外媒 2 月 12 日消息，来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出，该恶意软件能够收集目标应用程序的大量敏感数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃，不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的，该活动使用了一系列木马化的 Android 应用程序，旨在从受害者的移动设备中窃取敏感数据。 据悉，在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的？ 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本，具体流程是：从合法的应用程序开始，在重新构建 apk 之前注入恶意代码。一般来说，目标应用程序属于特定类别，例如社交聊天应用程序（Whatsapp、Telegram、Primo）、安全聊天应用程序（Signal、Threema）或与安全导航相关的软件（Orbot，Psiphon）。 在恶意软件制作成功之后，攻击者利用社交工程技术欺骗受害者安装恶意软件，比如使用 SMS、Facebook 消息或 Facebook 帖子，诱骗受害用户通过特定网址下载新版流行的应用程序，目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后，攻击者利用恶意应用程序收集大量数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 以下为该木马的具体功能： – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口，以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见： < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 19 日消息，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍活动 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据悉，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Lookout 发表的一份报告中详细分析了 Dark Caracal： Dark Caracal 实施的攻击链主要依靠社交工程，比如黑客在虚假应用程序（如 Signal 和 WhatsApp ）中包含定制的 Android 恶意软件，从而达到向受害用户发送恶意信息的目的。 Dark Caracal 影响范围 Lookout 透露，其研究人员发现了一个名为 Pallas 的定制型恶意软件，可能是 Dark Caracal 间谍活动工具包中的一个重要组件。Pallas 被用来劫持目标智能手机，并通过出租给政府的 Dark Caracal 平台进行分发和控制。目前获取 Pallas 的主要方法是从非官方软件应用商店安装受感染的应用程序，比如 WhatsApp 和 Signal ripoffs 。不过 Pallas 并没有利用 ” 零日” 来接管设备，而是依靠欺骗用户安装恶意应用程序，授予恶意软件各种权限。一旦 Pallas 到位，就可以秘密地从手机的麦克风中录制音频、 揭露 gizmo 的位置给监视者、并将手机所包含的所有数据泄露给黑客。 此外，Dark Caracal 平台还提供了另一种监视工具 ——FinFisher 样本，它被出售给政府，用于监视公民。而在桌面端，Dark Caracal 提供了一个 delphil 编码的 Bandook 木马，该木马之前在 Manul 操作系统中已被识别，可以有效地征用  Windows 系统。 Lookout 表示目前正在试图寻找 Dark Caracal 背后的黑客组织，并预计今年夏天调查会有进展。 相关阅读： 关于 Dark Caracal 的相关报告 消息来源：TheRegister，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。