Netskope 威胁研究实验室发现了一种新的 ATM 恶意软件 ATMJackpot。该恶意软件似乎源于香港，并于 2018 年 3 月 28 日在二进制文件中有时间戳。这种恶意软件很可能还在开发中。 与以前发现的恶意软件相比，此恶意软件的系统占用空间更小。 目前还不清楚 ATMJackpot 恶意软件的攻击媒介，通常是这种恶意软件是通过 ATM 上的 USB 手动安装的，还是从受损的网络下载的。 ATMJackpot 恶意软件首先将 Windows 类名称“ Win ”注册到恶意软件活动的过程中，然后恶意代码创建该窗口，在窗口中填充选项并启动与 XFS 管理器的连接。XFS 管理器实现访问 API，以控制来自不同供应商的 ATM 设备。恶意软件开启与服务提供商和注册的会话以监控事件，然后打开与自动提款机，读卡器和密码键盘服务提供商的会话。 一旦与服务提供商的会话打开，恶意软件就能够监视事件并发出命令。专家认为，恶意软件的作者将继续改进它，他们预计它很快就会在野外发现。 美国特勤局警告称，网络犯罪分子针对美国的 ATM 机器，迫使他们通过“ jackpotting ”攻击吐出数百美元，近几年 ATM 机累积奖金攻击的数量正在增加。 2017 年 5 月，欧洲刑警组织在欧洲各地逮捕了 27 起针对自动柜员机的头奖攻击案，2017 年 9 月，欧洲警察组织警告说，ATM 攻击正在增加。犯罪组织正在通过银行的网络瞄准 ATM 机，这些业务涉及钱币骡子的出钱。此外，几周前，据称 Carbanak 集团的负责人在西班牙被警方逮捕，因其涉嫌在一家银行网络主席窃取约 8.7 亿英镑（10 亿欧元）。 消息来源：东方安全，封面源自网络；

据外媒报道，利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕，该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来，Carbanak 犯罪团伙就开始利用他们设计的恶意软件（Carbanak 、 Cobalt ）开展攻击活动，至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响，导致金融行业累计损失超过 10 亿欧元。（犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。） 在所有这些攻击活动中，Carbanak 犯罪团伙都使用了类似的操作手法：他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件，进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式： – 自动取款机被远程指示在预先确定的时间发放现金，其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库，使银行账户的余额增多； 然后 Carbanak 犯罪团伙借助加密货币洗钱，通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示， 这次联合行动不仅对国际刑警组织来说是巨大的胜利，也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告： 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测，近日安全公司 Forcepoint 发现，黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量，减少被发现的几率。 该恶意软件归属于黑客组织 Carbanak （也称为 Anunak ）。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。   Forcepoint 安全实验室发现，犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象，其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本（ VBScript ）。当用户打开文档时，他们将看到一个图像，该图像旨在隐藏文件中嵌入的 OLE 对象，并诱使受害者双击打开它。 越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件，而不是现在烂大街的宏功能。 研究人员还发现了一个“ ggldr ”脚本模块，该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户，系统都会动态创建一个唯一的 Google Sheets spreadsheet，以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系，C＆C 会回应不存在该用户信息。接下来，恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求，为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时，C＆C 会回应这些详细信息。 由于很多企业机构都使用 Google 服务，所以一般都不会拦截合法的 Google 流量，从而大大增加攻击者成功建立 C＆C 通信渠道的可能性。   稿源：HackerNews.cc 翻译整理，封面：securityaffairs 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。