BriansClub 通过贩卖信用卡中的个人信息而盈利，是世界最大的黑市网站之一，却与于不久前遭到了黑客的攻击。最先报告数据泄露事件的 Brian Krebs 表示，黑客窃取了超过2600万张信用卡的信息。 专家估计，从 BriansClub 泄漏的被盗卡总数约占黑市上可用卡的30％。 BriansClub 的管理员确认，网站的数据中心已于今年早些时候被黑客入侵，并且声称被盗数据已经删除，但有多个消息确认这些数据仍在BriansClub上销售。 Krebs 还是俄罗斯黑客论坛 Verified 的管理员。据他所说，BriansClub 的攻击者的昵称为 “ MrGreen” ，并且他还经营着一家与自己同名的信用卡店。 目前这名 “ MrGreen” 已经被 Verified 拉黑。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件，如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户，并且会定期发布更新。 恶意插件隐藏在 WordPress 首页，只有使用具有特定User-Agent字符串（随插件而异）的浏览器才能看到它们。 即使原始感染源被删除，黑客也仍然可以在用户的电脑上建立后门，并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求，将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ，以及将在受感染服务器上创建的文件的路径和名称。 到目前为止，这些 POST 参数对于每个插件都是唯一的。 黑客利用插件，将文件（即5d9196744f88d5d9196744f893.php） 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外，受感染的网站可能会遭到恶意攻击，包括 DDoS 和暴力攻击，发送垃圾邮件或被用于挖矿。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据最近几个月连续发布的两个安全报告，黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术（steganography），是一种将信息隐藏在另一种数据介质中的技术。 在软件领域，steganography也简称为“stego”，用于描述将文件或文本隐藏在其他格式的文件中的过程。例如，将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了，通常不会用来破坏或者感染设备，而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式（例如多媒体文件）列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式（例如PNG或JEPG）展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件，在今年开始被广泛使用。 早在今年6月份，就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示，他们发现了一个名为Waterbug（或Turla）的俄罗斯网络间谍组织，该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中，Cylance说它看到了与赛门铁克几个月前类似的东西。 但是，尽管赛门铁克报告描述了一个国家级的网络间谍活动，但Cylance表示，他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说，这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿，调用系统资源来挖掘加密货币。Lemos告诉ZDNet：“使用隐秘技术需要对目标文件格式有深入的了解。通常，复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用，只要攻击者遵守该格式的结构和约束，这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说，通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案，因为这样最后的结果是许多流行格式都下载不了，例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   （稿源：cnBeta，封面源自网络。）

近日某个上午，德国弗莱堡市的一位银行职员发现，某台 ATM 机似乎出现了问题。其控制面板上收到了一条奇怪的消息 ——“Ho！”可惜的是，这位员工没有立即意识到，黑客已经将恶意软件植入了自动柜员机中 —— 这也是所谓的“劫持”攻击的一部分。最终结果是，正如大家在许多影视作品中所见到的那样 —— 这台 ATM 吐出了一堆现金，直至钞箱被彻底清空。 资料图（来自：Wincor Nixdorf，via BGR） 通过 Motherboard 与一家德国新闻媒体联合进行的调查，可知黑客是如何逐步对运行过时软件、安全性较低的计算机进行攻击的。 有关部门显然不希望在事情经过上着墨太多，但多个消息来源证实，这种类型的 ATM 攻击，正在全世界范围内（包括美国地区）呈现上升趋势。这意味着银行的安防系统脆弱不堪，且基本没准备对此进行处理。 通常情况下，攻击者会先从 ATM 机上的访问点（如 USB 接口）下手，以安装恶意软件。相关攻击代码的成本竟然也十分低廉 —— 仅需 1000 美元，即可买到在欧洲各地进行肆意攻击的俄罗斯软件。 软件截图（来自：@CRYPTOINSANE / Twitter） 尽管好莱坞影视作品中经常出现让 ATM 机吐出大量现金的场景，但不幸的是，现实情况也是如此。 有消息人士向参与调查的记者透露，某些不良行为者在出售代码，使得任何人只要肯出钱购买，基本上都有攻破 ATM 机的可能。 网络安全专家 David Sancho 认为，这件事不会局限于世界的某个特定角落，而是在全球范围内都有可能发生。     （稿源：cnBeta，封面源自网络。）

安全研究人员发现了一种新的Mac恶意软件，然而它的目的和功能目前仍然是一个谜。 这款恶意软件名为Tarmac（OSX / Tarmac），其通过在Mac用户的浏览器中运行恶意代码，将用户重定向到某个软件的更新页面——通常是Adobe的Flash Player。 在用户下载Flash Player更新的同时，其系统将会安装恶意软件二人组-首先是OSX / Shlayer恶意软件，然后是第一个启动的OSX / Tarmac。 自2019年1月开始传播 Confiant的安全研究人员Taha Karim表示，这次散播Shlayer + Tarmac组合的恶意活动始于今年1月。 Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是，他们只发现了Shlayer恶意软件，而没有发现Tarmac。 目前已经确定的Tarmac版本都比较旧，并且原始命令和控制服务器已关闭——或者已经被迁移。 Shlayer 会在受感染的主机上下载并安装 Tarmac。Tarmac 会收集有关受害者硬件设置的详细信息，并将此信息发送到其命令和控制服务器。 之后，Tarmac将等待新命令。但是由于服务器不可用，所以无法确定在这之后会发生什么。 从理论上讲，大多数恶意软件都非常强大，具有许多侵入性功能，Tarmac 也应该会造成巨大的威胁。但是目前一切都还只是谜。   主要受影响用户位于美国，意大利和日本 Karim 表示，分发 Shlayer 和 Tarmac 的恶意广告主要针对的是美国，意大利和日本的用户。 由于 Tarmac 的 payload 具有合法的 Apple 开发证书签名，因此 Gatekeeper 和 XProtect 不会在安装过程中报错或者中止。 如果用户想要查看自己的 Mac 系统是否受到此恶意软件感染，可以在Karim的Tarmac报告中寻找IoC。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/-26KdmJSWZpCjdj6tdqGIQ   一、概述 腾讯安全御见威胁情报中心检测到“月光（MoonLight）” 蠕虫病毒感染呈上升趋势，该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址，然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人。病毒还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘，具有较强的局域网感染能力。病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络，对指定目标进行DDoS攻击。 在此次攻击中，病毒伪装成以“**课件”、“打印**”命名的文件进行传播，对于老师和学生具有很高的迷惑性，大学新生的防毒意识相对较差，该蠕虫病毒已在教育网络造成较重影响，在9月开学季达到感染峰值。   根据腾讯御见威胁情报中心统计数据，MoonLight蠕虫病毒攻击行业分布如下，受影响严重的前三位分别为教育、信息技术、科研及技术服务等。 从地区分布来看，MoonLight蠕虫全国各地均有感染，影响严重的省市包括：广东、北京、广西、山东、四川等地。 二、详细分析 “月光”（MoonLight）蠕虫病毒可通过邮件、文件共享、可移动磁盘等途径传播，中毒系统会被远程控制、键盘记录以及组成僵尸网络对指定网络目标进行DDoS攻击。 MoonLight蠕虫病毒的攻击流程 持久化攻击 MoonLight运行后首先将自身拷贝至以下位置，包括系统目录、临时文件目录、Run启动项、全局启动目录。使用的文件名包括固定名称(EmangEloh.exe、smss.exe、sql.cmd、service.exe、winlogon.exe)和随机生成(用<random>表示)两种： C:\Windows\sa-<random>.exe C:\Windows\Ti<random>ta.exe C:\Windows\<random>\EmangEloh.exe C:\Windows\<random>\Ja<random>bLay.com C:\Windows\<random>\smss.exe C:\Windows\System32\<random>l.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd C:\Documents and Settings\<user>\Templates\<random>\service.exe C:\Documents and Settings\<user>\Templates\<random>\Tux<random>Z.exe C:\Documents and Settings\<user>\Templates\<random>\winlogon.exe 为了确保在系统启动时自动执行和防止被删除，病毒添加到开机启动项、映像劫持、exe/scr文件关联等位置，具体包括以下注册表项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <random>=”%system%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <random>=”%WINDOWS%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe debugger=”%windows%\notepad.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe debugger=”%windows%\notepad.exe” HKEY_CLASSES_ROOT\exefile default=”File Folder” HKEY_CLASSES_ROOT\scrfile default=”File Folder” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden=dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue=dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup = “%system%\<random>” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=”explorer.exe, “%userprofile%\Templates\<random>\<random>.exe”” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell=”<random>.exe” 蠕虫式传播 病毒枚举路径，找到路径中包含以下字符的文件夹： download upload share 找到后，拷贝自身到该目录下以感染网络共享文件夹，拷贝后使用以下文件名： TutoriaL HAcking.exe Data DosenKu .exe Love Song .scr Lagu – Server .scr THe Best Ungu .scr Gallery .scr New mp3 BaraT !! .exe Windows Vista setup .scr Titip Folder Jangan DiHapus .exe Norman virus Control 5.18 .exe RaHasIA.exe Data %username%.exe Foto %username%.exe New Folder(2).exe New Folder.exe 病毒还会拷贝自身到可移动磁盘中，病毒自身使用文件夹图标，默认情况下系统不显示文件扩展名，这会让用户误认为文件夹图标而双击打开： %username% Porn.exe System Volume Infromation  .scr MoonLight蠕虫还会尝试将自身的副本发送到从受感染系统搜索获取的电子邮件地址。使用自带的SMTP邮件引擎猜测收件人电子邮件服务器，并在目标域名前面加上以下字符串： gate. mail. mail1. mx. mx1. mxs. ns1. relay. smtp. 构造包含以下字符串之一的邮件正文： aku mahasiswa BSI Margonda smt 4 Aku Mencari Wanita yang aku Cintai dan cara menggunakan email mass di lampiran ini terdapat curriculum vittae dan foto saya foto dan data Wanita tsb Thank’s ini adalah cara terakhirku ,di lampiran ini terdapat NB:Mohon di teruskan kesahabat anda oh ya aku tahu anda dr milis ilmu komputer please read again what i have written to you yah aku sedang membutuhkan pekerjaan 构造包含以下名称之一的邮件附件： curriculum vittae.zip USE_RAR_To_Extract.ace file.bz2 thisfile.gz TITT’S Picture.jar 蠕虫病毒使用的Payload下载地址： http[:]//www.geocities.com/m00nL19ht2006/ 主要危害 MoonLight蠕虫病毒会针对指定目标网站执行DDoS攻击，并通过后门在受害系统列举文件和目录、创建和执行程序，同时具有内置的键盘记录功能，可将记录的键盘输入发送到远程地址 三、安全建议 1、不要打开不明来源的邮件附件，对于附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描； 2、谨慎访问网络共享盘、U盘、移动硬盘时，发现可疑文件首先使用杀毒软件进行扫描； 3、建议使用腾讯电脑管家或部署腾讯御点终端安全管理系统防御病毒木马攻击； 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 5c58e370266f182e6507d2aef55228e6 9c852e1c379849c3b6572a4d13b8624b f1af3d3d0c5a5d6df5441314b67a81f4 d1b2b5b83f839a17d113e6c5c51c8660 3d62ac71ff3537d30fcb310a2053196a aa22ed285c82841100ae66f52710e0b1 Domain www[.]apasajalah.host.sk URL http[:]//www.apasajalah.host.sk/testms.php?mod=save&bkd=0&klog= http[:]//www.geocities.com/m00nL19ht2006/ http[:]//www.geocities.com/sblsji1/IN12QGROSLWX.txt http[:]//www.geocities.com/jowobot123/BrontokInf3.txt http[:]//www.geocities.com/sblsji1/in14olpdwhox.txt http[:]//www.geocities.com/sbllma5/IN12ORURWHOX.txt 参考链接： https://www.f-secure.com/v-descs/email-worm_w32_vb_fw.shtml

外媒报道称，Instagram 刚刚为自家 App 引入了一项新功能，以帮助用户确定所谓的“官方邮件”是来自 Facebook、还是网络钓鱼攻击者。现在，用户可在接收到一封自称来自 Instagram 的邮件时，转到 App 内的“安全性”设置，并启用真实性检查选项，以甄别平台在过去 14 天内向用户发生的每一封邮件。 安全设置（题图 via TheVerge） 目前这项更新已经推出，但可能需要一段时间才能显示在现有用户的设置菜单中。新菜单将 Instagram 官方邮件分成了“安全”和“其它”两个类别，前者属于官方认证、后者则可能潜藏风险。 （安全邮件） ‘安全邮件’中的链接可以放心点击，但‘其它邮件’就要多长个心眼了 —— 因为它很可能是网络钓鱼者设下的全套，旨在忽悠用户交出真实的用户名和密码。 （其它邮件） 若担心后一种情况，我们建议您删除存在疑问的邮件。如果最糟糕的情况已经发生、且账户遭到了入侵，还请参考 Instagram 帮助页面列出的官方指南，以开展相应的补救操作。 据悉，随着网络钓鱼攻击的日渐升级，许多诈骗网站也都‘与时俱进’地拿出了针对双因素身份认证账户的攻击手段，甚至随后可跳转到真实的站点。   （稿源：cnBeta，封面源自网络。）

当地时间周五，微软透露，他们手上已有的证据表明一群来自伊朗的黑客试图访问属于2020年总统候选人的电子邮件帐户。在宣布这一发现的博客文章中，微软拒绝透露目标总统候选人的名字，但确认他们的账户暂时并未受到该公司称为“Phosphorous”的威胁组织的侵害。 CNBC后来报道说，特朗普2020年竞选遭受了网络攻击。但是，特朗普竞选活动的宣传总监蒂姆·默特（Tim Murtaugh）表示，“没有迹象表明我们的任何竞选基础设施被针对性地攻击。” 该活动只是伊朗黑客试图在今年8月至9月的30天内入侵的一组帐户中的一个。微软表示，其威胁情报中心观察到该组织进行了2700多次尝试识别电子邮件帐户的尝试，然后继续“攻击”其中的241个。 微软客户安全与信任副总裁汤姆·伯特（Tom Burt）表示：“攻击目标与美国总统竞选活动、现任和前任美国政府官员、报道全球政治的记者以及生活在伊朗境外的知名伊朗人有关。” “黑客的这些尝试也并不是一无所获，目前一共发现有四个帐户成功被盗。” 微软表示，Phosphorous试图获得对链接到微软电子邮件帐户的访问权限，以便对其进行破解，他们还尝试窃取与用户关联的电话号码。攻击技术并不复杂，目标也很明确，“他们试图使用获得目标人物的大量个人信息”。   （稿源：cnBeta，封面源自网络。）

三名知情人士告诉美国有线电视新闻网（CNN），试图入侵2018年中期选举中使用的移动投票应用程序可能是高校学生在研究安全漏洞，而不是试图更改任何选票。西弗吉尼亚州南区美国律师迈克·斯图尔特（Mike Stuart）在周二的新闻发布会上透露，Voatz投票应用遭遇一次不成功的入侵程序，联邦调查局的调查“正在进行中”。 该应用程序自2018年以来一直被西弗吉尼亚州用来允许海外和军队选民通过智能手机投票，目前没有任何刑事诉讼被提起。 消息人士告诉CNN，FBI正在调查一个或多个试图入侵该应用程序的人，怀疑这一波入侵行为来自密歇根大学选举安全课程的一部分。密歇根州是该州选举安全研究的主要学术中心之一，设有开拓性的密歇根州选举安全委员会。 一位知情人士告诉美国有线电视新闻网，西弗吉尼亚州国务卿麦克·沃纳办公室此前曾与斯图尔特沟通，对Voatz应用程序的可疑活动来自与密歇根大学相关的IP地址。 联邦调查局拒绝对此事发表评论，西弗吉尼亚州国务卿办公室以及斯图尔特办公室也拒绝提供进一步评论。密歇根大学的发言人里克·菲茨杰拉德（Rick Fitzgerald）说，他“目前没有足够的信息来做出任何回应”。 Voatz联合创始人兼首席执行官尼米特·索恩尼（Nimit Sawhney）拒绝透露黑客试图进行攻击的细节，但这是2018年大选以来唯一一件严重到足以交给联邦调查局的事件。 一位知情人士说，FBI的调查源于密歇根州课程中的一个特定事件，该事件中，学生检查了移动投票技术的安全性，但被指示不要干涉现有的选举基础设施。一位知情人士说，今年春天，一名学生通过电子邮件通知教授称，联邦调查局已经获得了他们手机的搜查令。 此事凸显了网络安全研究中最有争议的问题之一：发现软件潜在漏洞的最佳方法之一是让研究人员像黑客一样思考并试图闯入。但是，美国的主要黑客相关的法律是《计算机欺诈和滥用法》，它非常严格，对发现获得“未经授权的访问”系统的人，无论出发点是什么，都将施加严厉的惩罚。 西弗吉尼亚州是目前唯一使用Voatz系统的州，支持使用这套系统的人士表示，该应用程序为军队和海外选民的低投票率提供了解决方案，它已经通过了一些安全测试，并且一直保持较好的安全记录。 Voatz还参加了由旧金山公司HackerOne运行的“漏洞赏金”计划，该计划邀请网络安全研究人员查找漏洞。如果研究人员发现严重问题，Voatz当前最多可向研究人员提供2000美元。   （稿源：cnBeta，封面源自网络。）

浏览器制造商正在实施一些功能，如HTTPS和TLS加密，以防止站点通过各种技术来跟踪用户。但是，世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计，他们在用户安装Web浏览器同时，即时修改这些Web浏览器，为加密流量添加所谓“指纹”功能，以实时跟踪用户和其使用的电脑。 卡巴斯基实验室（Kaspersky Labs）对这种秘密攻击的调查报告显示，黑客设法找到了一种修改Web浏览器的方法，从而使被设计为安全且私有的TLS流量将带有唯一的指纹，以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序，让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改，但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说，这是一个相当高的技术要求，因为这意味着黑客需要黑入Internet服务提供商和其网络。但是，对于一个名为Tulsa的黑客组织而言，这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名，并参与了几起针对ISP的黑客事件。奇怪的是，这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量，因此，这可能是一种隐蔽地跟踪用户网络活动的方法。     （稿源：cnBeta，封面源自网络。）