过去几个月来，一些安卓用户被一款名为 xHelper 的恶意软件持续困扰，它的自动重新安装机制令人们束手无策。 xHelper 最早发现于 3 月。到 8 月，它逐渐感染了 32,000 多台设备。而截至本月，根据赛门铁克的数据，感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示，xHelper 每天平均造成 131 名新受害者，每月约有 2400 名新的受害者。 根据 Malwarebytes 的说法，这些感染的来源是“网络重定向”，它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。 好消息是该木马目前没有执行破坏性操作，多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店，并要求用户安装其他应用程序——通过这种方式，xHelper 从按安装付费的方式中赚钱。 恼人的是 xHelper 服务无法删除，因为该木马每次都会重新安装自身，即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过，Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。 在某些情况下，用户说，即使他们删除了 xHelper 服务，然后禁用了“从未知来源安装应用程序”选项，它还是会在几分钟内重新感染设备。也有少数用户报告说使用某些付费的移动防病毒解决方案取得了成功。 赛门铁克在最新发布的博客文章中表示，该木马正仍在不断发展，定期发布的代码更新解释了为什么某些防病毒解决方案在某些情况下会删除 xHelper，而在更高版本中却不会。 同时，赛门铁克也作出警告，尽管该木马目前从事垃圾邮件和广告收入活动，但它还具有其他更危险的功能。xHelper 可以下载并安装其他应用程序，xHelper 团队可以在任何时候使用该功能来部署第二阶段恶意软件有效负载，例如勒索软件、银行木马、DDoS僵尸程序或密码窃取程序等。   （稿源：开源中国，封面源自网络。）

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件，如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户，并且会定期发布更新。 恶意插件隐藏在 WordPress 首页，只有使用具有特定User-Agent字符串（随插件而异）的浏览器才能看到它们。 即使原始感染源被删除，黑客也仍然可以在用户的电脑上建立后门，并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求，将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ，以及将在受感染服务器上创建的文件的路径和名称。 到目前为止，这些 POST 参数对于每个插件都是唯一的。 黑客利用插件，将文件（即5d9196744f88d5d9196744f893.php） 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外，受感染的网站可能会遭到恶意攻击，包括 DDoS 和暴力攻击，发送垃圾邮件或被用于挖矿。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据独立评测机构AV-Comparatives近日公布的《2019年9月恶意软件防护报告》，表明微软的Microsoft Defender已经成为非常出色的防病毒产品。根据报告显示，Defender拥有99.96%的在线保护率（Online Protection Rates），在10556个恶意软件中成功阻止了10552个，跻身该机构审查的前十防病毒程序之列。 根据测试结果显示，Avast，AVG和趋势科技以100％的保护率夺冠。McAfee（99.82％）和Total Defense（99.82％）是最差的病毒防护程序。 在本月的评测中，AV-Comparatives还重点观察了每款防病毒产品和“云”之间的相关性。换句话说，该小组希望了解在没有有效连接到Internet的情况下该软件在阻止恶意软件方面的有效性。 从测试结果来看Defender表现并不是很好，其离线恶意软件检测率仅为29.7％，高于Panda Antivirus（28.6％）和趋势科技（20.9％）。作为参考，Avast的离线检测率为97.4％。当我们查看在线检测率时，Microsoft的结果要好得多，为76.3％，但仍然落后于其他产品（所有指标都超过了92％）。   （稿源：cnBeta，封面源自网络。）

近日某个上午，德国弗莱堡市的一位银行职员发现，某台 ATM 机似乎出现了问题。其控制面板上收到了一条奇怪的消息 ——“Ho！”可惜的是，这位员工没有立即意识到，黑客已经将恶意软件植入了自动柜员机中 —— 这也是所谓的“劫持”攻击的一部分。最终结果是，正如大家在许多影视作品中所见到的那样 —— 这台 ATM 吐出了一堆现金，直至钞箱被彻底清空。 资料图（来自：Wincor Nixdorf，via BGR） 通过 Motherboard 与一家德国新闻媒体联合进行的调查，可知黑客是如何逐步对运行过时软件、安全性较低的计算机进行攻击的。 有关部门显然不希望在事情经过上着墨太多，但多个消息来源证实，这种类型的 ATM 攻击，正在全世界范围内（包括美国地区）呈现上升趋势。这意味着银行的安防系统脆弱不堪，且基本没准备对此进行处理。 通常情况下，攻击者会先从 ATM 机上的访问点（如 USB 接口）下手，以安装恶意软件。相关攻击代码的成本竟然也十分低廉 —— 仅需 1000 美元，即可买到在欧洲各地进行肆意攻击的俄罗斯软件。 软件截图（来自：@CRYPTOINSANE / Twitter） 尽管好莱坞影视作品中经常出现让 ATM 机吐出大量现金的场景，但不幸的是，现实情况也是如此。 有消息人士向参与调查的记者透露，某些不良行为者在出售代码，使得任何人只要肯出钱购买，基本上都有攻破 ATM 机的可能。 网络安全专家 David Sancho 认为，这件事不会局限于世界的某个特定角落，而是在全球范围内都有可能发生。     （稿源：cnBeta，封面源自网络。）

安全研究人员发现了一种新的Mac恶意软件，然而它的目的和功能目前仍然是一个谜。 这款恶意软件名为Tarmac（OSX / Tarmac），其通过在Mac用户的浏览器中运行恶意代码，将用户重定向到某个软件的更新页面——通常是Adobe的Flash Player。 在用户下载Flash Player更新的同时，其系统将会安装恶意软件二人组-首先是OSX / Shlayer恶意软件，然后是第一个启动的OSX / Tarmac。 自2019年1月开始传播 Confiant的安全研究人员Taha Karim表示，这次散播Shlayer + Tarmac组合的恶意活动始于今年1月。 Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是，他们只发现了Shlayer恶意软件，而没有发现Tarmac。 目前已经确定的Tarmac版本都比较旧，并且原始命令和控制服务器已关闭——或者已经被迁移。 Shlayer 会在受感染的主机上下载并安装 Tarmac。Tarmac 会收集有关受害者硬件设置的详细信息，并将此信息发送到其命令和控制服务器。 之后，Tarmac将等待新命令。但是由于服务器不可用，所以无法确定在这之后会发生什么。 从理论上讲，大多数恶意软件都非常强大，具有许多侵入性功能，Tarmac 也应该会造成巨大的威胁。但是目前一切都还只是谜。   主要受影响用户位于美国，意大利和日本 Karim 表示，分发 Shlayer 和 Tarmac 的恶意广告主要针对的是美国，意大利和日本的用户。 由于 Tarmac 的 payload 具有合法的 Apple 开发证书签名，因此 Gatekeeper 和 XProtect 不会在安装过程中报错或者中止。 如果用户想要查看自己的 Mac 系统是否受到此恶意软件感染，可以在Karim的Tarmac报告中寻找IoC。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

总部位于澳大利亚的SophosLabs研究人员最近发现了15个应用程序，这些应用程序除了在Android设备上积极展示广告外似乎没有其他作用。这些程序的名称和产品描述，从QR阅读器到图像编辑应用程序不等。使这些应用程序更加隐蔽的是，它们隐藏了自己的应用图标，使它们更难从手机中删除。其中一些程序甚至在设置中使用不同的名称和图标来伪装自己。 Sophos给出了一个名为Flash On Calls＆Messages（free.calls.messages）的应用程序示例。启动后，它会显示一条消息，指出“此应用程序与您的设备不兼容！”，然后它将应用程序商店打开到Google Maps页面，以诱骗用户以为Google Maps是问题所在。之后，它会隐藏其图标，以便无法在启动器中看到它。 更糟糕的是，这些应用进一步尝试通过在Android设置中使用其他名称和图标来避免将其删除。 15个程序中有9个采用这种策略以避免被发现。伪装的应用程序将使用更新，备份，时区服务甚至Google Play商店之类的名称来模仿无害的程序甚至基本功能。 首席研究员安德鲁·勃兰特（Andrew Brandt）概述了如何查找和删除烦人的恶意软件：“如果您怀疑最近安装的应用程序将其图标隐藏，请点击“设置”，然后点击“应用程序和通知”。最近打开的应用程序显示在此页面顶部的列表中。如果这些应用程序中的任何一个使用通用的Android图标,并且具有通用的名称,如“备份”，“更新”，“时区服务”），请点击该通用图标，然后点击“强制停止”，然后点击“卸载”。一个真实的系统应用程序将具有一个名为“禁用”的按钮，而不是“卸载”，您无需费心禁用它。” 发现的15个恶意应用已从Google Play中删除。但是，Play市场统计数据显示，它们已经被下载并安装在全球超过130万台设备上。   （稿源：cnBeta，封面源自网络。）

微软发现全球数千台Windows电脑感染了一种新的恶意软件，该恶意软件下载并安装了node.js框架的副本，以将受感染的系统转换为代理，执行点击欺诈。该恶意软件被称为Nodersok或者Divergent，最初是在今年夏季发现的，通过恶意广告在用户电脑上强行下载HTA文件进行传播。 找到并运行这些HTA文件的用户，开始了一个涉及Excel，JavaScript和PowerShell脚本的多阶段感染过程，该过程最终下载并安装了Nodersok恶意软件。恶意软件本身具有多个组件，每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update，还有一个组件将恶意软件权限提升到系统级别。 根据Microsoft和CISCO的报告，该恶意软件使用其中包含的2个合法应用在受感染的主机上启动SOCKS代理。但是，这里的报告分歧很大，微软声称，该恶意软件将受感染的主机转变为代理，以转发恶意流量。而思科则表示，这些代理用于执行点击欺诈。 为了防止感染，最好的建议是用户不要运行在电脑上找到的任何HTA文件，尤其是在不知道文件确切来源情况下。根据微软遥测技术，Nodersok过去几周已经成功感染了数千台电脑。Nodersok的棘手部分是使用了合法应用程序和内存有效负载，对于经典的基于签名的防病毒程序来说，它们非常难以检测Nodersok感染。   （稿源：cnBeta，封面源自网络。）

据外媒CNET报道，思科Talos团队周二表示，一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站，并通过恶意软件感染受害者的电脑。Talos团队在博客文章中称，该网站名为hiringmilitaryheroes.com，要求用户下载一个伪造的安装应用程序，该应用程序部署了恶意软件和恶意间谍工具。 攻击者检索到的系统信息包括硬件、固件版本、补丁程序级别、处理器数量、网络配置、域控制器，屏幕大小和管理员名称。思科Talos团队称：“这是与机器有关的大量信息，使攻击者为进行其他攻击做好了充分的准备。”该团队认为，这有可能影响很多人。 “美国人很快就回馈和支持退伍军人……这个网站极有可能在社交媒体上获得关注，用户可以在社交媒体上分享链接，以期支持退伍军人。” 思科和赛门铁克表示，该黑客组织被称为Tortoiseshell，其最近攻击了沙特的IT供应商。 思科没有立即回应有关该网站是否仍在正常运行以及是否有人受到影响的置评请求。   （稿源：cnBeta，封面源自网络。）

黑客正在利用 Gogle Alert 的订阅功能向用户推送诈骗信息和恶意软件。   Google Alert 垃圾邮件 为了使恶意链接被 Google Alert 推送，黑客会创建含有热门词语的垃圾邮件页面，并将其纳入 Google 搜索索引。 黑客知道用户迫切希望使用解密器，所以他们伪造了诈骗网站，其中包含与特定解密器相关的关键字，使得关注该关键字的用户会收到他们伪造的网站链接。 我们可以在下面看到这些网页之一，他们假装讨论STOP DJvu Ransomware 的 Kaspersky 解密器，当用户直接导航到页面的URL 时，他们看到的就是下面的网页。 创建垃圾邮件界面以推销解密程序 当黑客创建这些页面并将其放入 Google 索引后，任何想要获得勒索软件，解密程序或 STOP 勒索软件通知的人都会被推送这个页面。 勒索软件解密器的推送 当用户通过 Google Alert 或 Google 搜索引擎点击该链接时，网页会被重定向到一个恶意网站。 重定向到虚假的“技术支持”界面 黑客并非只围绕技术来设计网页，还有例如电视，衣服，电影等主题。这些主题通常通过假日购物，优惠券，免费观看电影等方式吸引用户。 在上面的示例中，所有突出显示的链接都会重定向到诈骗网站。   消息来源：BleepingComputer， 译者：xyj，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌从其Play商店中删除了包含恶意广告软件的2款应用程序。两者都是自拍相机应用程序，下载量总计超过150万。之前，移动安全公司Wandera研究人员在Google商店中发现了这两个应用。第一款应用是Sun Pro Beauty Camera，下载量超过一百万次，第2款应用是Funny Sweet Beauty Selfie Camera，下载量超过50万次。 这些应用被发现提供侵入性的应用外广告，这不仅对用户造成烦恼，而且可能会损坏设备，耗尽电池，在某些情况下，还会感染恶意软件。移动安全公司Wandera研究人员表示，广告软件使作者能够从受影响的设备中获利，虽然这种情况通常被认为是滋扰而不是严重威胁，但这些特定的应用内建了比一般广告软件更先进的功能。 另外，这些应用还会请求不同寻常的权限，包括能够在无需用户确认情况下，随时录制音频，允许该应用在手机启动后激活，以及允许它们在另一个应用上显示内容。移动安全公司Wandera指出，这些应用功能类似于Google上个月删除的85个受广告软件感染的应用，它们显示了无法跳过，难以关闭的全屏广告。   （稿源：cnBeta，封面源自网络。）