2019年秋，相关网站发布了一篇文章，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。同年11月下旬，相关搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过进一步的研究表明，它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上，其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1212/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

随着 Emotet 僵尸网络被重新唤醒，其传播方式，有效负载，恶意文档模板和电子邮件模板也在不断发展。 休止活动长达几个月之后，Emotet 在本周一卷土重来。它开始制造垃圾邮件，通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马，但它现在被用来分发其他恶意软件。 仅仅几天之后，Emotet 就被分成不同的版本，并采用了新的文档模板，旨在进一步诱骗用户使用恶意 Word 宏。   新的 Emotet 文档模板 Emotet 使用了恶意 Word 文档模板，要求用户通过单击“启用内容”按钮“接受许可协议”。这样做，将启用嵌入在文档中的宏，然后将 Emotet 木马安装在收件人的计算机上。 正如微软和 JamesWT，Joseph Roosen，Brad Duncan，ps66uk 所说，Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。 与上一个模板一样，如果单击“ 启用编辑”，然后单击“ 启用内容”，嵌入的宏就会运行脚本，然后将Emotet安装到计算机上。   垃圾邮件中包含了恶意下载链接或附件 我们看到的大多数 Emotet 垃圾邮件都包含附件，但有些还包含了用于下载恶意文档的链接。 例如，下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。 下图的垃圾邮件包含了一个链接，用于下载恶意文档。 这意味着如果要保障用户安全，单独过滤附件是不够的。   利用 WScript 和 PowerShell 安装 payloads 虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上，但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。 例如，下面是一个 PowerShell 命令的示例，该命令由 Emotet 附件执行。 不幸的是，没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本： Set-ExecutionPolicy -ExecutionPolicy Restricted 凭借其拥有的多种有效载荷，潜在用户以及广泛的传播，Emotet 对于网络安全是一个很大的威胁，需要所有管理员，安全专业人员和用户的密切关注。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客们曾经通过破坏和滥用免费多媒体编辑网站 VSDC 散播 Win32.Bolik.2 银行木马，但现在他们改变了攻击策略。 黑客之前的做法是黑入正规网站，并将恶意软件捆绑在下载链接中。但现在黑客使用网站克隆，将银行木马散播到毫无防备的受害者的计算机上。 这使他们可以专注于为恶意工具添加功能，而无需再为渗透企业的服务器和网站而浪费时间。 更重要的是，他们创建的 nord-vpn.club 网站几乎完美克隆了流行的VPN 服务 NordVPN 的官方网站 nordvpn.com，这使得他们可以大范围传播 Win32.Bolik.2 银行木马。   成千上万的潜在受害者 克隆的网站还拥有由开放证书颁发机构 Let’s Encrypt 于 8 月 3 日颁发的有效 SSL 证书，有效期为 11 月 1 日。 Doctor Web 研究人员称：“Win32.Bolik.2 木马是 Win32.Bolik.1 的改进版本，具有多组分多态文件病毒的特性，” 。 “使用这种恶意软件，黑客可以进行网络注入、流量拦截，键盘记录和窃取多个 bank-client 系统的信息。” 这个恶意活动已于 8 月 8 日发起，他们主要攻击使用英语的网民，据研究人员称，已经有数千人为了下载 NordVPN 客户端而访问了 nord-vpn.club 网站。 制造 Bolik 蠕虫的黑客又回来了。他通过伪造 NordVPN，Invoicesoftware360 和 Clipoffice 等网站传播恶意软件 。 Arcticle：https://t.co/1ZJK5BdV4F  IOCs：https://t.co/Q9b9ECrZxu – Ivan Korolev（@ fe7ch）2019年8月19日 恶意软件分析师 Ivan Korolev 称，在感染用户的计算机之后，黑客使用恶意软件“主要用于网络注入/流量监控器/后门”。   通过克隆网站传播恶意软件 Win32.Bolik.2 和 Trojan.PWS.Stealer.26645 也是由同一个黑客组织于 2019 年 6 月下旬通过下面这两个虚假网站传播出去的： •invoicesoftware360.xyz（原为 invoicesoftware360. com） •clipoffice.xyz（原为 crystaloffice.com） 早在四月，免费多媒体编辑网站 VSDC 就遭遇了黑客攻击，这实际上是两年来的第二起事件。下载链接被用来散播 Win32.Bolik.2 银行木马和Trojan.PWS.Stealer（ KPOT stealer）。 下载并安装受感染的 VSDC 安装程序的用户的计算机可能会被使用多组件多态的木马感染，病毒还有可能从浏览器，他们的Microsoft帐户，各种聊天应用程序等程序中窃取了敏感信息。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒 3 月 4 日消息，英国情报机构政府通信总部 GCHQ 发现安装在 2700 万个家庭中的新型智能电表存在安全漏洞，可能会对数百万布列塔尼人（西欧法国西北部布列塔尼半岛上的居民）的物联网设备构成严重风险。 新型 SMETS 2 智能电表解决了能源公司第一代 SMETS 1 仪表的各种问题。与旧的 SMETS 1 仪表不同，能源供应商可以使用 SMETS 2 以电子方式远程接收仪表读数。 据 “ 每日电讯报 ” 报道 ， GCHQ 认为智能电表存在安全隐患：攻击者能够窃取智能电表用户的个人信息，并且通过篡改账单来获取利益。一位网络安全专家表示，攻击者对智能电表的通用计量表尤为钟爱，因为如果他们能够使用相同的软件攻击每个计量器，那么潜在回报会非常高。也就是说，网络犯罪分子通过人为地增加抄表数量，使账单数额变得更高。然后，他们利用一些手段去拦截支付，并欺骗能源公司相信该支付行为是正常合法的。 除此之外，文章也透露了其他方面上智能电表可能会引起的问题。 GCHQ 警告称攻击者能够使用这些存在漏洞的设备作为 “ 特洛伊木马” 进入客户的网络。 英国政府担心某些国家的黑客开勇能源智能电表的缺陷造成电力飙升，从而损害国家电网。 安全专家也表示，BlueBorne 攻击可能会通过利用蓝牙连接来将智能电表暴露给黑客。 不过促进智能电表推出的能源公司 Robert Cheesewright 却试图淡化其设备的风险，并解释说智能电表没有直接管理与财务相关的数据，但显然这种解释未曾考虑到不同的攻击场景，例如 2014 年，安全研究人员 Javier Vazquez Vidal 和 Alberto Garcia Illera 发现西班牙数百万联网电表由于缺乏适当的安全控制而容易受到网络攻击。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。