根据最近几个月连续发布的两个安全报告，黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术（steganography），是一种将信息隐藏在另一种数据介质中的技术。 在软件领域，steganography也简称为“stego”，用于描述将文件或文本隐藏在其他格式的文件中的过程。例如，将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了，通常不会用来破坏或者感染设备，而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式（例如多媒体文件）列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式（例如PNG或JEPG）展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件，在今年开始被广泛使用。 早在今年6月份，就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示，他们发现了一个名为Waterbug（或Turla）的俄罗斯网络间谍组织，该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中，Cylance说它看到了与赛门铁克几个月前类似的东西。 但是，尽管赛门铁克报告描述了一个国家级的网络间谍活动，但Cylance表示，他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说，这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿，调用系统资源来挖掘加密货币。Lemos告诉ZDNet：“使用隐秘技术需要对目标文件格式有深入的了解。通常，复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用，只要攻击者遵守该格式的结构和约束，这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说，通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案，因为这样最后的结果是许多流行格式都下载不了，例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   （稿源：cnBeta，封面源自网络。）

浏览器制造商正在实施一些功能，如HTTPS和TLS加密，以防止站点通过各种技术来跟踪用户。但是，世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计，他们在用户安装Web浏览器同时，即时修改这些Web浏览器，为加密流量添加所谓“指纹”功能，以实时跟踪用户和其使用的电脑。 卡巴斯基实验室（Kaspersky Labs）对这种秘密攻击的调查报告显示，黑客设法找到了一种修改Web浏览器的方法，从而使被设计为安全且私有的TLS流量将带有唯一的指纹，以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序，让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改，但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说，这是一个相当高的技术要求，因为这意味着黑客需要黑入Internet服务提供商和其网络。但是，对于一个名为Tulsa的黑客组织而言，这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名，并参与了几起针对ISP的黑客事件。奇怪的是，这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量，因此，这可能是一种隐蔽地跟踪用户网络活动的方法。     （稿源：cnBeta，封面源自网络。）

据外媒Techspot报道，一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中，并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样，PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商，该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof，锁定约400牙科诊所的文件。多个消息来源报告说，PerCSoft支付了赎金，并获得了一个解密密钥，其正在积极地分发给受影响的牙科诊所，以帮助他们恢复他们的文件。 Krebs表示，目前尚不清楚PerCSoft是否直接支付了赎金，或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙，那么人们就会放弃支付赎金，并且没有经济激励黑客继续这样做。 根据ProPublica的说法，提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是，这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   （稿源：cnBeta，封面源自网络。）

RubyGems 工作人员表示，他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来，其已被下载 3584 次。如剔除同一库的不同版本，则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码，可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。 （图自：GitHub，via ZDNet） 昨天，人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库，荷兰开发人者 Jan DIntel分析称： 恶意代码会收集受感染系统的 URL 和环境变量，并将之发送到位于乌克兰的远程服务器。 根据用户的设置，这可能包括当前使用的服务凭证，数据库和支付服务提供商都该倍加小心。 此外，代码包含了一个后门机制，允许攻击者将 cookie 文件发送回受感染的项目中，并执行恶意命令。 RubyGems 工作人员在后续的一次调查中发现，这种机制被滥用并植入了加密货币的挖矿代码，然后又在另外 10 个项目中发现了类似的代码。 据悉，除了 rest-clint 之外的所有库，都调用了另一个功能齐全的库来添加恶意代码，然后以新名称在 RubyGems 重新上传以实现创建。 受影响的 11 个库名如下（具体版本号请移步至官网公告查看 / GitHub 传送门）： rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。 遗憾的是，这个隐匿的计划已经活跃了一个多月，结果期间一直未被他人发现。 直到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时，人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。 最终，在所有 18 个恶意库版本被 RubyGems 删除之前，其已经累积了 3584 次下载。 在此，官方建议在关系树中对这些库有依赖的项目开发者，务必采取相应的升级或降级措施，以用上相对安全的版本。   （稿源：cnBeta，封面源自网络。）

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马，但现在他们改变了攻击策略。 黑客之前的做法是黑入正规网站，并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆，将银行木马散播到毫无防备的受害者的计算机上。 这使他们可以专注于为恶意工具添加功能，而无需再为渗透企业的服务器和网站而浪费时间。 更重要的是，他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com，这使得他们可以大范围传播 Win32.Bolik.2 银行木马。   成千上万的潜在受害者 克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书，有效期为 11 月 1 日。 Doctor Web 研究人员称：“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本，具有多组分多态文件病毒的特性，” 。 “使用这种恶意软件，黑客可以进行网络注入、流量拦截，键盘记录和窃取多个 bank-client 系统的信息。” 这个恶意活动已于 8 月 8 日发起，他们主要攻击使用英语的网民，据研究人员称，已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。 制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN，Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。 Arcticle：https://t.co/1ZJK5BdV4F  IOCs：https://t.co/Q9b9ECrZxu – Ivan Korolev（@ fe7ch）2019年8月19日 恶意软件分析师 Ivan Korolev 称，在感染用户的计算机之后，黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。   通过克隆网站传播恶意软件 Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的： •invoicesoftware360.xyz（原为 invoicesoftware360. com） •clipoffice.xyz（原为 crystaloffice.com） 早在四月，免费多媒体编辑网站 VSDC 就遭遇了黑客攻击，这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer（ KPOT stealer）。 下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染，病毒还有可能从浏览器，他们的Microsoft帐户，各种聊天应用程序等程序中窃取了敏感信息。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

联邦检察官透露，在 Capital One 数据泄露事件发生后被捕的 Paige Thompson 可能还攻击了其他 30 多个组织。 今年7月，美国最大的发卡机构和金融公司之一 Capital One 遭遇黑客攻击，1.06 亿信用申请信息被泄露。 一个网名为 “erratic” 的黑客攻击了 Capital One 的系统，并获得了大量的个人信息。 执法部门逮捕了嫌疑人 Paige A. Thompson（33），她将要对此次数据泄露事件负责。 根据 DoJ 报道，美国司法部长 Brian T. Moran 宣布，“一名前 Seattle 科技公司的软件工程师今天被捕，此人涉嫌网络欺诈以及窃取 Capital One 金融公司的数据。PAIGE A. THOMPSON，网名 erratic，33 岁，她今天在西雅图地方法院出庭，并将于 2019 年 8 月 1 日出席听证会。” 执法部门无法获知数据是否已被出售或分发给其他黑客。 西雅图的美国检察官办公室证实，在 Thompson 家的卧室里查获的服务器中存有 30 多家公司和教育机构的数据，但他们尚不清楚这些受影响组织的名字。 检察官称，绝大多数数据都没有涉及个人信息。他们仍在调查受影响组织的名字。 汤普森的律师没有立即回应要求发表评论的电子邮件。     消息来源：SecurityAffairs，译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

这是一个精心设计的诈骗。玩家看似进入的是一个免费游戏网站，实际上黑客将会盗取他们的 Steam 帐户，然后利用此帐号再去攻击新的玩家。 黑客向受害者的朋友发送消息，告诉他们在给出的网站输入优惠码就能获得免费的 Steam 游戏。 用户点击消息中的链接后会进入 http://steamsafe.fun/?ref=freegame，他们随后将被重定向到黑客建立的诈骗网站。 当用户点击“抽奖”按钮时，该网站将假装从热门游戏列表中随机选出一个游戏，如 PUBG，CSGO，Tropico 4，ARK：Survival Evolved，Assassin’s Creed 等等。 然后它将显示一个 Steam 优惠码，并提醒用户需要登录 Steam 才能获取该游戏。 当用户点击登录按钮时，它将显示一个伪造的 Steam 单点登录（SSO）登录页面，它看起来和 Steam 登录网站一模一样，但实际上是一个诈骗网站。 如果用户输入他们的帐号和密码，该网站将自动在后台登录他们的帐户，更改密码，更改关联的电子邮件地址，以及更改相关的电话号码。 如下图所示，在我们登录 Steam 网站时，您必须检查当前网页是否是https://steamcommunity.com 。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，五年前勒索软件可能还只是网络犯罪领域的一个小角色，但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州，该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击，并导致了数千万美元的损失。 本周，德克萨斯州已加入目标清单。据德克萨斯州信息资源部（DIR）称，20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示，“德克萨斯军事部和德克萨斯A＆M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解，但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是，预算紧张和昂贵的升级程序会阻止许多组织更新旧软件，从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   （稿源：cnBeta，封面源自网络。）

为了能够让自动驾驶汽车根据路况做出自主决策，开发团队往往需要为其装备复杂的计算机大脑和丰富的传感器。上周末在拉斯维加斯举办的Defcon 27黑客大会上，安全研究人员Truman Kain通过研制的MOD将特斯拉Model S转换成为移动的监控设备。 这款MOD的组成基本上就是一台NVIDIA Jetson Xavier迷你电脑，通过汽车的USB端口进行连接，能够收集汽车周围看到的所有东西。利用Model S现有的Autopilot和哨兵模式（Sentry Mode），以及开源框架该MOD能够识别车辆型号，甚至能够收集和记录车牌信息。 或许很多人认为这个MOD并没有太大的杀伤力，不过安全研究专家Kain并不这么认为，他在Defcon 27黑客大会上现场演示了已经改装好的Model S，不仅能够识别车辆型号，识别重复出现的目标，标记看到对方所在的位置，从而了解更多有关车主的相关信息。   （稿源：cnBeta，封面源自网络。）

微软威胁情报中心报道称，俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备，对企业网络展开渗透。外界普遍猜测，该组织拥有俄罗斯官方背景，又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区，感染了超过 50 万台消费级路由器。 （题图 via MSPU） 今年 4 月，黑客试图将企业的物联网设备作为目标，借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件，归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件，其中包含了已知的漏洞。 获得物联网设备的访问权限后，攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描，该组织可在企业内网畅通无阻地移动，寻找获得更高级别账户的访问权限，以窃取高价值的数据。 此外，黑客可执行“tcpdump”，以发现本地子网上的网络流量。幸运的是，袭击事件被迅速扼杀在了萌芽状态。 在调查结束后，我们已于所涉特定设备的制造商分享了这些信息，希望它们能够借此来探索其产品的全新保护措施。   物联网设备制造商需要对安全威胁保持更广泛的关注，了解此类威胁类型的组织和安全团队，以提供更好的企业支持和监控功能，让技术团队更轻松地保障网络安全。 据悉，同一黑客组织还与针对民主党全国委员会（DNC）、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出，该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户，比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然，这些未遂攻击的揭露，是微软对行业需加强物联网设备安全性的最新警告，否则后续攻击事件还会接踵而至。   （稿源：cnBeta，封面源自网络。）