据外媒报道，网络安全公司 Bitdefender 研究人员于近期发现银行木马 Terdot 在消失一年后卷土重现，旨在针对目标系统展开新一轮攻击浪潮。知情人士透露，虽然 Terdot 于 2016 年中期就已存在，但该木马再次重现着实引人注意。据称，该木马新添一项网络间谍功能，其主要监控与收集社交媒体账户敏感信息。 Terdot 是一款复杂的模块化恶意软件，其程序虽然主要基于 2011 年泄露的 Zeus 代码开发，但该木马开发人员还是对其进行了一部分修改，例如利用开源工具躲避 SSL 证书检测，并使用代理过滤网络流量后记录用户敏感信息。 调查显示，黑客主要将该银行木马植入有趣的 PDF 图标后通过垃圾邮件针对受损网站进行肆意分发。一旦用户点击触发文件，其系统将会自动运行 JavaScript 代码，从而在受害设备中植入恶意软件并同时向指定 C＆C 服务器发送与更新命令。 此外，研究人员经进一步分析发现该木马不仅使用了域生成算法（DGA）规避安全措施检测，还利用了中间人（MITM）攻击操纵多数社交媒体与电子邮件的平台流量，从而实现用户信息拦截功能。安全专家表示现在的 Terdot 已经超越了银行木马 Trojan 的能力，它更专注于针对社交网络和电子邮件服务提供商等其他服务收集证书，研发者也似乎想将其打造成非常强大的网络间谍工具。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  10 月 28 日消息，网络安全公司 IBM 研究团队 X-Force 近期发现黑客正通过新型技术肆意分发银行木马 Ursnif，旨在感染日本金融行业、窃取目标用户敏感信息。据称，黑客主要通过网页注入攻击和页面重定向等操作展开网络钓鱼活动。 银行木马 Ursnif（又名：Gozi）首次于 2007 年在英国的一起网络银行诈骗中发现。随后，该恶意软件源代码于 2010 年意外泄露，并被其他黑客重新利用、创建木马，比如 Vawtrak 和 Neverquest。据悉，除北美、澳大利亚和日本之外，黑客此前还一直瞄准西班牙、波兰、保加利亚和捷克共和国的银行开展网络攻击活动。 知情人士透露，为了能在日本大规模分发 Ursnif 有效负载，其黑客以日本金融服务与信用卡支付通知为主题伪造电子邮件，从而分发恶意软件感染目标企业。研究人员表示，该邮件中包含一份 JavaScript 文件（.zip）。一旦用户点击打开，其系统将重定向至另一恶意页面，从而启动 PowerShell 脚本后从远程服务器上获取有效负载，并与 Ursnif 一起感染用户。 值得注意的是，黑客似乎已经将攻击活动的范围扩展到用户本地网络邮件、云存储、加密货币交易平台和电子商务网站等。另外，黑客在近期的恶意软件 Ursnif 的分发时还使用了一种宏规避技术，即用户在关闭恶意文件后，它会再次启动 PowerShell 脚本获取有效负载。研究人员表示，这种技术可以帮助恶意软件规避安全措施检测。 目前，基于安全考虑该事件的研究人员并未发布具体文件信息，而是联系了当地的执法部门继续追查幕后黑手真实身份。此外，研究人员强烈建议受影响的金融行业，其员工不要随意点击未经检验的电子邮件、加强系统防御体系，以便抵御黑客网络钓鱼攻击活动。 原文作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 9 月 19 日报道，网络安全公司 SyfLabs 研究人员近期发现一款新型 Android 银行恶意软件 Red Alert 2.0，允许黑客窃取用户敏感信息、劫持短信邮件，并阻止与银行、金融机构相关的所有来电呼叫。目前，Red Alert 2.0 已感染 Google Play 商店上超过 60 款银行与社交媒体应用。不过，与其他 Android 木马不同的是，该恶意软件是由开发人员从零开始编写。 如果目标设备的 C＆C 服务器被关闭时，该恶意软件可以通过 Twitter 保存所有数据信息。然而，当设备无法连接到硬编码的 C2 时，它可以从 Twitter 帐户中重新检索一台新 C2 服务器进行连接。研究人员表示，这也是他们第一次从移动设备的恶意软件中发现此类银行木马。 SfyLabs 首席执行官兼创始人 Cengiz Han Sahin 表示，虽然 Red Alert 2.0 的开发人员现在只以 500 美元的价格出售该恶意软件，但他们日前仍在为其新添更多功能，包括远程操控受感染设备。目前，该恶意软件主要影响 Android Marshmallow 以及之前版本。由于传播 Red Alert 2.0 的所有应用都托管在第三方 Android 应用商店，因此为保障用户系统安全，研究人员强烈建议用户仅从 Google Play 商店下载合法应用程序。 原作者：India Ashok，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 8 月 11 日报道，网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加，旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马，首次于 2014 年被趋势科技（ Trend Micro ）研究人员发现，其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示，银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉，该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开，就会自动从承载该软件的多个互联网域名中下载 Emotet。此外，黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前，研究人员尚不清楚在最近的感染事例中，哪些国家的 Windows 操作系统是其主要目标，也并未提及具体受害者人数的统计数据。总而言之，这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此，研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能，允许黑客通过无障碍访问服务窃取用户敏感数据。 无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面（UI）。倘若黑客滥用此系统功能，不仅能够从设备上的其他应用程序中窃取敏感数据，还可获取管理员权限。此外，该木马新增功能还具备卸载拦截功能。 相关数据表明，尽管当前黑客尚未大范围部署 Svpeng，但受害目标却跨越 23 个国家，其中多数受害用户位于俄罗斯（29％）、德国（27％）、土耳其（15％）、波兰（6％）与法国（3％）。值得注意的是，即使大部分受害用户位于俄罗斯，但该木马程序并不会在俄语设备上运行，因为这是俄罗斯黑客规避侦查与逮捕的标准策略。 Svpeng 恶意软件家族一向以创新闻名。自2013年以来，Svpeng 是首批攻击银行短信业务的木马软件，允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年，黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng，使其跻身高危手机恶意软件行列。 有趣的是，一旦设备感染 Svpeng 后，该木马就会自动检测设备运行语言，如果不是俄语，设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外，每当用户使用键盘按键时，该木马都会截图并上传至恶意服务器。 近期，研究人员从 Svpeng 命令与控制服务器（ CnC ）拦截到一个加密配置文件，解密后可查找受攻击的应用程序，进而获取钓鱼网址。据悉，该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址，还包括一款手机赚钱软件应用 Speedway。 目前，黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称，该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示，黑客仅需访问其中一个系统功能，即可获取所有必要的附加权限。 原作者：Roman Unuchek， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 5 日报道，安全专家近期发现网络犯罪分子正利用一种新型攻击技术传播恶意软件，即通过 PowerPoint 演示文稿诱导用户在系统中下载执行恶意代码。 据悉，网络犯罪分子利用目标受害者鼠标的悬停操作自动执行恶意 PowerPoint 文件中所附带的 PowerShell 代码。目前，名为 “ order.ppsx ” 或 “ invoice.ppsx ” 的附件正通过垃圾邮件传播，其邮件主题包括 “ 采购订单＃130527 ” 与 “ 确认函 ” 等。 调查显示，当用户打开 PowerPoint 演示文稿时会看到标注 “ 正在加载……请等待 ” 字样的蓝色超链接。如果用户将鼠标悬停在该链接上，即使不点击也会触发 PowerShell 代码执行操作。一旦用户打开该文档，PowerShell 代码就会被连接至 “ cccn.nl ” 域名并下载执行负责传送恶意软件程序的文件。 安全研究人员表示，用户设备中受视图保护的安全功能会通知用户操作风险，并提示用户启用或禁用该项操作。此外，SentinelOne 研究人员在分析此次攻击活动时还观察到网络犯罪分子利用该技术传播银行木马 Zusy、Tinba 与 Tiny Banker 新变种。 原作者：Pierluigi Paganini，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究显示，任何恶意程序的源码在线泄露后，都会引发大量非技术网络犯罪分子对用户发起恶意攻击。近期，新型木马 Nuclear Bot 源码在线泄露，或引发针对银行服务的攻击指数上升。 2016 年 12 月，Nuclear Bot 以 2,500 美元价格首次在网络黑市中出售。该恶意软件不仅可以从 Firefox、Internet Explorer 或 Chrome 打开的网站中窃取信息，还能利用本地代理或隐藏的远程桌面服务。这些是银行木马最常见的特征，攻击者通常试图绕过银行网站的安全检查，以便进行网络欺诈。 IBM 研究人员在过去几个月里一直密切关注着木马 Nuclear Bot 行踪并公开揭露黑客 Gosya 是 Nuclear Bot 木马的创建者。此番做法无疑打破了网络犯罪界的潜在规则，导致该黑客失去原有名望还被打上“骗子”的标签。 IBM 研究人员注意到，该黑客不仅没有向论坛管理员或潜在买家提供软件的测试版本，甚至也未使用同一名称在论坛上传播该恶意软件。如今 Gosya 为恢复网络界的信任选择主动泄漏 Nuclear Bot 源代码。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据法国法新社 3 月 2 日消息，专家警告称，载有银行数据、信用卡信息和个人地址等数据的智能手机俨然已经成为个人资料库，但这也使其成为网络罪犯的首选攻击目标。国际杀毒软件公司卡巴斯基实验室法国分公司的主管唐吉(Tanguy de Coatpont)在巴塞罗那召开的世界移动通信大会上表示： “哪里的信息有价值，哪里就有网络罪犯的身影。网络罪犯们意识到智能手机已经成为网上购物和支付的首选终端。” 报道称，勒索软件( Ransomware )也已经开始将智能手机作为目标。该软件是一种通过锁住计算机，使用户无法正常使用，并以此胁迫用户支付解锁费用的恶意软件。 专家们在世界移动通信大会上说，现在手机因为能够接触到其用户关键信息，也在受到攻击。英特尔安全事业部法国部门的负责人法比安•雷什( Fabien Rech )表示，网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户，之后将钱转走。 雷什说：“我们看到越来越多的银行应用程序受到了攻击。” 根据斯洛伐克网络安全公司 ESET 的数据显示，去年全球针对手机银行应用程序的网络攻击频率增加了 17% 。 卡巴斯基实验室的负责人、俄罗斯网络安全专家尤金•卡斯佩尔斯基( Eugene Kaspersky )说，一些年轻网络犯罪分子更擅长利用智能手机。 他说：“我认为前代网络罪犯攻击的目标是个人电脑，而新一代的攻击对象则是智能手机”。 稿源：cnBeta；封面源自网络  

安全研究人员发现了一个新的银行木马变种 Dridex 4 ，它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前，研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动，预计在未来几个月内，活动范围将扩展到美国金融机构。 IBM X-Force 博客中介绍到，Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现，由于原子表是系统的共享表，各类应用程序均能访问、修改这些表内的数据，攻击者可以将恶意代码注入 Windows 的原子表（ atom table ），并通过检索调用恶意代码并在内存空间中执行，从而绕过杀毒软件的检查。 值得注意的是，Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表，然后利用其它方法来获得权限、执行代码。此外，木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用（ APC ）机制。总的来说，Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测，而是它将新型技术融入主流恶意软件的速度。可以预见，为了应对银行越来越完善的后端反欺诈算法，恶意软件将越来越多的采用更加先进的技术来提升木马能力。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

一种新 Android 银行木马 Marcher 正在兴起，通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件，获取权限、收集数十家银行账户数据。重要的是，国内外二十多款杀毒软件拿它没办法，无法查杀卸载。 据 Securify 统计，在 11000 个受影响设备中近 5700 个属于德国移动设备、2200 个是法国移动设备。此外，大多数受感染的设备运行的是 Android 6.0.1 系统。 安全专家介绍，木马通过短信、彩信或者社交软件消息进行网络钓鱼，利用社会工程学诱骗用户点击下载木马，安装时应用程序将请求用户提供短信存储、访问以及设备管理员这样的高级权限。 木马通过两种方式发动攻击: 一种是拦截、发送带有验证的银行信息。 另外一种是“覆盖攻击”，当你使用银行 APP 时，木马会查询目标列表中是否存在该 APP，并有针对性的在屏幕上跳出对应银行的网络钓鱼窗口。黑客设计的钓鱼窗口十分逼真并要求用户输入银行凭证等信息。 许多有针对性的银行 APP 目前该银行木马主要针对国外数十家银行及社交应用 APP，银行如汇丰银行、PayPal、奥地利银行、苏格兰银行等，社交类如 Instagram、Play Store、 Facebook、Skype、Viber、WhatsApp、Gmail、Amazon 商城等详情可查看链接。 杀毒软件拿它没办法 此外，该木马有一个极大的“优势”，它可以躲避众多杀毒软件的查杀，让杀毒软件无法卸载它。众多杀毒软件受影响，如猎豹清理大师、 360 安全卫士、Norton、BitDefender、卡巴斯基、AVG 等二十多款。 它所利用的技术相当简单：查询设备是否运行杀毒软件，如果正在运行，恶意软件会强制手机返回主屏幕。即使杀毒软件检测到恶意软件，但要删除它必须要得到用户确认、授权，而一运行就返回主屏幕就导致用户无法点击确认，杀毒软件也就无法删除。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。