捕获受害者输入的每次击键。 叠加 – 在合法的银行应用程序界面上显示虚假登录页面。 SMS interception （SMS 拦截）– 劫持传入的 SMS 消息，尤其是那些包含用于银行登录的一次性密码 （OTP） 的消息。 虚拟网络计算– VNC 模块使威胁组织能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。 要实现上述恶意功能，一个关键要素也在于DroidBot能够滥用 Android 的辅助功能服务来监控用户操作，并代表恶意软件模拟滑动和点击。因此，如果用户安装的应用程序请求非必要且敏感的权限，应该提高警惕并拒绝相关请求。 此外，建议安卓用户仅从官方应用商店下载程序，在安装时仔细检查权限请求，并确保 Play Protect 在其设备上处于活动状态。       转自Freebuf，原文链接：https://www.freebuf.com/news/417038.html 封面来源于网络，如有侵权请联系删除

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。 Trellix 研究人员发现了一个恶意软件活动，该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。 这种策略会破坏受信任的内核模式驱动程序，将其转变为终止保护进程和破坏受感染系统的工具。 威胁组织针对多种安全产品，包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。 Trellix 发布的报告指出：“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。 恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。” “一旦合法的内核驱动程序被删除，恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”，该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后，恶意软件将获得内核级系统访问权限，从而能够终止关键安全进程并控制系统。” Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行，允许恶意软件获得对操作系统的不受限制的访问权限。 该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。 安全专家建议组织实施 BYOVD （自带易受攻击的驱动程序）保护，以保护系统免受使用易受攻击的驱动程序的攻击。 这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限，从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ 封面来源于网络，如有侵权请联系删除