以色列本古里安大学网络安全研究中心的科研人员近日成功研发出了新型恶意程序，能够通过相对高速的硬盘 LED 指示灯窃取密码和加密密钥等数据。目前计算机受到的攻击都来自网络，而这种方式在离线状态下也能发起攻击。 科研人员研发的这款恶意程序能够以每秒 5800 次的速度不断闪烁，通过这款恶意软件能够对敏感数据进行编码，通过不断闪烁的 LED 指示灯传递给其他硬盘上。科研人员将这款恶意程序称之为 LED-it-GO （PDF）。 为了接收机械硬盘 LED 编码的数据，科研人员使用无人机和包含相机的其他设备进行传输，通过这项技术能够每秒传输 4000 bits 的文件容量。科研人员表示相比较依赖于光学发射的 air-gap 隐蔽渠道要快 10 倍。而且科研人员表示各种新型的信息窃取方式已经涌现，例如通过 PC 的音响、风扇的速度和发出的热量等等。 稿源：cnBeta，封面源自网络

近日，部分谷歌 Chrome 浏览器用户遭遇到了新的黑客诈骗攻击方式，安全专家提醒各位用户提高警惕。网络安全公司 NeoSmart Technologies 首先在一家 WordPress 架构的网站发现此类陷阱式攻击方式，WordPress 最新版本存在着问题让用户无法及时更新安全补丁，为黑客留下了可乘之机。 此类攻击隐藏的非常好，JS 脚本首先将会篡改被感染的 WP 网站文本渲染呈现方式，导致用户在使用 Chrome 时看上去非常混乱，随后脚本会提示用户缺乏某个特定字体，建议用户升级 Chrome 字体包来解决问题，但下载的字体文件其实含有恶意软件。弹出的对话窗口看上去非常逼真，其甚至巧妙地模仿了按钮按下时的阴影高光细节。 当然，这种骗局也有破绽：首先他仅会提示你正在使用 Chrome 53 版本（非该版本的用户也会如此提升），另外信息提示你会下载“ Chrome_Font.exe ”，但是实际下载的文件名为“ Chrome Font v7.5.1.exe ”。目前谷歌尚未将该文件标识为“恶意软件”，用户需要特别注意。 稿源：cnbeta，有删改，封面来源于网络

作为色情网站中的佼佼者，P**hub 显然备受各类病毒 / 欺诈钓鱼 / 恶意软件制作者们的青睐。网络安全公司 ESET 的研究人员刚刚发现，一轮针对毫无戒心的受害者的网络攻击正在兴起，而它们的主要手段，就是将自己伪装成知名的 P**hub Android 移动应用程序。这家反病毒软件公司称，虽然谷歌会不时从 Play Store 上撤下恶意软件，但仍然难以杜绝李鬼们的登场。 P**hub 确实有一款官方 Android 应用，但当前它在 Play Store 上处于不可用的状态。因为谷歌禁止色情应用在自家软件分发平台上出现，导致用户不得不通过第三方途径寻找“替代品”，然而这是一个充满了危机的旅程。 一旦被安装，这款恶意应用会先拒绝点播任何视频，除非它先“执行病毒检查”。但你别以为它有那么好心，因其实际上在偷偷地安装会锁住用户设备的勒索软件。到了这一步，这款恶意 P**hub 应用终于暴露了自己的真面目，勒索用户交出价值 100 美元比特币的赎金。 不过 ESET 也发布了一份自救指南（仅供参考）： ● 首先将以‘安全模式’启动设备 — 此时第三方应用已被即刻阻止 — 以便用户轻松清除恶意软件； ● 其次如果恶意应用已被授予了设备管理员权限，请务必在删除该 app 前撤销它的权限。 ● 如果恶意软件篡改了设备的锁屏功能，自救操作就更加复杂，或许需要通过谷歌的‘安卓设备管理器’（或其它替代解决方案）来重置锁屏。 ● 为防以上措施均未起效，最后的大招是通过‘恢复出厂设置’功能彻底重置手机。 稿源：cnBeta；封面源自网络（PS）

安全研究员上周末发现了一个新的网络间谍活动，旨在传播恶意软件 TeamSpy ，以便获得对目标计算机的访问权限，而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过，当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期，恶意软件 TeamSpy 又开始活跃起来，攻击者利用社会工程学诱骗受害者安装软件，并通过 DLL 劫持技术保持隐蔽性，使用合法的远程访问工具 TeamViewer 执行未经授权的操作。 DLL 劫持技术 DLL 文件为动态链接库文件，当一个程序运行时，Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL，如果没找到，则在系统目录中查找，最后才是在环境变量目录中查找。 攻击者将在程序目录下伪造 DLL 的同名函数，这样程序将优先调用伪造的 DLL 文件，先执行伪造文件中的恶意代码，处理完毕后，再调用原 DLL 文件。 攻击者发送的网络钓鱼邮件中包含一个 zip 附件，当受害者打开压缩包的同时将执行附带的 exe 文件，如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ，并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证，攻击者可访问计算机上未被加密的内容。 目前，大多数杀毒软件还无法检测到恶意软件 TeamSpy ，它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出，如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据安全公司 CheckPoint 报道，2017 年第一季度恶意软件排名发生了些变化。恶意软件 Kelihos 上升到榜首位置，Conficker 蠕虫下降到第四名。惊人的是，8 年前的恶意软件 Conficker 仍然仍然是 2016 年最活跃的恶意软件系列之一。 Kelihos 是一种用于比特币盗窃的僵尸网络，全球有 5％ 的组织受其影响。其次是 HackerDefender 和 Cryptowall 排在第二和第三名位置分别影响 4.5％ 的组织。另外还有 Conficker 、Nemucod 、RookieUA、Nivdort、Zeus 、Ramnit、Necurs。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

虽然 Mac 恶意软件很罕见，但这并不表示 macOS 系统能完全免疫。外媒 Ars Technica 报道称，研究人员已经发现了一款新型 macOS 病毒，它使的都是曾经在 Windows 平台上耍过的“老伎俩”，利用了 Word 文档的“宏”（macro）功能来隐藏和执行恶意代码。 攻击者会引诱粗心的用户打开已被感染的 Word 文档，恶意软件会在加载恶意宏文件后被立即执行。万幸的是，识别这些受感染文件并不困难，因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求，但只要在这一步刹住车，就可以阻止恶意软件的传播。但是万一，你还是“手滑”点击了“运行”，那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染（下载额外的恶意软件）。 昨天，本站也报道了一款来自伊朗的 macOS 恶意软件 MacDownloader ，伪装成虚假的软件更新，然后开始窃取用户的 Keychain，通过钓鱼手段骗得用户名和密码（以及其它凭证），最终将数据传回给攻击者。 对于 macOS 用户来说，避免此类攻击的最佳方式，就是慎从第三方或不被信任的网站下载软件，而是直接前往苹果 App Store、或者应用程序制作者的官方网站。 稿源：cnbeta，有删改，封面来源于网络

安全研究人员最近发现了一款来自伊朗的 macOS 恶意软件 MacDownloader ，企图攻击与美国国防工业相关的个人和企业。研究人员在一个冒充是美国航空航天公司“联合科技公司（ United Technologies Corporation ）”的网站中发现这个恶意软件。该网站声称可提供“特殊项目和课程”，试图吸引潜在的攻击对象。此前该网站曾被用于传播 Windows 恶意软件。 目前访问该网站的访客会被恶意 Windows 或 MacOS 攻击，取决于访客使用的操作系统。如果是 MacDownloader，它会创建一个虚假的 Adobe Flash Player 对话提供 Flash 播放器的升级，或者是关闭窗口。研究人员表示 MacDownloader 起初伪装成一个虚假病毒删除工具，后来才重新包装成虚假 Flash Player 更新。 恶意软件会收集 Mac 用户数据将 Keychain 发送到攻击者服务器上。它还能够给出一个虚假的系统偏好对话框，骗取用户名和密码，用于访问加密的 Keychain 数据。 除了攻击美国国防工业之外，据悉该恶意软件还曾攻击过一位维护人权的人士，也就是说黑客还可以用这款恶意软件来攻击其他他们感兴趣的社区。 稿源：cnbeta，有删改，封面来源于网络

安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。 Windows 木马传播恶意软件 Mirai 该 Windows 木马被称为 Trojan.Mirai.1 ，其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写，用于扫描指定范围 IP 地址的 TCP 端口，以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件（ wpd.dat ）、提取 IP 地址列表，并对设备多个端口进行扫描。如果感染设备运行 Linux 操作系统，它将执行一系列命令将其纳入 Mirai 僵尸网络，如果感染设备运行 Windows 系统，它将潜伏下来并继续传播寻找新目标。 Mirai Windows 版本针对更多端口 22 – Telnet 23 – SSH 135 – DCE/RPC 445 – Active Directory 1433 – MSSQL 3306 – MySQL 3389 – RDP 值得注意的是，木马虽然扫描 3389 端口但不通过 RDP 协议连接设备执行指令，而是通过 Telnet 、SSH 等端口连接到 Linux 设备，执行相关操作。 此外，木马还执行其他恶意操作。如果被攻击的计算机含有数据库管理系统 Microsoft SQL Server ，它将创建登录名：Mssqla 密码：Bus3456#qwein ，以管理员权限执行窃取数据等恶意操作。 以下是 Trojan.Mirai.1 的 SHA1 9575d5edb955e8e57d5886e1cf93f54f52912238 f97e8145e1e818f17779a8b136370c24da67a6a5 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e 938715263e1e24f3e3d82d72b4e1d2b60ab187b8 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

安全研究人员警告，世界各地的一百多家银行和金融机构感染了一种危险的复杂的恶意软件，几乎检测不到。俄罗斯安全公司卡巴斯基实验室周三详细介绍了他们的一些调查结果，表明一个或多个黑客群体针对至少 140 家银行和组织进行了这种攻击，旨在盗取凭证和金钱。 这种恶意软件特别狡猾，因为它属于一类“无文件”软件攻击程序，它完全存在于设备的内存中，几乎没有任何痕迹。这种类型的恶意软件不是全新的，但它的日益普及让安全研究人员和网络管理员非常担心，这种类型的恶意软件越来越受到网络犯罪分子的欢迎。 据报告，攻击者使用恶意软件监视受感染机器，获得来自受感染机构内部的凭据和信息，但也控制 ATM 和盗取现金。根据卡巴斯基实验室的调查结果，这些最近感染的常见特征之一是它们依靠 Windows PowerShell 等合法工具来获取设备控制权。他们还在注册表中隐藏 PowerShell 命令，以留下较少的证据。 卡巴斯基实验室将继续调查，发布进一步的信息，有关攻击者如何从 ATM 中盗取资金的详情将在 4 月提供。 稿源：cnBeta；封面源自网络

据外媒报道，波兰银行正在调查一项大规模的系统遭攻击事件，有 20 家波兰商业银行已证实感染了恶意软件。让人震惊的是，这些恶意可执行文件竟然来自波兰自己的金融监管机构，波兰金融监管局（ KNF ）。 一个未知的攻击者修改了波兰监管局网站的 JavaScript 文件并加载了恶意文件，直到事件发生一星期后监管局才得到银行的反馈发现了该异常文件。一旦，恶意软件被下载执行，将连接国外服务器并执行网络侦察、横向移动以及窃取数据。在某些情况下，攻击者能够对银行基础设施的关键性服务器加以控制。 波兰金融监管局和波兰政府称调查仍在进行，该黑客事件没有造成任何经济损失，但部分加密数据被窃取。 本文由HackerNews.cc 翻译整理，封面来源网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。