在“暗网（Dark Web）” 上出现了两款针对 Mac 电脑的全新恶意软件，这两款 Mac 恶意软件分别是 MacSpy 和 MacRansom ，并通过 Maas 和 Raas 方式攻击。两款恶意软件来自一个开发者，安全公司 Fortinet 和 AlienVault 认为，这位开发者经验不足，并指出恶意软件缺少数字签名文件，这意味着标准安装的 macOS 可以躲开恶意软件。 MacSpy 的威胁并不大，但 MacRansom 非常危险，因为恶意软件有能力永久摧毁用户的文件。庆幸的是，MacSpy 和 MacRansom 目前都没有大规模传播，因为开发者要求购买者与其联系，并直接进行价格谈判。 不过，Mac 安全研究人员 Patrick Wardle 表示，越来越多的黑客将目标转移至苹果电脑。此外，macOS 和 iOS 用户的安全知识并不够，很有可能成为黑客的目标。虽然这次的 MacSpy 和 MacRansom 没有大规模的传播，但未来也许会有一款影响巨大的恶意软件或勒索软件出现。 针对 Mac 电脑的恶意软件在2016年增长了 744%，虽然大部分都是捆绑在软件中的广告插件。如果想要保持安全，安全专家建议用户在 Mac App Store 以及受信任的第三方开发者网站下载应用和程序。虽然苹果一直将 Mac 宣传为不会中毒的电脑，但Wardle 还是提醒苹果粉丝，不要掉以轻心，不能过于自信。 稿源：cnBeta、MacX，封面源自网络

据外媒 6 月 12 日报道，杀毒软件公司 ESET 研究人员发现一款新型恶意软件 Industroyer，旨在破坏工控系统（ ICS ）工作流程（ 特别是变电站 ICS ）。近期，研究人员发表详细报告并推测该恶意软件与发生在 2016 年 12 月的乌克兰变电站攻击事件有关。 Industroyer 是一款集成了后门、发射器、数据擦除工具，以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C＆C 服务器隐藏在 Tor 网络时，黑客可通过编程将其设定为指定时间内处于活跃状态，并有效规避安全软件检测。此外，该后门除了安装用于启动数据擦除器与负载的发射器组件外，还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。 数据擦除器组件用于攻击活动的最后阶段，以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器，实现工业通信协议。因此，ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载（例如：IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA）后发现黑客可在发动攻击时控制目标系统断路器。 根据工控安全公司 Dragos 提供的理论攻击描述，黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作，导致目标系统变电站频繁出现断电现象。此外，目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信，操作人员必须先用变电站扰乱通信后手动修复该问题。另外，黑客还可通过开启无限循环使断路器不断开关，触发保护机制、致使变电站关闭。 目前，ESET 与 Dragos 收集的证据均已证实，Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调，虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处，但部分组件概念却极其相同。 详细报告请戳 →《 WIN32/INDUSTROYER：A new threat for industrial control systems 》 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯反病毒软件公司 Dr.Web 近期发现了某个专门针对树莓派的 Linux 恶意软件来进行虚拟货币的挖矿行为。这个恶意软件通过脚本来扫描开放的 22 端口并利用树莓派默认账号密码连接 SSH。由于较老的树莓派设备默认的 SSH 账号和密码都是公开的， 因此当恶意软件扫描到开放了 22 号端口即可连接。 为了提高安全性自去年年底开始出货的新版树莓派设备已经默认关闭 SSH 并强制用户更改账号和默认的密码。然而较老的树莓派设备并未更新其系统因此账号密码依然是默认的， 这让具有针对性的恶意软件有可乘之机。树莓派官方称目前全球至少还有数百万台树莓派设备并未主动升级到官方发布的最新版的树莓派操作系统中。 恶意软件的行为： 当 Linux.MulDrop.14 成功感染树莓派设备后会下载其他配套软件用来挖掘目前存在的各种虚拟货币（挖矿）。尽管当前虚拟货币龙头老大是市价已经达到两万元的比特币，但由于挖掘难度非常大因此恶意软件并未挖掘。即便是非常庞大的树莓派僵尸网络用来挖掘比特币也没有多少收益，因此恶意软件转向挖掘难度低的山寨币。 2016 年时国内知名的播放器响巢看看（原迅雷看看）就私自在用户电脑上安装挖矿软件用来挖掘以太坊ETC。而部分恶意软件甚至看中了Android设备利用庞大的Android设备来挖掘其他类型的山寨币用来出售并获利。 应对策略： 针对此问题用户解决的方案其实非常的简单，绝大多数用户可能完全用不上外部 SSH 连接因此直接关闭即可。同时无论如何用户都应该修改掉默认的账户密码防止被爆破，当然为了安全起见升级版本才是最重要的事情。使用树莓派的用户可以直接选择在系统中进行更新，更新之后系统将会强制要求用户变更默认的账号和密码。 稿源：cnBeta、蓝点网，封面源自网络

据外媒 10 日报道，趋势科技（ Trend Micro ）安全研究人员发现物联网（ IoT ）僵尸网络 Persirai 针对 1000 多种 IP 摄像机模型展开攻击。目前至少 120,000 台 IP 摄像机已遭受网络攻击，而多数受害者未能察觉自身设备暴露于互联网之中。 研究人员表示，攻击者利用新型恶意软件通过 TCP 端口 81 可轻松访问 IP 摄像机 Web 界面。一旦攻击者登录受感染设备 Web 界面，即可强制 IP 摄像机连接恶意网站并自行下载执行恶意 shell 脚本。 调查显示，恶意软件将在 IP 摄像机下载执行脚本后自行删除并仅在内存中运行。有趣的是，该恶意软件会阻止 0day 攻击以防御其他黑客再度攻击已被感染的 IP 摄像机。此外，受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的零日漏洞攻击其他 IP 摄像机。 趋势科技表示，C＆C 服务器被发现使用 .IR 地址代码。据悉，该代码由一家伊朗研究机构管理，且仅限伊朗人使用。此外，代码中还存在一些特殊波斯字符。 原作者：Hyacinth Mascarenhas， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 5 月 9 日报道，安全公司 Cylance 防御产品近期检测到一款难以划分类别的新型恶意软件“Infostealer Paipeu”，疑似直接反向连接韩国 IP 地址向目标用户发起攻击。 调查显示，恶意软件可通过 443 端口发送包含特定字符串的 HTTP 头、以及包含特殊数据的 POST 请求，倘若目标系统缺少 “ 有趣 ” 响应，恶意软件将会立即退出并且不会对系统做出显著更改。研究人员表示，一旦恶意软件感染目标系统，便会开始收集并发送信息，主要包括本地计算机 NetBIOS 名称、系统区域设置的语言标识符、可用磁盘空间、指定终端服务器上的活动进程、指定本地组成员列表等。此外，恶意软件还可添加用户账户、分配密码与权限级别。 据悉，Infostealer Paipeu 的亮点在于可使用命名管道并启用 NULL 会话管道直接传输信息，常用于主机上不同恶意软件之间或局域网内受感染系统之间的通信。不仅如此，该恶意软件还可转储哈希密码。样本中嵌有 32 位与 64 位 pwdump dll 文件各一。Cylance 表示，恶意软件 Infostealer Paipeu 刚被编制 2 天就被研究人员检测发现，加之无法将其归类至任何已知恶意软件家族的事实表明，这是一起有针对性的网络攻击事件。 原作者：Gabriela Vatu， 译者：青楚 ，译审：游弋     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

密西根大学安全研究人员发现 Google 商店数百款应用程序存在安全漏洞，黑客可利用移动设备创建虫洞漏洞窃取安全凭证、隐私数据等、甚至可在众多 Android 设备上传送恶意代码。专家强调，不安全的移动应用程序使数百万智能手机开放端口面临安全风险。 报道称，这一漏洞将会影响开放端口的所有应用程序，并且由于开发团队不安全的编码习惯而无法正确管理这些应用程序。对此研究人员设计了一款名为 OPAnalyzer 的工具，通过扫描市面上超过 100,000 个 Android 应用程序发现有 410 个存在安全威胁，最终确认了 57 个应用程序的漏洞。 调查显示，这些应用程序已被下载 10 万 – 5000 万次，潜在影响较为严重，而其中至少有一款移动应用程序属于手机预装软件。安全专家发布的研究论文中表示这些漏洞或被利用于远程窃取私人信息、安全凭证或执行敏感操作（如安装和执行恶意代码等）。 原作者：Pierluigi Paganini， 译者：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2016 年 macOS 上的恶意软件增长了 744%，不过大部分都只是恶意广告。近期，CheckPoint 的安全研究人员发现了一款非常恶劣的 macOS 恶意软件，这款恶意软件可以监听所有的互联网通信，包括安全网站。 恶意软件的名称为 OSX/Dok，并且无法被苹果 Gatekeeper 发现。被 OSX/Dok 感染的 Mac 只有安装虚假的 OS X 升级，否则无法执行任何操作。 OSX/Dok 采用钓鱼攻击，受害者会收到谎称来自税务局的邮件，并要求他们在附件中填入自己的详细信息。这款恶意软件会将自己加入启动项，名称为 AppStore，这意味着每次及其启动后，恶意软件都会自动运行。 据悉，当用户每次访问互联网，使用 https 连接访问安全服务器等，都会被监控。Gatekeeper 安全功能无法抵抗 OSX/Dok 的原因是，这款恶意软件有合格的开发者证书。 稿源：cnBeta；封面源自网络

根据安全公司 G Date 近日公布的调查数据，Android 平台已经成为了网络犯罪的重灾区，仅仅在 2017 年第 1 季度就发现了 75 万款全新的 Android 恶意软件应用，这意味着平均每天有 8400 款新恶意程序出现。公司预期到今年年底将会有超过 350 万款新 Android 恶意软件，而去年发现的恶意软件数量为 325 万款。 不过在这份报告中也提供了一些值得肯定的新变化，Android 设备能够扫描检测出越来越多的恶意文件，不过对于 Android 智能手机和平板用户来说受到的安全威胁依然非常严峻。 公司还指出导致问题的关键之一是部分旧型号设备无法升级至最新的 Android 版本。事实上根据 Google 官方提供的信息只有 4.9% 的智能手机和平板用户升级 Android 7.0 Nougat 系统，运行 Android 6.0 Marshmallow 的设备超过 31%，Android 5.0 Lollipop 的设备超过 32%。还有 20% 的设备运行 Android KitKat。 公司表示：“问题是第三方手机厂商并不会为旧型号设备提供最新操作系统更新（这里的旧设备是指1年以上的设备）。而且厂商提供版本更新的周期往往非常缓慢。” 稿源：cnBeta；封面源自网络

据外媒 25 日报道，Check Point 网络安全研究人员发现一款隐藏在 Pokemon GO 与 FIFA Mobile 等 40 多种盗版流行游戏指南应用程序中的恶意软件 FalseGuide 。目前，Google Play 官方应用商店约 60 万 Android 用户已被成功诱导安装该恶意软件。 研究人员开始认为盗版指南最早于今年 2 月上传至 Google Play 应用商店，经过深入调研后发现其实类似应用程序早在 2016 年 11 月就已存在。初期数据显示，恶意软件 FalseGuide 已感染超过 60 万用户设备，而目前已有 200 万 Android 用户设备遭受感染。据悉，所有受害者都在找寻喜爱的游戏指南时不幸中招。 FalseGuide 在受感染设备中悄然创建一个用于传播广告软件的僵尸网络并在安装过程中请求设备管理员权限以避免检测。报告显示，恶意软件将自身注册成与应用程序名称相同的 Firebase Cloud Messaging 主题。一旦该主题被订阅，FalseGuide 将接收包含跳转至其他模块链接的消息并下载模块至受感染设备。 调查发现，僵尸网络通过后台服务显示非法弹出式广告。一旦设备启动，恶意软件当即运行。根据攻击者的目标，这些模块可能包含高强度恶意代码，可用于 root 设备、发起 DDoS 攻击，甚至渗透私有网络。据悉，此类盗版应用程序包括 FIFA Mobile、 Lego Nexo Knights、Lego City My City、Rolling Sky 等。 研究人员指出，移动僵尸网络自去年年初以来呈显著增长趋势。这种恶意软件通过首个组件的非恶意属性渗透 Google Play 应用商店，仅下载实际有害代码。目前，FalseGuide 已被从 Google Play 应用商店移除。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国商业销售监控软件 FlexiSpy 可被安装至手机并用于监视配偶、孩子、伴侣或员工私生活。目前，黑客组织已全面入侵该公司内部系统、窃取敏感信息并向所有监控软件制造商宣战。 FlexiSpy 是诸多令人毛骨悚然的监控软件之一，为偏执狂们独有的监控与偷窥嗜好提供合法边界代码。 代号为“ Deceptions ”（霸天虎）的疑似巴西黑客组织表示，他们可以轻易渗透 FlexiSpy 系统、窃取其源代码与其他文件并擦除多台服务器访问记录。目前，源代码已在网上泄漏，而该黑客组织也表示坚持立场、积极备战。 从黑客获取的源代码判断，一旦 FlexiSpy 软件被悄然安装至受害者设备，就会通过往来通话记录与短信跟踪设备位置。此外，它还将记录 WhatsApp 与 Tinder 应用程序之间的交互。最终，这些情报都将被反馈给多疑的配偶或老板。这简直可以称得上是牵涉到隐私与心理学的一场噩梦。据悉，FlexiSpy 间谍软件可在 Android、iOS、Windows PC与Apple Mac 上运行。 为了渗透开发人员服务器，黑客们甚至动用了古老的密码安全性技术。攻击者企图对公司网站 SQL 注入 FlexiSpy 间谍软件，后发现仅凭用户名 “ test ” 与密码 “ test ” 就可以访问一台开发设备。 攻击者成功入侵用户帐户后便开始颠覆内部网络，一举攻陷 FlexiSpy 客户数据库，并随之发现运行 SSH 服务的多台设备、一台 Microsoft Exchange 服务器、部分 RDP 可访问系统，若干 Web 服务器与一台 CRM 服务器。此外，他们还发现密码 tcpip123 属于那台 CRM 服务器并由此获得管理员帐户访问权限。黑客组织表示，FlexiSpy 并未提供任何安全防御。为尽可能获得更多不同的访问点，他们将 Tor 部署至 Linux 基础架构中并将每台服务器的 SSHd 设置为隐藏服务。 调查表明，黑客组织已擦除 FlexiSpy 系统数据、利用窃取到的凭证登录 Cloudflare、Rackspace 与 Amazon 帐户并销毁所有蛛丝马迹。最后，他们还将 FlexiSpy 域名重定向至 Privacy International。 FlexiSpy 尚未对此事作出任何回应，仅于 4 月 16 日通过 Facebook 页面向客户发表道歉声明。同时，另一个监控软件供应商 Retina-X 显然也遭受类似黑客攻击。截至目前，黑客已成功获取多达 13 万条 Retina-X 与 FlexiSpy 客户记录，但开发人员仍未针对相关安全漏洞发出任何警示。 原作者： Iain Thomson，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。