研究显示，任何恶意程序的源码在线泄露后，都会引发大量非技术网络犯罪分子对用户发起恶意攻击。近期，新型木马 Nuclear Bot 源码在线泄露，或引发针对银行服务的攻击指数上升。 2016 年 12 月，Nuclear Bot 以 2,500 美元价格首次在网络黑市中出售。该恶意软件不仅可以从 Firefox、Internet Explorer 或 Chrome 打开的网站中窃取信息，还能利用本地代理或隐藏的远程桌面服务。这些是银行木马最常见的特征，攻击者通常试图绕过银行网站的安全检查，以便进行网络欺诈。 IBM 研究人员在过去几个月里一直密切关注着木马 Nuclear Bot 行踪并公开揭露黑客 Gosya 是 Nuclear Bot 木马的创建者。此番做法无疑打破了网络犯罪界的潜在规则，导致该黑客失去原有名望还被打上“骗子”的标签。 IBM 研究人员注意到，该黑客不仅没有向论坛管理员或潜在买家提供软件的测试版本，甚至也未使用同一名称在论坛上传播该恶意软件。如今 Gosya 为恢复网络界的信任选择主动泄漏 Nuclear Bot 源代码。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，卡巴斯基应急响应团队 ICS CERT 基于 2016 下半年收集的数据，发布了一份有关工业自动化系统（ ICS ）的威胁形势分析报告。 卡巴斯基在全球范围内部署的安全解决方案已阻止逾 39％ 受保护的工业系统免受各类攻击，其中包括监控和数据采集（ SCADA ）系统、数据存储服务器（ Historian ）、数据网关（ OPC ）、工程师和运营工作站以及人机界面（ HMI ）。卡巴斯基于 2016 下半年检测到每月至少有 20％ 的网络攻击是针对工业计算机进行的，其中互联网（ 22％ ）、可移动媒体（ 11％ ）和电子邮件（ 8％ ）等成为主要互联网攻击媒介。 卡巴斯基指出，网络管理员、开发人员和承包商使用的设备通常自由联网容易遭受攻击，而操作网络（ OT ）上的固定工作站不具备永久在线联网功能则相对安全。 调查表明，黑客组织主要攻击目标包括中国、越南、伊朗、印度等国家工业系统，而美国和西欧国家受到的攻击则少得多。 卡巴斯基由此发出警告，未来黑客组织针对各国工业系统的攻击活动将越来越频繁，攻击手段包括利用恶意软件和定制化威胁等。据悉，卡巴斯基曾检测到一次涉及全球 50 多个国家的 500 多家公司的钓鱼攻击行动，该行动主要针对冶金、电力、建筑等工业公司，依赖于恶意软件感染的企业邮件窃取帐户凭据。直至今日该攻击行动仍未停止。 至于非目标攻击，卡巴斯基在工业系统上的 2000 多个恶意软件家族中发现了约 20,000 个变种。虽然多数威胁来源于木马，但研究人员也发现蠕虫、病毒、漏洞和勒索软件等攻击方法。 卡巴斯基专家在过去几个月中发现 ICS 产品中存在大量漏洞。2016 年，研究人员表示 ICS 产品中存在 75 个漏洞，其中 58 个被标为高危漏洞。截至 2017 年 3 月，只有 30 个漏洞已被修复。 卡巴斯基将在下周在圣马丁举办年度安全分析师会议（ SAS ），并将于下个月的新加坡 ICS 网络安全会议上概述工业行业网络威胁形势。 原作者：Eduard Kovacs， 译者：青楚    本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，黑客组织 El Machete 使用定制恶意软件面向全球知名国际政府机构发起攻击，并通过社工方式传播蔓延。目前，该黑客组织已窃取数据逾 100 GB。 研究人员称，尽管 El Machete 将拉丁美洲锁定为主要攻击目标，但加拿大、英国、德国、韩国、俄罗斯、乌克兰和美国等政府机构也纷纷受其影响。据卡巴斯基实验室研究人员介绍，该黑客组织自 2014 年以来一直处于活跃状态，其最早活动时间可追溯至 2012 年。 Cylance 研究人员表示，El Machete 采用的恶意软件主要依赖于 Windows API（ 应用程序编程接口 ），旨在逃避传统防病毒程序检测。过去几年间，El Machete 开展的网络间谍活动可谓畅通无阻。尽管公开可用的防御系统中包含诸多威胁识别指标，但多数杀毒解决方案的检出率仍非常低。 据悉，El Machete 仍在不断加强自身网络攻防能力，而此举无疑会使相关国家受到威胁。此外，许多国家的内部网络能力尚未获得提升，亦有可能被黑客组织列为攻击目标。 原作者：India Ashok， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全专家近日发现了新型恶意程序，利用防病毒软件来攻击计算机。来自 Cybellum 的安全专家发现了这种新型病毒，并将这种攻击手段命名为 DoubleAgent。 DoubleAgent 通过注入代码从而修改防病毒软件，进而获得完整权限来接管受害者电脑。 DoubleAgent 利用了存在于 Microsoft Application Verifier 的一个 15 年漏洞，从 XP 到 Windows 10 所有 Windows 版本都受到了影响。Microsoft Application Verifier 通常用于寻找 Windows 应用中的 BUG。 安全专家已经找到了他们的攻击方式，因此他们能够劫持软件并做任何他们想要做的事情。在 DoubleAgent 成功攻击防病毒软件之后，攻击者还能进行远程关闭防病毒软件，从而在受害者不知情的情况下安装恶意程序。 根据研究人员表示，McAfee , Kaspersky , Norton 和 Avast 软件都存在安全漏洞。病毒公司 Malwarebytes 已经提供了安全防部，而趋势科技计划在近期内发布更新。 稿源：cnBeta， 封面源自网络

Check Point 软件技术公司的安全研究人员发现中国黑客进一步加强了 Smishing(短信诈骗)  攻击水平，肆意使用假基站发送伪造短信传播安卓银行恶意软件“ Swearing Trojan ”。 smishing (短信诈骗)是指用类似于网络钓鱼的社会工程学技术实施犯罪行为的一种形式，名字来源于 SMs phishing(短信息服务诈骗)。（有道翻译） 据报道，犯罪分子将短信的来源伪装成中国移动和中国联通两大运营商，然后通过安装在移动基站上的设备发送虚假信息，诱导用户下载恶意应用程序到智能手机，窃取受害者敏感信息。用户一旦下载安装恶意应用程序，恶意软件 Swearing Trojan 会立即向受害者的联系人自动发送网络诈骗短信传播恶意软件。 调查表明，为避免任何恶意行为的检测，Swearing Trojan 不连接任何远程命令和控制（ C＆C ）服务器。相反，它使用短信或电子邮件方式将盗窃数据发送给黑客，不仅提供了良好的通信覆盖，还阻止了恶意行为的追踪。目前，该恶意软件主要针对中国用户，但 Check Point 研究人员表示，倘若其他地区攻击者采取该恶意软件行为可能会在全球范围内迅速蔓延。 原作者：Swati Khandelwal， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C＆C 服务器的 URL 恶意代码，与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接，引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在，被称为“ 通用模块化的网络间谍工具包 ”，允许黑客利用恶意代码进行操作 。2015 年，世界知名安全公司 ESET 首次对其进行详细分析，根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示，该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散，攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明，恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译，并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示，它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程，并将其替换为恶意代码。随后，该恶意软件联系 C＆C 服务器，向其发送受感染计算机的信息。一旦初始阶段完成，它将指挥控制其服务器，并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能，还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是，由于 C＆C 服务器在 Arbor Networks 进行分析时处于离线状态，研究人员没能获取可用插件信息。 据研究人员称，Potao 木马和 Acronym 恶意软件不仅使用相同的 C＆C 基础设施，而且在同一端口上联系 C＆C 域，并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构，但它们之间还是存在着加密和传递机制的差异。 据专家称，现在评估 Acronym 在 Potao 行动里的发展状况还为时过早，但它确实与其存在着潜在联系。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，趋势科技发现了一种新的 PoS 机 恶意软件，命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码，目标主要针对北美和加拿大的业务。 专家表示，虽然 MajikPOS 与其他 PoS 恶意软件的功能相同，但其模块化的执行方法却是极其独特的。2013 年 1 月底，研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同，它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架”编写而成，并建立加密通信通道以规避检测。 MajikPOS 可通过攻击虚拟网络计算（ VNC ）和远程桌面协议（ RDP ）猜测密码，访问 PoS 系统。在某些情况下，网络罪犯分子利用 FTP 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上，恶意代码便会连接到 C＆C 服务器并接收具有三个条目的配置文件，以供稍后使用。 进一步研究发现，Magic Panel 服务器的注册人还注册了一些用于销售被盗信用卡数据的网站。Trend Micro 补充说：其中一些网站早在 2017 年 2 月就在名为“ MagicDumps ”的用户上进行了宣传，他们主要根据位置更新了垃圾网站的论坛 – 主要是美国和加拿大。 专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡，然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

看来一些网络犯罪分子正在针对星际迷航粉丝发动攻击，Avast 恶意软件研究员 Jakub Kroustek 发现一款新的勒索软件变种，以星际迷航当中人物 Kirk 的名字命名，这款勒索软件用 Python 编写的。被伪装为称为低轨道离子炮应用程序，后者是一款网络压力测试应用程序。 一旦执行，Kirk 将生成一个 AES 密码，用于加密受害者的文件，随后通过嵌入式 RSA-4096 加密密钥进行加密。接下来，受害者电脑将显示“ LOIC 正在为您的系统初始化…”这可能需要一些时间。在这一点上，Kirk 勒索软件默默地加密文件。据报告，恶意软件会影响 625 种文件类型，包括广泛使用的文件类型，例如 .mp3，.docx，.zip，.jpeg 和 .wma 等。此过程完成后，就会显示赎金通知。 典型的勒索软件通常会要求以比特币或 MoneyPak 作为付款，以解锁文件。然而，Kirk 勒索软件要求受害者以 Monero 付钱，它是类似于比特币的另一种安全加密货币。在前两天，它将要求受害者支付 50 Monero，相当于大约 1265 美元。它将每隔几天重复一次，如果在第 31 天没有付款，解密密钥将被永久删除。 犯罪分子承诺受害者在以 Monero 付款后，将名为 Spock 软件发送给受害者。到目前为止，没有任何方法来免费解密，也没有任何人受到这个勒索软件影响的报告。 稿源：cnBeta；封面源自网络

来自格拉茨科技大学的科学家团队揭示了一种新方法，可以从英特尔  SGX （软件防护扩展）enclaves 获取加密数据。 英特尔 SGX 是一组来自英特尔的新指令，它允许用户级代码分配专用区域的内存，称为 enclaves 。与正常的内存处理方法截然不同，它不仅受到了保护，也避免了高级权限运行的影响。 安全研究团队根据 PoC 开发的“超级恶意软件 ”表明，恶意软件攻击 enclaves 主机系统的可能性是存在的。他们也证实了在 enclaves 内的缓存攻击是根据其分离的加密密钥的定位所进行的。 研究人员表示，恶意软件能够通过监视 RSA 模块签名过程，利用高速缓存的访问模式来恢复 RSA 密钥，防止 enclaves 在读取或操纵内存时，遭受硬件的攻击。为了保护包围区代码的完整性，加载过程由 CPU 测量。如果得到的测量值与开发者指定的数值不匹配，CPU 将拒绝运行 enclaves 。 稿源：digitalmunition.me ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，日前，谷歌捣毁了一个巨大的 Android 恶意软件家族 Chamois。据这家公司披露，这些恶意软件已经感染了上百万台设备。 Chamois 是一个对 Android 设备展开大范围广告欺诈的恶意软件。谷歌安全软件工程师 Bernhard Grill、Megan Ruthven、Xin Zhao 在官博上指出，他们是在常规广告流量质量评估中发现了 Chamois。 工程师对那些基于 Chamois 开发而出的恶意软件展开了分析，他们发现这些软件能够通过数种途径避开检测并尝试欺诈用户，于是决定采用 Verify Apps 来屏蔽掉来自 Chamois 家族的恶意软件并将那些试图利用恶意软件破坏谷歌广告系统的人踢出去。 据了解，Chamois 恶意软件看起来并不会出现在设备的软件列表中，更别提去卸载，这时候 Verify Apps 就起到了作用。通过这套工具，用户可以检测到设备内可能对其存有危害的软件并将其删除。谷歌称，Chamois 是Android 生态系统迄今为止遇到过的最大的恶意软件家族之一，它能够通过多条途径传播。 Chamois 拥有大量令其特殊的功能，如它的代码会在 4 个不同的阶段使用不同的文件格式进行执行。这种多阶段的处理方式使得它变得更加复杂，而这意味着它们更难被发现。另外，Chamois 家族软件还能通过模糊化和反分析技术来躲开检测。此外，它们还能使用一套定制、加密的方式来储存配置文件。 谷歌方面表示，为了更好地了解 Chamois，他们对 10 万行复杂的代码展开了分析。不过目前，谷歌并未透露遭 Chamois 恶意软件感染的软件名字。 稿源：cnBeta，封面源自网络