热门安全保护文章

谨防Michael Jackson一年死亡周年纪念垃圾邮件 为了庆祝我们这个时代最伟大的艺人之一的生活和遗产,世界各地的歌迷将再次寻找他们最喜欢的迈克尔·杰克逊(Michael Jackson)的歌曲,并在我们临近其逝世周年纪念之际向流行音乐之王致敬。 在2009年6月25日迈克尔·杰克逊去世之后,我们开始目睹了新的垃圾邮件活动 ,这些活动利用了这位流行歌星传说的意外死亡。迈克尔·杰克逊(Michael Jackson)死后仅几个小时,我们就开始收到来自计算机用户的电子邮件报告,这些报告声称其中包含有关MJ通过的信息,这些信息被发现是垃圾邮件。...
警告:针对Windows PC的威胁性BlackHole漏洞利用工具包现已免费提供给黑客 对于新手黑客和罪犯来说,圣诞节快到了,他们希望在不到30天的时间里公开释放了一个而不是两个危险的恶意软件工具,从而使大量的诈骗分子泛滥成灾。 Zeus恶意软件套件及其密码一经以密码保护的存档形式提供,最近就已免费向公众发布!就在地下世界开始安定下来时,还可以在地下论坛和共享网站(例如Hacker News)上免费下载较早版本的恶意漏洞利用工具BlackHole 。...
黑客攻击花旗银行窃取超过200,000名信用卡客户的个人数据 尽管有关众议员安东尼·韦纳(Anthony Weiner)(DN.Y.)的在线性丑闻的新闻不断出现,但又发生了另一起黑客事件,这次黑客入侵花旗银行的计算机,窃取了帐号,姓名和联系信息。 花旗银行是美国最大的四家银行之一,大约一个月前发现了一条数据泄露事件,据称已影响了超过20万名信用卡客户。 花旗银行在最近的一份声明中说:“在日常监控中,我们最近发现未经授权就可以在线访问花旗帐户,”花旗集团在一份准备好的声明中说。 “查看了有限数量的Citi银行卡客户的会计信息(大约1%)(例如姓名,帐号和包括电子邮件地址的联系信息)。”...

热门文章

RobinHood勒索软件

RobinHood勒索软件(RobbinHood Ransomware或RobbinHood File Extension Ransomware)是一种勒索软件木马,用于以提高也门人民的知名度和资金为借口来骚扰计算机用户。实际上,没有证据支持RobinHood Ransomware的创建者具有利他动机的理论。骗子有可能使用RobinHood勒索软件来牟利,就像大多数加密勒索软件特洛伊木马程序的创建者如今一样。但是,对于RobinHood Ransomware而言,勒索要求非常高,因此,任何个人计算机用户在遭受攻击时都不太可能会支付RobinHood Ransomware勒索。采取预防措施来防范诸如RobinHood Ransomware之类的勒索软件木马,这种木马正变得越来越普遍。 也门也有罗宾·胡德 RobinHood Ransomware感染几乎没有什么不同。 RobinHood勒索软件几乎与大多数其他加密勒索软件木马相同。 RobinHood勒索软件将加密受害者的文件,然后要求勒索赎金,以换取恢复受影响文件所必需的解密密钥。 RobinHood勒索软件包含声称为也门人民服务的消息,其中提及沙特阿拉伯在也门杀害无辜者。 RobinHood勒索软件可以通过多种方式安装在受害者的计算机上。与RobinHood Ransomware链接的最常见分发方法是损坏的网站和链接,通常使用垃圾邮件消息或社交媒体上的策略进行分发。 RobinHood勒索软件包括一个宣传图片而不是标准的赎金票据,更改了受害者的桌面图片,以反映其据称为也门人民筹款的目的。 RobinHood勒索软件将加密大量文件,尤其是针对与Microsoft Office相关的媒体文件,照片和文档。 RobinHood Ransomware的桌面图像显示为“ HELP YEMEN”,并包含一条消息,指示受害者采取若干步骤进行恢复。 RobinHood...

于October 15, 2019发表在Ransomware

WannaCryptor或WanaCrypt0r勒索软件

WannaCryptor或WanaCrypt0r勒索软件 screenshot

WanaCrypt0r勒索软件是一种加密木马,具有类似于蠕虫的攻击策略。截至2017年5月12日,WanaCrypt0r勒索软件被公认为是最具威胁性和最广泛使用的加密木马之一。WanaCrypt0r勒索软件在第一版发布到真实世界时成功入侵了一百四十个国家的数十万个系统。攻击的首当其冲是俄罗斯的PC用户和英国的National Healthcare System。该木马成功地阻止了对连接到国家医疗保健系统的大多数计算机的访问,并且在俄罗斯记录了涉及WanaCrypt0r勒索软件的案例中近70%。 WanaCrypt0r勒索软件是一个独立的勒索软件木马,它能够感染运行Windows XP和Windows Server 2003的易受攻击的计算机。受害最大的国家是俄罗斯联邦,乌克兰,印度,英国和台湾。 谁在用WanaCrypt0r勒索攻击背后? WanaCrypt0r Ransomware背后的恶意软件作者利用了NSA发现的漏洞,该漏洞已被一群称为“影子经纪人”的黑客出售。该小组想出售NSA盗用的一套工具,但没人愿意购买他们的“产品”,并且该小组将所有可用资源上传到Internet。显然,WanaCrypt0r的创建者发现了一个漏洞,其代码为CVE-2017-0145,又名“ EternalBlue”,该漏洞使程序员可以将专门制作的数据包发送到SMB服务器,并在接收器端执行损坏的代码。攻击者设法安装了“ DoublePulsar”后门木马,这使他们能够将WanaCrypt0r勒索软件引入受感染的计算机和与其连接的其他计算机。 WanaCrypt0r勒索软件是持久威胁吗?...

于October 15, 2019发表在Ransomware

Ryuk勒索软件

Ryuk Ransomware是一种数据加密木马,已于2018年8月13日被识别。看来Ryuk Ransomware损害了私营公司和医疗机构的利益。据报道,美国和德国的感染组织有威胁者。初步分析表明,威胁是通过受感染的RDP帐户注入系统的,但是有可能存在并行的垃圾邮件活动,该威胁活动以启用宏的DOCX和PDF文件的形式承载了威胁有效载荷。 一般事实和归因 Ryuk Ransomware出现在2018年8月中旬,对全球主要组织进行了周密计划的针对性攻击,对受感染的PC和网络上的数据进行加密,并要求支付赎金以换取解密工具。 Ryuk并未展示出极其先进的技术技能,但是, 它与其他勒索软件的区别是它需要的巨大赎金 。金额取决于受影响组织的规模,而研究表明,攻击者已经从受害者那里获得了将近400万美元的敲诈资金,平均赎金为价值71,000美元的比特币,是其他恶意软件通常要求的金额的十倍。类。截至2019年1月,Ryuk要求的最低赎金金额为1.7 BTC,而最高为99 BTC。已知交易数量为52,收益已分配给37个BTC地址。 网络安全研究人员注意到Ryuk攻击与另一种名为HERMES的勒索软件之间存在相似之处,该勒索软件归因于国家资助的朝鲜APT组织Lazarus Group。在Ryuk首次露面时,研究人员认为它是基于HERMES源代码构建的,该源代码是由同一个黑客组织或另一个从地下恶意软件论坛获取该代码的演员组成的。 Ryuk和HERMES之间的某些相似之处得出了这一结论。两种勒索软件威胁共享相同的代码段,Ryuk中的几个字符串引用了爱马仕(Hermes),并且在Ryuk启动时,它还会检查每个加密文件中的HERMES标记,以找出系统是否已经受到HERMES的攻击。也存在一些关键差异,由于无法确定Ryuk欺诈性付款的最终接收者,因为恶意软件运营商会通过许多不同的比特币钱包转移资金,因此勒索软件的归属仍然是一个猜测问题。...

于October 15, 2019发表在Ransomware

更多文章

APT35

APT35(高级持续威胁)是一个黑客团体,据信源于伊朗。这个黑客组织也以其他几个别名而闻名-新闻广播员团队,磷,可爱的小猫和Ajax安全团队。 APT35黑客组织通常参与出于政治动机的活动和出于经济动机的活动。 APT35黑客组织倾向于将精力集中在针对人权活动家的参与者,各种媒体组织以及主要的学术领域。大多数运动在美国,以色列,伊朗和英国进行。 热门APT35活动 APT35最臭名昭著的一项操作是针对HBO于2017年进行的一项操作。其中,APT35泄漏了超过1TB的数据,其中包括员工的个人详细信息和节目,目前尚未正式发布。另一个臭名昭著的APT35战役使之成为现实,其中还涉及美国空军叛逃者。有关个人协助APT35访问机密政府数据。 2018年,APT35小组建立了一个网站,该网站旨在模仿一家合法的以色列网络安全公司。唯一的区别是假网站的域名稍有变化。该活动帮助APT35获得了该公司某些客户的登录详细信息。最近一次臭名昭著的活动涉及APT35,该活动已于2018年12月进行。在此行动中,APT35小组以“ Charming Kitten”的别名活动。这次行动针对的是在经济制裁以及当时对伊朗实施的军事制裁方面具有影响力的各种政治活动家。 APT35小组冒充与目标相同领域的高级专业人员。攻击者使用量身定制的网络钓鱼电子邮件,其中包含伪造的附件以及虚假的社交媒体资料。 APT35的DownPaper恶意软件 DownPaper工具是后门特洛伊木马,主要用作第一阶段的有效负载,并具有以下功能: 与攻击者的C&C(命令和控制)服务器建立连接,并接收要在渗透主机上执行的命令和有害有效负载。 通过篡改Windows注册表获得持久性。 收集有关受感染系统的信息,例如硬件和软件数据。 执行CMD和PowerShell命令。...

于October 10, 2019发表在Malware

APT28

APT28(高级持续威胁)是一个起源于俄罗斯的黑客组织。他们的活动可以追溯到2000年代中期。恶意软件研究人员认为,APT28小组的活动是由克里姆林宫资助的,因为它们通常针对外国政治人物。 APT28黑客组织最著名的名称是Fancy Bear,但在其他各种别名下也得到认可-Sofacy Group,STRONTIUM,Sednit,Pawn Storm和Tsar Team。 花式熊进行的臭名昭著的黑客运动 专家认为,花式熊参与了2016年民主党全国委员会的黑客攻击,一些人认为这对同年举行的总统选举的结果有一定影响。同年,由于涉及俄罗斯运动员的丑闻,花式熊组织也将目标对准了世界反兴奋剂机构。 Fancy Bear获得的数据随后被发布并公开提供。数据显示,一些兴奋剂测试呈阳性的运动员后来被豁免。世界反兴奋剂机构的报告指出,非法物质是用于“治疗用途”的。在2014年至2017年期间,Fancy Bear小组参与了针对美国,俄罗斯,乌克兰,波罗的海国家和摩尔多瓦的媒体名人的各种运动。花式熊追捕在媒体公司工作的个人以及独立记者。所有目标都参与了在乌克兰东部发生的俄罗斯与乌克兰冲突的报道。在2016年和2017年,德国和法国举行了大选,花式熊集团也很可能也将手指放在这些馅饼上。两国官员报告说,使用鱼叉式网络钓鱼电子邮件作为感染媒介的运动已经开展,但他们表示,黑客攻击没有任何后果。 花式熊的工具 为了逃避网络安全研究人员的窥探,Fancy Bear黑客小组确保确保定期更改其C&C(命令和控制)基础结构。该小组拥有一系列令人印象深刻的黑客工具,它们是私人开发的-X-Agent,Xtunnel,Sofacy,JHUHUGIT,DownRange和CHOPSTICK。通常,Fancy Bear而不是直接传播,而是更喜欢将其恶意软件托管在第三方网站上,这些网站是他们用来模仿合法页面来欺骗受害者的。...

于October 10, 2019发表在Malware

Potao Express

Potao Express是一个黑客团体,以他们开发的两种工具(FakeTC和Potato)而闻名。该黑客组织自2011年以来一直活跃,但自2017年以来,恶意软件研究人员一直在密切观察其活动。 假货 FakeTC恶意软件是称为“ TrueCrypt”的合法工具的欺诈副本。 FakeTC恶意软件的作者正在使用俄罗斯网站进行传播。攻击者仅选择他们所针对的某些用户,只有这些目标会收到FakeTC恶意软件,而所有其他用户将获得真正的应用程序TrueCrypt。这样,FakeTC恶意软件的创建者更有可能受到安全专家的监视。 FakeTC威胁为攻击者提供了有关受害者的信息。 FakeTC恶意软件的作者还能够在渗透的主机上执行其他任务。传统上,FakeTC恶意软件被部署为第一阶段的有效负载。 宝涛 Potao威胁是一个后门特洛伊木马,它使攻击者能够在受感染计算机上植入其他恶意软件。这可以通过执行系统上已经存在的文件或从Web下载并执行文件来实现。 Potao副本往往是由FakeTC威胁提供的。 自2011年以来变化不大 Potao Express黑客小组使用的首批工具之一是Potao恶意软件,该恶意软件自2011年以来一直是其武器库的一部分。PotaoExpress小组倾向于将工作重点放在前苏联国家(乌克兰,俄罗斯,白俄罗斯)的目标上和佐治亚州。但是,Potao Express黑客组织似乎主要针对位于乌克兰的媒体公司和军事机构。 Potao Express小组背后的人员还针对一个名为MMM的组织,该组织在俄罗斯和乌克兰经营庞氏骗局。众所周知,Potao Express黑客组织使用了带有损坏链接的虚假SMS消息。该链接伪装成一个交付跟踪网站。但是,这并不是Potao黑客组织采用的唯一感染媒介,因为他们倾向于定期更改其传播方式。 Potao Express小组已经运作了至少八年,但他们的活动相距甚远,以致于恶意软件研究人员无法更好地了解活动背后的人员。有人猜测Potao...

于October 10, 2019发表在Malware

精力充沛的熊

精力充沛的熊是一个被视为APT(高级持续威胁)的黑客组织。这个黑客组织也以另外两个别名而闻名:蹲伏的雪人和蜻蜓。精力充沛的熊倾向于瞄准工业部门以及能源部门的高级人才。充满活力的熊组通常会随着时间改变其偏好区域。总的来说,他们的大多数目标都集中在美国和欧洲,但是在2016年和2017年,他们的大部分努力都集中在土耳其。 大多数目标都在工业和能源领域内运作 精力充沛的熊倾向于使用各种攻击性技术以及极富创造力的方法将恶意软件传播到预定目标。 Energetic Bear通常会破坏服务器并将其转变为损坏的主机,这会传播可执行代码以在访问受感染网站的用户的系统上运行。这就是所谓的水坑攻击。 Energetic Bear使用的另一种攻击技术是将受损的系统用作其C&C(命令与控制)基础结构的一部分。这些被劫持的设备然后用于转储收集的数据和日志。 活力熊使用的工具 充满活力的熊小组采用了一系列公开可用的软件解决方案: 细分。 拍板 PHPMailer。 混合。 Wpscan。 子清单3r。 Sqlmap。 Nmap。 SMBTrap。 Dirsearch。 充满活力的熊小组使用Wpscan应用程序检测远程WordPress网站上可能存在的任何潜在漏洞。为了通过SMB协议定位任何数据,黑客小组采用了SMBTrap工具。可以使用同一应用程序收集受害者的密码NTML哈希。如果他们在这项工作中取得了成功,则攻击者可以在以后执行哈希传递攻击。 精力充沛的熊在其战役中使用PHP Shell 当Energetic Bear设法破坏主机时,只要系统连接到Internet,他们就可以在其上植入特定的Web Shell(PHP)。这些PHP Shell的主要目的是允许其操作员在受感染的计算机上执行远程命令。这使攻击者几乎可以完全控制受感染的系统。在研究与Energetic Bear操作链接的PHP文件时,网络安全研究人员发现,攻击者可能使用网络钓鱼电子邮件活动来传播恶意软件。...

于October 10, 2019发表在Malware

Kuub勒索软件

所有可疑的个人都试图跳上“勒索软件”的火车,因为文件锁定特洛伊木马程序被视为一种快速简便的方法,可以在毫无戒心的在线用户的基础上产生一定的收入。大多数勒索软件威胁以类似的方式运行-用户系统感染木马病毒,该木马程序立即执行扫描,查找感兴趣的文件,然后加密过程锁定目标数据,最后,威胁将丢弃勒索信息。 传播和加密 Kuub勒索软件是最近发现的数据加密木马之一,它不会偏离前面解释的路径。 Kuub勒索软件属于广受欢迎的STOP勒索软件家族。尚不清楚攻击者在Kuub Ransomware的传播中采用了哪些感染媒介。一些专家推测,包含感染附件,虚假应用程序更新以及流行软件的假冒盗版变种的垃圾邮件可能是攻击者使用的传播方法之一。当Kuub Ransomware渗透到主机时,它将对其进行扫描,并在触发加密过程后不久。完成此步骤后,您会注意到Kuub Ransomware已将新的扩展名附加到锁定文件-“ .kuub”。这意味着您将文件锁定特洛伊木马命名为“ nocturnal-creatures.jpeg”,该文件将重命名为“ nocturnal-creatures.jpeg.kuub”。 赎金记录 Kuub勒索软件在用户桌面上留下了赎金记录。注释的名称为“ _readme.txt”。注释中的消息指出,赎金为比特币形式的490美元。但是,攻击者警告说,除非在72小时内支付赎金,否则价格会翻一番,达到980美元。 Kuub Ransomware的作者要求通过电子邮件“ gerentoshelp@firemail.cc”和“ gorentos@bitmessage.ch”与他们联系。 您应该忽略负责Kuub Ransomware的网络骗子的要求。试图与这样的阴暗人士讨价还价没有什么好处。相反,请考虑下载并安装合法的反恶意软件解决方案,这将帮助您从系统中安全删除Kuub...

于October 10, 2019发表在Ransomware

'Winlogui.exe'矿工

全球有几位用户报告说,他们的系统上运行着未知进程。有问题的进程是“ Winlogui.exe”。 “ Winlogui.exe”的创建者已确保在名称中添加“ Win”部分,该部分通常表示合法的Windows相关进程,并且不会引起任何怀疑。但是,事实并非如此。 “ Winlogui.exe”进程表明存在加密货币矿工。加密货币矿工使用大量的CPU往往会对主机产生负面影响,从而导致整个系统运行缓慢和性能不佳。在其系统上植入了加密货币矿工的用户可能会极大地影响其浏览质量。邪恶的参与者在目标系统上植入了加密货币矿工,以自己创造现金,同时还使用大量电力并缩短了渗透设备的使用寿命。 传播方式 恶意软件研究人员无法查明'Winlogui.exe'Miner传播背后的确切传播方法。攻击者可能使用了恶意广告活动,盗版应用程序以及媒体,伪造的软件更新,洪流跟踪器等。 自我保存技术 例如,“ Winlogui.exe”矿工的作者确保了他们的威胁能够检测到用户何时尝试使用链接到系统性能分析的应用程序,例如Windows Task Manager。如果检测到此类活动,“ Winlogui.exe”矿工将停止活动,以使用户不会注意到正在使用多少额外的CPU,并会发现某些信息不正确。该矿工还篡改Windows注册表,以确保每次重新引导系统时都会启动损坏的可执行文件。为了强制在Windows启动时启动该矿机,将链接器文件(.lnk)添加到启动目录,该文件链接到“ Winlogui.exe”。 如果您发现系统性能不佳,请使用性能分析工具找出问题所在。但是,像“...

于October 10, 2019发表在Trojans

柠檬鸭

恶意软件研究人员继续发现采用各种加密劫持恶意软件的威胁性活动越来越多。最新发现是Lemon_Duck威胁。看来,大多数涉及这种加密劫持恶意软件的活动最初都集中在亚洲。但是,此后,Lemon_Duck恶意软件已遍及全球,每天都在造成越来越多的受害者。 Lemon_Duck威胁的作者似乎主要针对公司,因为这通常比追求普通用户更有利可图。 Lemon_Duck威胁的创建者旨在破坏尽可能多的系统,建立一个加密货币矿工,并使用受感染主机的处理能力来挖掘加密货币。当然,所有现金都将转移到攻击者的加密货币钱包中。 蛮力攻击 Lemon_Duck的目标是连接到Web的知名不安全服务(包括Microsoft SQL(MS-SQL))感染主机。此威胁检查两个已知的Web服务SMB(445),MS-SQL(1433),以及在感染主机时默认情况下运行Lemon_Duck的一个Web服务。 Lemon_Duck威胁使用密码执行蛮力攻击,试图将其强制进入目标主机。再次执行与前面提到的蛮力攻击类似的操作,除了这次,攻击者使用散列来获取对目标NTLM(NT Lan计算机)服务的访问权限。 当Lemon_Duck恶意软件设法渗透到系统时,它可以: 用恶意LNK文件破坏USB驱动器。 以易受攻击的Samba服务为目标,并利用EternalBlue漏洞在主机之间传播。 尝试使用蛮力字典攻击向RDP授权。 收集有关主机的信息 为了对受感染的主机保持持久性,Lemon_Duck威胁向Windows启动文件夹中添加了一个“ lnk”文件。除了通过渗透系统中植入的加密货币挖矿机挖掘加密货币之外,Lemon_Duck恶意软件还可以使用WMI(Windows管理规范)服务执行远程命令。 Lemon_Duck恶意软件可确保连接到攻击者的C&C(命令与控制)服务器,并每小时向他们提供信息。 Lemon_Duck威胁正在窃取其操作员的信息包括有关受感染系统上存在的用户帐户的数据以及软件和硬件信息。...

于October 10, 2019发表在Malware

“ChaosCC Hacker Group”电子邮件欺诈

在线上一些邪恶的演员是非常熟练的人,具有令人难以置信的引起混乱的能力。然而,其他能力远远不及其他人的人,往往依靠社会工程技术快速赚钱。 “ ChaosCC Hacker Group”电子邮件欺诈就是这种情况。负责此策略的个人假装是一个名为“ ChaosCC Hacker Group”的威胁性黑客组织。但是,不存在这样的黑客组织,所有这些都假装使用户感到恐惧,因为他们已经成为一些残酷无情的个人的受害者,这些个人现在掌握了命运。 “勒索”计划 “ ChaosCC Hacker Group”策略是通过伪造的垃圾邮件进行的。在电子邮件中,攻击者声称当他们在取悦自己的同时在线欣赏一些成人娱乐视频时,已经通过网络摄像头记录了该用户。 “ ChaosCC Hacker Group”电子邮件骗局的作者还指出,他们已在用户系统上植入了其他间谍软件,这有助于他们收集有关它们的更多数据。更糟的是,攻击者还声称已获得用户的联系人列表及其社交媒体好友列表的访问权限。他们继续说,除非用户以比特币的形式向他们支付700美元,否则这个尴尬的视频将被发送给他们的所有朋友,家人和同事。然后,通知用户他们只有60个小时来支付费用,否则该死视频将在他们的联系人列表中分发。这是在线欺诈者常用的方案,通常称为“勒索”。 您会很高兴知道大多数“勒索”方案都是骗局。这意味着攻击者在声称拥有用户记录时通常会张开牙齿,而且值得庆幸的是,“ ChaosCC Hacker...

于October 10, 2019发表在Adware

Zestradar.com

如今,大多数Web浏览器都具有“网站通知”功能。许多网页会要求您允许它们发送通知,而某些网页可能非常有用。例如,网站会在您的心愿单上的商品获得折扣时通知您,网页会为您提供最新的最新新闻报道,或者流媒体平台会在您最喜欢的创作者上线时通知您。但是,并非所有请求通知权限的网站都将为您提供优质的内容。某些用户,例如Zestradar.com网站,将改为利用此许可权,并不断向您发送垃圾邮件,并向您发送垃圾邮件。 轰炸用户通知 Zestradar.com网页似乎是一个低质量的网站,其中包含有关各种主题的博客文章。 Zestradar.com网站涵盖的一些主题是小工具,设计,电影,旅行等。但是,正如我们提到的,此网页上的内容质量很低,我们可以向您保证,您可以找到更好的信息来源。比Zestradar.com当然好。浏览Zestradar.com网站的用户将被要求授予页面发送浏览器通知的权限。如果用户同意,则Zestradar.com网页将毫不犹豫地开始用有关帖子的通知轰炸他们。这样做是希望用户随后单击该通知并重定向到Zestradar.com网站。这样,Zestradar.com网页的创建者就可以通过点击和点击量产生广告收入。这个可疑网站背后的人甚至走得更远,并使用了可疑的广告网络服务,这将确保即使不浏览网页的用户也会收到提示,要求他们允许Zestradar.com页面进行通知。 值得庆幸的是,Zestradar.com网站似乎并未宣传其他狡猾的内容。许多与Zestradar.com相似的网页都倾向于推送诸如成人娱乐网站,假赠品和可疑赌博平台之类的可疑内容。...

于October 10, 2019发表在Browser Hijackers

MasterMana僵尸网络

MasterMana僵尸网络活动首次发现于2018年底。自那时以来,恶意软件研究人员估计,受此威胁侵害的系统约为3,000个。在运行了这么长时间之后,人们可能会认为MasterMana僵尸网络将包含大量受感染的系统。但是,此活动不是开玩笑,因为攻击者利用了高端RAT(远程访问特洛伊木马),这使他们几乎可以完全接管受感染的系统。 定位企业 MasterMana僵尸网络的创建者使用包含受感染的“ .DLL”文件的垃圾邮件将威胁发送给目标。看来MasterMana僵尸网络的运营商并不会追随普通用户,而是会瞄准公司。他们使用一种称为网络钓鱼的技术,这意味着采用了各种社交工程方法来确保用户将执行攻击者希望的操作。在MasterMana僵尸网络的情况下,将针对他们量身定制发送给目标企业的电子邮件。 设置MasterMana僵尸网络成本不到$ 200 网络安全专家评估过,运行MasterMana僵尸网络的网络骗子很可能几乎没有花任何钱来建立自己的网络。他们雇用了两个特洛伊木马(即AZORult和RevengeRAT ),它们总共花费约100美元,并且还租用了不超过60美元的VPS(虚拟专用服务器)。 竞选中使用的两个RAT AZORult后门特洛伊木马可以归类为间谍软件,因为它能够收集登录凭据,Cookie,浏览器历史记录甚至是加密货币钱包。 RevengeRAT是一种威胁,通常被用作第一阶段的有效负载,并为攻击者在目标主机上植入其他恶意软件铺平了道路。此外,RevengeRAT还可以收集有关主机的信息并执行远程命令。 不使用远程C&C服务器 大多数操作僵尸网络的骗子通常都是通过远程C&C(命令与控制)服务器来这样做的。但是,MasterMana僵尸网络的创建者将其内容托管在Pastebin,Blogspot和Bitly上。当MasterMana恶意软件入侵主机时,它将从这些平台之一中获取损坏的有效负载,对其解密,然后在主机上执行。...

于October 10, 2019发表在Botnets

“Jeanson J. Ancheta”电子邮件欺诈

并非所有的网络犯罪分子都像我们有时倾向于感知它们那样聪明和有能力。他们往往更多地依靠我们的天真和无知,而不是依靠自己的技术技能,将利爪沉入我们的钱包。 “ Jeanson J. Ancheta”电子邮件骗局就是这种情况。 使用臭名昭著的黑客的名字来恐吓用户 通过调查此操作,恶意软件专家发现其背后的可疑人员似乎是一个低端黑客团体。他们使用了臭名昭著的美国黑客Jeanson James Ancheta的名字。他因经营僵尸网络已入狱五年。 “简森·安切塔(Jeanson J. Ancheta)”策略的作者可能使用了臭名昭著的网络骗子的名字作为一种社会工程技术。他们依靠这样的事实,即用户将使用Google的名称,并可能认为他们已经成为像Jeanson James Ancheta这样极具威胁性和高知名度的网络犯罪分子的受害者,这反过来又使他们更有可能付钱。要求的费用。但是,当Ancheta级别的网络骗子发起恶意活动时,将永远不会使用其真实姓名。 声称拥有一部由用户主演的有损视频 “ Jeanson J. Ancheta”电子邮件骗局的作者指出,最初,他们的想法是感染用户的计算机并锁定所有数据,然后向他们提供电子解密工具以换取现金。但是,该计划似乎已更改,因为“ Jeanson J. Ancheta”战术可归类为“勒索”行动。攻击者声称,他们可以访问受害者的网络摄像头,并记录了他们在网上享受成人娱乐时从事不当行为。此外,“ Jeanson J. Ancheta”电子邮件骗局的创建者指出,他们也有权访问用户的联系人列表,并且除非向攻击者支付以比特币形式支付的650美元,否则每个人都将收到假定的令人尴尬的视频。...

于October 10, 2019发表在Adware

Galacti-Crypter勒索软件

网络安全研究人员正努力与所有新出现的勒索软件威胁保持同步,这些威胁似乎每天都在弹出。 Galacti-Crypter Ransomware是最近发现的文件加密木马之一。 传播和加密 专家无法确定与Galacti-Crypter勒索软件的传播有关的感染载体。一些人推测,攻击者可能正在使用垃圾邮件活动,虚假的应用程序更新以及流行的软件工具的假冒盗版变种。一旦Galacti-Crypter Ransomware渗透到系统中,就会执行扫描。扫描将找到要加密的文件。通常,勒索软件威胁的目标是一长串文件类型,几乎所有常规PC上都可能存在这种文件类型,从而确保最大程度的损害并增加了获得报酬的机会。接下来,Galacti-Crypter Ransomware将开始锁定所有标记为加密的文件。像大多数勒索软件威胁一样,此数据锁定特洛伊木马不会像大多数勒索软件威胁那样在锁定文件的文件名末尾添加新的扩展名,而无需更改扩展名即可对文件名本身进行编码。 赎金记录 Galacti-Crypter Ransomware的赎金票据将在一个名为“ Galacti-Crypter 1.8”的新窗口中启动。数据加密木马的大多数作者都会提供详细的联系方式,以便受害者可以与他们取得联系并可能获得进一步的指示。但是,Galacti-Crypter Ransomware的作者没有提及任何联系信息。但是,他们确实指出赎金是150美元,并且是以比特币的形式要求的。攻击者还提到用户只有72小时才能完成交易。 好消息是,有一个免费的,公开可用的解密工具,与Galacti-Crypter Ransomware兼容。它的名称为“ GalactiCrypter Decryptor”,如果您使用它,将能够恢复所有加密的数据。但是,下载并安装信誉良好的防病毒工具并使用它彻底清除系统中的Galacti-Crypter...

于October 10, 2019发表在Ransomware

濑户勒索软件

2019年最普遍的恶意软件之一是文件加密木马程序,也就是勒索软件威胁。有些勒索软件威胁是独特的,并且是从头开始构建的,而另一些则倾向于基于已建立的数据加密木马的代码。自然,前者要花费更多的时间和精力,因此大多数网络骗子都会选择后者。 传播和加密 Seto Ransomware就是这种情况–网络上最近发现的勒索软件威胁之一。当研究人员研究这种威胁时,他们发现它是臭名昭著的STOP勒索软件的另一种变体。报告他们已成为Seto Ransomware受害者的用户正在堆积。看来,这种威胁的创造者在传播其创造方面非常成功。不确定与濑户勒索软件的传播有关的特定感染媒介是什么。一些专家认为,背后的网络骗子可能使用了欺诈性软件更新,包含受感染附件的电子邮件,甚至伪造了流行应用程序的盗版副本。每台受感染的计算机都将被扫描。此扫描用于确定Seto Ransomware编程为目标的文件的位置。然后,Seto Ransomware将触发加密过程。 Seto Ransomware将对所有目标文件应用加密算法并将其锁定。每个锁定的文件都将带有'.seto'扩展名。例如,当Seto Ransomware的加密过程完成时,名为“ sunset-hill.jpeg.seto”的照片将重命名为“ sunset-hill.jpeg.seto”。 赎金记录 下一步,Seto Ransomware将删除其赎金记录,名为“ _readme.txt”,并且消息状态为: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具:...

于October 10, 2019发表在Ransomware

Geost僵尸网络

Geost僵尸网络是一项主要在俄罗斯联邦境内开展的运动,因为它针对的是五家俄罗斯银行。 Geost恶意软件追随Android设备,到目前为止,专家估计该僵尸网络包含超过800,000台受感染的计算机。 通过200多个虚假应用程序传播 似乎Geost僵尸网络的创建者正在使用伪造的应用程序传播其恶意软件。用于传播Geost恶意软件的软件似乎主要是伪造的社交媒体和银行应用程序。这些欺诈性应用程序未托管在官方的Google Play商店中,但可以在俄罗斯流行的第三方Android应用程序商店中找到。网络安全研究人员已经确定,可能有200多个伪造的应用程序携带Geost恶意软件。 使用HtBot恶意软件,并且不加密与C&C服务器的通信 人们认为,Geost僵尸网络是一个相当安静地开展的运动,如果不是因为头脑不好的演员采取了几次错误的措施,那么该僵尸网络的活动可能已经在相当长的一段时间内一直在专家的监视下更长。 Geost僵尸网络的运营商正在使用HtBot恶意软件,以将受感染的主机转变为代理服务器。但是,网络安全研究人员发现了HtBot恶意软件的活动,这有助于专家检测Geost僵尸网络本身。此外,Geost僵尸网络的运营商未能加密网络与攻击者的C&C(命令与控制)服务器之间的通信。一旦研究人员找到了攻击者的服务器,就很容易监视流量并收集有关僵尸网络活动和功能的更多信息。 能够监视受害者的短信 当Geost恶意软件入侵设备时,它将能够读取和收集受害者的文本消息。当涉及与银行相关的恶意软件时,这是一个非常有用的功能,因为大多数银行门户网站都需要两步验证。此外,Geost恶意软件还确保从设备上清除所有证据,以使用户永远无法发现发生任何错误。 恶意软件研究人员推测,Geost僵尸网络操作可能非常成功,其背后的骗子可能已经赚了几百万欧元。迄今为止,Android...

于October 10, 2019发表在Botnets

紫狐

自2018年以来,Purple Fox Trojan下载器一直是恶意软件研究人员所关注的威胁。到目前为止,专家认为,该Trojan已成功在全球范围内夺走了30,000多名受害者。 Purple Fox Trojan的创建者已更新了威胁,现在正在使用RIG Exploit Kit将其创建内容注入目标主机。 Purple Fox Trojan下载器的有效负载不再依赖NSIS安装工具,而是依赖PowerShell命令。通过这种方式,攻击者已确保使整个操作更安静,并减少研究人员或反恶意软件工具发现的可能性。紫狐特洛伊木马的运营商倾向于将其主要用于在受感染主机上植入加密矿威胁。但是,此Trojan下载程序也可以用于植入更多有害威胁。 紫狐特洛伊木马使用的漏洞 除了使用RIG Exploit Kit之外,Purple Fox Trojan下载器的管理员可能还会采用其他传播方法。专家认为,紫狐木马也可能通过恶意广告活动以及虚假下载进行传播。当前,用于传播Purple Fox Trojan的RIG Exploit Kit正在检查受害者的以下漏洞: VBScript漏洞– CVE-2018-8174。 Adobe Flash漏洞-CVE-2018-15982 Internet Explorer漏洞– CVE-2014-6332。 如果渗透的帐户没有管理员权限,则威胁将寻找CVE-2018-8120和CVE-2015-1701。 与以前的Purple Fox下载器版本类似,此变体具有带有管理员特权的文件,这些文件随后通过损坏的驱动程序模仿主机上已经存在的类似文件,从而掩盖了其在系统上的存在。 用户需要开始更加认真地对待网络安全。恶意软件研究人员最常见的建议之一是保持所有软件的更新。不幸的是,大多数在线用户都认为这太繁琐了。但是,如果您的所有应用程序都是最新的,则诸如Purple Fox...

于October 10, 2019发表在Trojans
1 2 3 4 5 6 7 8 9 10 11 14