网络攻击可能会导致企业头痛和收入损失。但是，沙特阿拉伯一家石油化工企业于 8 月份在工厂发现的恶意软件旨在破坏设备，并可能导致爆炸，从而摧毁整个工厂。据调查人员表示，攻击失败的唯一原因是由于导致系统关闭的违规代码存在缺陷。如果恶意软件被正确写入，后果将不堪设想。 相信政治动机可能是这种攻击的原因，由于攻击代码的复杂性，相信背后有敌对政府支持。由于整个行业使用相同的工业控制器，因此担心可能会对其他化学加工设施发起相同的攻击。施耐德电气销售了超过 13000 套易于受到攻击的 Triconex 安全控制器系统。 软件分析显示，迄今尚未在任何其他系统上发现使用的代码。为了设计使用的恶意软件，开发人员能够提前访问 Triconex 安全系统组件以进行测试几乎是必不可少的。调查人员表示，所需零件在 eBay 上的价格约为 4 万美元。 美国政府实体和私人安全公司Mandiant仍然在处理这一事件。国家安全局，联邦调查局，国土安全部以及国防高级研究计划局（DARPA）都在努力收集尽可能多的信息。虽然关于攻击实际如何工作的信息很少，但相信恶意代码可以被远程注入，从而使得另一次攻击的威胁很高。 稿源：cnBeta，封面源自网络

外媒 3 月 14 日消息，上周在俄罗斯和欧洲中部地区发生了大规模的恶意软件入侵事件， 几个小时内就有接近 50 万台的计算机受到加密货币挖掘软件的感染。虽然当时微软没有立即说明造成该事件的具体原因，不过却在近日透露这是由于 BitTorrent 客户端的后台版本 MediaGet 引起的。 根据微软方面的说法，攻击者针对 MediaGet BitTorrent 软件的更新机制，将其木马化的版本（mediaget.exe）推送到用户的计算机上。这个新的 mediaget.exe 程序与原始程序具有相同的功能，但是却具有额外的后门功能。 一旦用户更新，具有额外后门功能的恶意 BitTorrent 软件将会随机连接到其分布式 Namecoin 网络基础架构上的一个命令与控制（C＆C）服务器（共四个服务器），并监听新的命令。随后，恶意软件立即从 C＆C 服务器下载挖矿组件，开始利用受感染用户的计算机挖掘加密货币。除此之外，使用 C&C 服务器，攻击者还可以命令受感染的系统从远程 URL 下载和安装其他的恶意软件。 消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软刚刚刚宣布，加密货币挖矿类恶意软件，已经成为了当下增长的一项威胁。最新研究指出，自比特币价格在 2017 年出现暴涨以来，越来越多的犯罪分子将他们的注意力转向了加密数字货币，从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。微软通过 Windows Defender 收集的遥测数据得出了这项结论。 2017 年 9 月 – 2018 年 1 月间，平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测，这些挖矿类恶意软件，似乎是从勒索软件转移而来的： 有趣的是，在加密货币挖矿类恶意软件增长的同时、勒索软件的数量却有下降的趋势。 两者之间是否有必然的联系？网络犯罪分子是否已经将注意力转移到了加密货币的挖矿，并将之作为他们的主要收入来源？ 虽然他们不大可能在短期内完全放弃随机勒索，但是从加密货币挖矿类木马的增多形势来看，攻击者肯定在探索这种非法赚钱的新方法的可能性。 自去年 9 月以来，微软已经注意到，被拿来挖矿的企业计算机有大量增加的趋势。应用程序的恶意看似不大，但它们多数未经授权；甚至员工可以利用巨大的算力，来赚一笔快钱。 微软指出，只要启用“潜在不需要的应用程序防护”（PUA）功能，企业就能够很好地预防这类情况的发生。仅在今年 1 月，加密货币挖矿就占据了 PUA 拦截量的 6% 。 最后，微软推荐用户和企业使用 Microsoft Edge 浏览器、Windows Defender SmartScreen、以及 Windows Defender 反病毒软件，以减少来自恶意网站的攻击。 稿源：cnBeta，封面源自网络；

之前人们普遍认为 MacOS 是 Windows 10 的安全替代品，因为 Apple 的操作系统不会受到病毒的感染。就安全性而言，Windows 和 MacOS 的安全性之争现在已经不再那么有意义了，因为两个平台都受到越来越多的恶意软件的攻击。 根据 Malwarebytes 安全报告显示，去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%，并且今年年初发现了一共四个不同的重大安全漏洞。换句话说，MacOS 恶意软件在 2018 年的发展有可能持续增长，用户需要更加关注他们的网络安全。 Malwarebytes 以 OSX.MaMi 恶意软件为例，这种恶意软件试图引导用户互联网流量到钓鱼网站，并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot 再次损害 MacOS 的安全性，正在运行苹果桌面操作系统的用户应该更加谨慎针，不要从不受信任的来源打开内容或访问他们不知道的网站。 Malwarebytes 表示，普通的 Mac 用户无法抵御恶意软件感染，更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性，因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此，苹果有望减少对新功能的关注，并花更多时间提升安全性和性能。 稿源：cnBeta，封面源自网络  

外媒 3 月6 日消息，Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件，它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板，并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址，达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币（其中包括 比特币、莱特币、门罗币和以太坊），还可以针对其他数字支付系统，如 Qiwi、Yandex Money 和 WebMoney（美元和卢布支付）。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件，当用户打开这个 PDF 时，附件中一个试图利用 DirectX 漏洞（CVE-2017-8579 ）的 RTF 文件也将被打开。研究人员发现，该 RTF 文件引用了嵌 入式远程对象（一个包含编码 PowerShell 命令的 HTA 文件）。一旦从远程服务器获取到，该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件（SFX）。这时感染过程还并未结束，只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后，才能成功提取 ComboJack ，而为了实现持久性，ComboJack 还会设置一个注册表项。 这些步骤完成后，ComboJack 将开始每半秒检查一次剪贴板的内容，以确定是否复制了不同数字货币的钱包信息。一旦成功捕获，ComboJack 将会使用硬编码数据来替换钱包地址，并试图将资金转移到目标钱包。 研究人员分析指出，这种攻击策略依赖于钱包地址冗长而复杂，因为为了防止错误，大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨，未来可能会出现越来越多针对虚拟货币的恶意软件，因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源：securityweek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 12 日消息，来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出，该恶意软件能够收集目标应用程序的大量敏感数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃，不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的，该活动使用了一系列木马化的 Android 应用程序，旨在从受害者的移动设备中窃取敏感数据。 据悉，在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的？ 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本，具体流程是：从合法的应用程序开始，在重新构建 apk 之前注入恶意代码。一般来说，目标应用程序属于特定类别，例如社交聊天应用程序（Whatsapp、Telegram、Primo）、安全聊天应用程序（Signal、Threema）或与安全导航相关的软件（Orbot，Psiphon）。 在恶意软件制作成功之后，攻击者利用社交工程技术欺骗受害者安装恶意软件，比如使用 SMS、Facebook 消息或 Facebook 帖子，诱骗受害用户通过特定网址下载新版流行的应用程序，目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后，攻击者利用恶意应用程序收集大量数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 以下为该木马的具体功能： – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口，以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见： < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据媒体 1 月 31 日报道，“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络，它也被称为 Ismo ，它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称，这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露，据报道，这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实，Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑，每天大约会挖掘 24 个门罗币。到目前为止，据报道，“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币，约合 210 万美元。研究人员说，在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据，网络犯罪分子瞄准的是易受攻击的 Windows 系统，也使用了一种被泄露的 NSA 协议，叫做 EsteemAudit 。 根据 thehackernews.com 网站，专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到，但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样，通过在线广告进行大规模的门罗币挖掘恶意软件攻击，主要是由于有争议的加密货币挖掘和广告平台 cove，影响了全球范围内的大量用户和在线业务，包括 Youtube。 稿源：九个亿财经，封面源自网络；

外媒 1 月 31 日消息，澳大利亚警方于近期逮捕了一名 37 岁的男子，因其在去年 5 月至 7 月期间入侵了共享汽车 GoGet 公司的服务系统。据警方表示，该名男子通过非法访问 GoGet 的车队预订系统，下载客户的重要信息（其中包括姓名、住址、电子邮件地址、电话号码、出生日期、驾驶执照、以及 GoGet 管理帐户中的详细信息等）。此外，警方还指控该男子在此期间盗窃了 33 辆汽车。 该男子名为 Cubrilovic，在 2011 年是安全界的突出人物，因为他揭露了 Facebook 的隐私漏洞。其次，在线存储新创公司 Omnidrive 也是由他在 2004 年创立。 有趣的是，调查显示 Cubrilovic 入侵 GoGet 的主要目的是为了免费使用汽车。不光如此，警察还调查到 GoGet 的服务器上存有收集用户信用卡详细信息的恶意软件 。目前警方正在确认是否是该名男子安装了这款恶意软件。 距离事件发生时间七个多月后， GoGet 公司于本周三（1 月 31 日）上午在其电子邮件中向客户道歉，并承诺客户密码以及信用卡的具体信息没有受到影响。澳大利亚警方在近期一份声明中表示，目前尚无客户敏感信息被传播或出现欺诈活动的情况，此案件还在进一步调查中。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯安全公司卡巴斯基实验室本周三发布的一份安全报告称，去年谷歌安卓系统用户中至少有 120 万人遭遇到了色情内容相关的恶意软件，这是安卓设备上感染恶意软件用户总数 490 万人的四分之一。 使用色情内容吸引不知情的受害者点击恶意软件是一个普遍的伎俩，一个黑客团伙使用虚构色情应用在 2017 年在 100 万个安卓手机中盗取了约 89.2 万美元的总额，9 万个机器人构成的僵尸网络在推特中散布色情垃圾信息。卡巴斯基实验室的研究人员称他们几乎在成人网络内容诞生的第一天就看到色情内容，被作为散播恶意软件的诱饵。 在桌面的，卡巴斯基研究者发现色情相关恶意软件感染约 30 万次，比起移动设备发生的相关感染来说非常苍白。研究团队发现了网络上有 23 种针对安卓设备的不同的恶意软件，他们都非常依赖以色情内容作为诱饵。包括勒索病毒、木马等。谷歌拒绝就此置评，因为卡巴斯基的这项结论并未包括任何苹果 iOS 系统设备。 稿源：cnBeta.COM，封面源自网络

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动，旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月，涉及全球系统数量约达 3000 万，最受影响的国家有泰国（3,545,437），越南（1,830,065）和土耳其（665,058）。 据安全专家介绍，攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时，只要用户点击链接就会被重定向，随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大，因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件，其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称，可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件，并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外，研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍，去年 10 月 20 日是该货币挖掘行动的一个里程碑，在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。（注意：一般情况下，最终的 playload 主要是由 “ msvc.exe ” 安装的。） 在 10 月 20 日之后，安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起，攻击者改变了恶意软件的攻击策略： 他们不再使用 SFX 文件，而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件，该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项，以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬，攻击者改变了用来部署恶意软件的 dropper： 在放弃 . NET 之后，他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是，这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中，目的是为了获得持久性 。 令人奇怪的是，规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意，相关安全专家认为这种情况很是反常。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。