想要死亡勒索软件

互联网上流传着无数的勒索软件威胁,每天都有新的威胁出现。 Wanna Dead Ransomware是这些全新的数据锁定特洛伊木马之一。当安全专家研究这种威胁时,他们发现Wanna Dead Ransomware是非常受欢迎的Hidden Tear Ransomware的变种。 不攻击伊朗计算机 Wanna Dead Ransomware的一个有趣特征是它被编程为检查受感染系统的语言是设置为波斯语还是时区设置为伊朗。如果是的话,Wanna Dead Ransomware将停止攻击。这种威胁很可能源自伊朗,其作者已经决定将他们的同胞放在一种奇怪的爱国主义行为中。 感染系统 没有透露Wanna Dead Ransomware传播中涉及的确切感染载体是什么。包含宏绑定附件,欺诈性软件更新和受感染的盗版应用程序的电子邮件可能是Wanna Dead Ransomware的作者用于传播其创建的传播方法之一。 Wanna Dead Ransomware一旦渗入系统就会执行扫描。目标是找到将成为锁定目标的文件。接下来是加密过程。 Wanna Dead Ransomware为所有新锁定的文件应用了一个新的扩展名 - “.locked”。这意味着当Wanna Dead Ransomware加密时,最初名为'summer-storm.mp3'的音频文件将被重命名为'summer-storm.mp3.locked'。 赎金票据 下一阶段是赎金票据的丢弃。 Wanna Dead Ransomware的笔记叫做'READ_IT.txt'。在其中,攻击者要求0.035比特币(在写这篇文章时约为410美元),并提供他们的比特币钱包地址。他们还向用户提供了一封电子邮件,他们可以联系攻击者 - “jokerkid@protonmail.com”。为了证明他们可以解锁加密数据,Wanna Dead...

于July 19, 2019发表在Ransomware

Godes Ransomware

Godes Ransomware是最近出现的众多勒索软件威胁之一。当网络安全研究人员发现它时,他们解剖了威胁并发现它属于众所周知的STOP Ransomware系列。 感染和加密 恶意软件专家无法确定在传播此文件锁定特洛伊木马时应用的传播方法是什么。有些人认为,Godes Ransomware的创建者可能正在使用虚假应用程序更新,大规模垃圾邮件活动以及损坏的盗版软件来传播他们的威胁,因为这些是传播恶意软件的最常见技术。将扫描新感染的计算机,以便Godes Ransomware可以确定文件的位置,这些文件将被标记为加密。完成此阶段后,Godes Ransomware将继续锁定目标数据。经过Godes Ransomware加密过程的文件将更改其名称。 Godes Ransomware在文件名末尾添加了“.godes”扩展名。例如,如果您最初将照片命名为“thunderbolts.jpeg”,则当Godes Ransomware将其锁定时,其名称将更改为“thunderbolts.jpeg.godes”。 赎金票据 接下来,Godes Ransomware会丢掉赎金票据。很可能Godes Ransomware的作者遵循命名模式使用了大多数STOP Ransomware变种 - '_readme.txt'。通常,属于STOP Ransomware系列的勒索软件威胁使用相同的电子邮件地址 - “gorentos@bitmessage.ch”,“ferast @ firemail.cc”,“vengisto @ firemail.cc”,“vengisto @ india.com”, 'stoneland@firemail.cc。'他们有时也选择发出电报联系人 - @datarestore。...

于July 19, 2019发表在Ransomware

Pitou

Pitou是一个bootkit,似乎是旧版威胁的增强版本。 Pitou bootkit的作者可能受到了Srzizbi rootkit的启发,并使用其代码来构建他们的创建。 Pitou bootkit的创建者已经对这种威胁进行了一些重大改进。 Pitou恶意软件被种植在硬盘驱动器的MBR(主引导记录)中,因此变得非常难以发现并且长时间不被反恶意软件软件检测到。 坚持 Pitou bootkit获得了不依赖于软件或操作系统设置的持久性 - 即使重新安装Windows,恶意程序也可能会持续存在。经典的rootkit依赖于模拟系统驱动程序,该驱动程序将为受感染的主机提供恶意程序管理权限,以及不依赖于注册表修改的持久性。另一方面,bootkit是一个更高级的项目,通过将自身添加到受感染设备的硬盘驱动器的主引导记录中获得相同的结果。 Pitou bootkit的另一个自我保护功能是它能够检测它是否在沙盒环境中运行。它通过浏览正在运行的进程,注册表和系统指纹来完成此操作。如果任何系统信息都有流行的机器仿真软件的痕迹,如VirtualBox,Bochs,Innotek或其他,Pitou bootkit将停止攻击。 攻击的目标 当Pitou bootkit感染计算机时,它将连接到攻击者的远程服务器。然后,威胁将被发送到电子邮件主体,地址和邮件服务器,Pitou bootkit将用于攻击。然后,受害者的PC将用于大规模垃圾邮件活动,通常会推广像Cialis或Viagra这样的药物。 这是一种非常高端的恶意软件,运行非常安静。确保您已经安装了一个信誉良好的反恶意软件应用程序,这将使您的PC免受Pitou...

于July 26, 2019发表在Malware

Coldroot RAT

Mac用户有时被网络犯罪分子视为一个容易攻击的目标。这是因为Apple用户在涉及到他们的计算机时会有一种虚假的安全感,认为他们几乎无法通过恶意软件进行攻击。这种心态已经引起了不少苹果用户的担忧。 Coldroot RAT是一种远程访问特洛伊木马程序,专门针对OSX,Windows和Linux而构建。 该项目 第一次注意到Coldroot RAT是在线安全扫描服务。 Coldroot RAT的创建者拥有一个YouTube频道,他们声明他们的项目将在市场上供愿意支付的人使用。他们甚至有一个官方网站,似乎Coldroot RAT自2016年开始投入使用。尽管YouTube频道有承诺,但Coldroot RAT仍未公开发布,这导致一些专家确信创作者这种威胁可能完全放弃了这个项目。 写在Pascal Coldroot RAT的作者在Pascal中写下了这个狡猾的威胁。尽管这种语言被认为是相当陈旧的,但它尚未过时,可用于创建一些非常有效的恶意软件。这是因为用Pascal编写的威胁可以针对Windows,OSX和Linux。不更新其OSX的用户将特别容易受到Coldroot RAT的攻击。此远程访问特洛伊木马针对某些旧版OSX中的漏洞,通过它们,它可以在Mac上植入键盘记录程序。 当Coldroot RAT感染Mac时 Coldroot RAT注册了一个名为“com.apple.audio.driver”的OSX组件 - 一个模拟合法音频服务的简单技巧。然后将伪组件注册为新的LaunchDaemon,它将提供威胁持久性。这样做是为了留在受害者的雷达之下。然后,Coldroot RAT将与其作者的C&C(命令和控制)服务器建立连接,并将注册新感染的计算机。通过这样做,Coldroot RAT提供有关渗透系统的C&C信息: OSX版本。 计算机架构。 网络摄像头的状态。 用户名。 Coldroot RAT没有太令人印象深刻的功能列表。但是,它们仍然可能对受害者造成重大损害。...

于July 26, 2019发表在Remote Administration Tools

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat screenshot

微软最近放宽了一个非常面纱不愉快fileless恶意软件的作品而不必成为受害者的机器上安装窃取数据- 亚斯她录 。 直接从神秘书籍“Ars Goetia”和“所罗门之钥”中以同名恶魔命名,据说通过虚荣和懒惰诱惑他的受害者,这种恶意软件自2017年以来一直在流通。它主要用于从南美和欧洲公司窃取有针对性攻击的数据,这些攻击使用鱼叉式网络钓鱼作为入境点。 根据微软后卫APT的研究员Andrea Lelli的说法,有一些东西可以让这种特殊的感染变得独一无二,因为它有能力根据一些传统的反病毒程序的检测方法隐秘地渗透。 根据Lelli的说法,Astaroth以个人凭证,键盘记录等信息窃取而臭名昭着,这些数据随后被泄露到远程服务器。然后,攻击者使用这些数据进行金融盗窃,将个人信息出售给其他犯罪分子,甚至跨网络横向移动。 Astaroth如何感染系统 攻击通常在受害者打开电子邮件中的链接时开始,该电子邮件是在考虑使用鱼叉式网络钓鱼的情况下发生的 - 这是攻击者在其操作过程中使用的社交工程工具。这种骗局旨在打开链接,这会打开终端命令的快捷方式文件,最终下载并运行JavaScript代码,从而使感染成为可能。该脚本下载并运行两个DLL文件,用于处理所收集信息的记录和上载,同时假装是合法的系统进程。 该过程适用于基于签名的检测工具,因为只下载或安装DLL文件。这使得它几乎没有机会在此过程中扫描并捕获攻击。自2017年末以来,这种方法使得Astaroth能够在雷达下飞行并在网上茁壮成长,而不依赖于木马下载或任何漏洞攻击。 无文件恶意软件检测措施...

于August 29, 2019发表在Computer Security

'Agent Smith' Android Malware Secretly Replacing WhatsApp and Others Infects 25 Million Devices

Android设备对恶意软件威胁和各种恶意攻击并不陌生,主要是通过受感染的应用程序。不幸的是,对于Android设备,用户倾向于从Google Play商店或各种第三方来源获取应用程序恶意应用程序,而iPhone用户通常从受控且主要是无恶意软件的Apple App Store环境获取应用程序。事实证明,最新一批受恶意软件困扰的应用程序是以被称为Agent Smith的恶意软件的形式出现的,该软件以秘密取代Android设备上的WhatsApp应用程序而闻名。 Agent Smith Android恶意软件希望利用操作系统中的漏洞,它会在没有用户注意的情况下自动替换合法应用程序。 Agent Smith被发现秘密取代的主要应用程序是WhatsApp,Flipkart,Opera Mini,据说是来自联想和Swiftkey的应用程序。 有关WhatsApp及其被Agent Smith恶意软件利用的一个特别注意事项是WhatsApp在180多个国家/地区拥有超过15亿活跃用户。但是,这些用户中只有一部分是Android用户,这导致Agent Smith应用程序迄今为止影响了超过2500万台设备。 特工史密斯来自哪里? Check Point是第一批发现Agent Smith恶意软件的人之一,它从流行的The Matrix系列电影中得到了它的聪明名字,因为它的行为有点类似于电影中名为“Agent Smith”的角色。 还怀疑在Agent Smith恶意软件的核心模块上使用默认的应用列表来搜索受感染的设备。 Check Point揭示的app命令和控制服务器列表如下: WhatsApp的 lenovo.anyshare.gps mxtech.videoplayer.ad jio.jioplay.tv jio.media.jiobeats jiochat.jiochatapp jio.join good.gamecollection opera.mini.native...

于July 31, 2019发表在Computer Security

Paradigm Shift for Ransomware - Massive Payouts Coming from City Government Networks

勒索软件几年来一直是最重要的在线威胁,对私人用户,小型和大型企业都是如此。然而,似乎各种勒索软件背后的不良行为者正在探索新的场地,并寻找从受害者那里勒索大笔资金的新方法。 勒索软件最近令人担忧的趋势是针对市政和城市政府网络而非企业的攻击非常明显的转变。 2019年发生了针对美国城市网络的一系列勒索软件攻击。 最近遭受关注的许多勒索软件攻击很多,被确定为Cerber , Sodinokibi , Vesad Ransomware ,甚至是着名的GandCrab威胁。虽然一些较为流行的威胁可能不会对攻击城市政府网络负责,但一些传播此类威胁的黑客可能是肇事者。 受害的城市政府拨出数百万美元来获取他们的数据 导致市政府大规模支付的最新勒索软件攻击发生在佛罗里达州的两个城市。在勒索软件取消政府网络后,Lake City和Riviera Beach共支付了约110万美元,禁用了运营城市的重要系统和设备。 这些攻击发生在杰克逊县之后,乔治亚州支付了大约40万美元从其网络中获取勒索软件。亚特兰大市在2018年末花费超过700万美元从勒索软件攻击中恢复过来,尽管最初的赎金需求仅为5万美元。在2019年中期,巴尔的摩遭受勒索软件攻击,带来了价值1800万美元的损失。 针对市政网络的网络勒索史无前例的增长导致地方当局在联邦层面上寻求官方呼吁。亚特兰大市长Keisha Bottoms在国会提出了这个问题,并要求更好地获取信息以及“实时威胁信息”和“救灾资金”,以帮助抵消勒索软件攻击造成的损害。保险公司仍在适应这种不断变化的网络威胁形势,一些公司已经提供了涵盖类似攻击的计划。...

于June 28, 2019发表在Computer Security

Warning: Digitally Signed Malware is On the Rise

从理论上讲,代码签名是区分合法可执行文件和可疑的,可能有害的恶意软件的绝佳工具。然而,最近对在线威胁数据库的提交表明了一个令人担忧的趋势 - 越来越多的真实恶意软件正在分发,并且真正的权威机构颁发了非常真实的证书。 在大约12个月的过程中,使用各种工具和方法收集,编目和分析威胁样本的VirusTotal已经累积了近4000种不同的恶意软件,这些恶意软件都经过合法的认证机构的数字签名。颁发这些证书的机构包括Entrust,DigiCert,Go Daddy,GlobalSign,Sectigo和VeriSign。这些数据来自Medium's Chronicle Blog发布的一份报告。 可能会有比原先想象的更多的数字签名恶意软件 更重要的是,所引用的数字也被认为是相当保守的,并且可能并不表示数字签名恶意软件的真实传播,因为在形成它们时存在许多限制性标准。在仅搜索Windows便携式可执行文件时发现了3,815个签名恶意软件样本,并且未包含任何未从各种引擎中引发至少15次检测的文件。 正如安全研究人员指出的那样,数字签名的恶意软件是一个大问题,因为它允许严重威胁在环境中轻松操作,否则这些环境会采取良好的安全措施。 发给实际恶意软件的证书数量最多似乎来自Sectigo,以前称为Comodo。在3,815次检测中,超过一半的检测结果来自Sectigo。这种流行可能源于Sectigo也是最大的认证机构。...

于June 14, 2019发表在Computer Security

Beware: Scammers are Aggressively Targeting Senior Citizens

美国老龄问题特别委员会发布了2018年影响老年人的顶级骗局的报告。这些信息是根据人们与欺诈者分享问题的免费热线举报。用户可以采取一些措施来防止成为目标或成为诈骗者的受害者,例如: IRS模仿诈骗 如果您碰巧接到自称为美国国税局的电话,您应该立即挂断电话。该机构通常通过信件联系人,而不是使用电话。 美国国税局的代表绝不会要求纳税人提出付款要求 ,要求预付借记卡,礼品卡或发出威胁。 未经请求的电话 用户不应在未经请求的电话出现时提供任何个人信息。如果来电者声称他们属于政府机构或寻求个人信息的公司,请立即挂断电话并拨打您帐户的电话号码。更好的是,在代理网站上拨打电话,以确定个人信息请求是否合法。 抽奖和牙买加彩票诈骗 这种骗局是一种受欢迎的骗局,要求人们出于一些所谓的理由向陌生人汇款,例如税收和处理费用,这些都有望带来收益。毋庸置疑,用户不应向任何提出此类索赔的人发送任何资金。美国和牙买加政府正在努力消除这一问题并引渡这些骗局背后的罪犯,但建议公民保持警惕。 计算机技术支持诈骗 这是一个常见的骗局,涉及伪装成微软或Apple支持代表的诈骗者。他们声称您的计算机已被病毒感染,然后将用户指向数据或计算机上的错误消息以“证明”他们具有远程访问权限。但是,数据或消息是所有计算机上都存在的数据或消息。有些变体要求用户点击电子邮件中的链接,该链接将勒索软件加载到受害计算机,将其锁定并要求资金来解决问题。避免勒索软件风险是必须的,因此用户不应该点击此类电子邮件。如果第三方突然联系您,请勿访问您的计算机。如果您有任何理由相信您的计算机受到感染,您应该找到IT商店或安全软件公司的帮助。 老年金融诈骗 根据政府问责局的数据,由于金融剥削,老年人每年损失超过29亿美元。报告显示,大多数受害者年龄在80至89岁之间,独居并需要日常生活帮助。这些罪行的肇事者往往包括法定监护人,家庭护理员,财务顾问,甚至家庭成员,除了通过电子邮件,电话或互联网通过电话联系的常见罪犯。 浪漫诈骗者...

于June 14, 2019发表在Computer Security

Magecart Card Skimmers Expand Attack Portfolio

Magecart不是一个新的在线购物车API的名称,而是一个网络犯罪分子网络的名称,他们已经窃取信用卡凭证几年了。安全研究人员最近发现其中一个由Magecart名称所知的大型网络组成的团队使用了一种新的攻击方法。 Magecart现在能够使用看起来像普通信用卡支付界面的iframe注入零售网站。在这种情况下使用的不同方法是Magecart不会扫描合法的付款方式以替换可以撇去的付款方式。相反,带有恶意付款表单的iframe会被转储到每个PHP页面的代码中,但只有在页面上有常规购物车结帐表单时才会显示。 对于有经验的用户来说,恶意框架的格式应该是相对明显的,并且他们应该能够立即发现问题,因为在任何正常的支付形式中都找不到所需的字段。该过程还告诉受害者他们将被重定向到第三方网站,在那里交易将最终确定 - 另一个赠品,使用付款和程序不太正确。...

于June 18, 2019发表在Computer Security

Hackers Deploy GandCrab Ransomware Through a Patched Confluence Vulnerability

澳大利亚公司Atlassian Confluence的协作软件再次出现在黑客的雷达上。尽管该公司在2019年3月20日发布了针对其主要产品中的一系列关键漏洞的补丁,看起来攻击者仍然能够利用这些漏洞中的一个来感染全球数千家公司的服务器,其中包含广泛且具有破坏性的GandCrab勒索软件 。 GandCrab出现在2018年1月,目前它的创作者仍然在地下论坛上向其他黑客组织提供,以换取一部分利润。由于最新的GandCrab 5.2版本仍然没有免费解密密钥,因此该恶意软件对消费者和企业都是一个主要威胁。 基于Java,Confluence是一种wiki类型的应用程序,它允许企业的同事拥有共享空间,以便他们可以处理常见项目和完成任务。跟踪为CVE-2019-3396的有问题的漏洞与Confluence的Widget Connector相关 - 该功能允许用户将社交媒体或其他网站中的内容嵌入到网页中。此安全漏洞允许攻击者将命令注入“_template”并随后实现未经授权的远程代码执行。这使他们能够完全控制目标主机。根据澳大利亚公司的代表,受影响的是6.6.12,6.12.3,6.13.3和6.14.2之前的Confluence Server和Confluence数据中心的所有版本。 发现的安全漏洞是导致Confluence漏洞的根本原因 网络安全公司Alert Logic刚刚发布了一份报告,根据该报告,CVE-2019-3396的概念验证漏洞利用代码于2019年4月10日公开发布,并且首次发生的破坏服务器花了大约一周的时间。第一个受影响的Confluence客户注入了恶意负载,这迫使系统与Alert Logic数据库中众所周知的IP地址进行交互。也就是说,它最初与另一个安全漏洞相关 - 一个称为CVE的Oracle Weblogic漏洞 - 2017 - 10271.这一发现使研究人员得出结论,控制IP地址的同一攻击者也对Confluence漏洞利用负责。...

于June 18, 2019发表在Computer Security

Shade Ransomware Takes Aim at International Targets

Shade勒索软件 ,也称为Troldesh,是一种恶意软件,是安全研究人员在2014年初首次发现的。在用于针对俄罗斯受害者的局部活动中,Shade最近被发现越来越多的针对受害者的攻击遍布全球,从日本到美国。 Palo Alto Networks的安全研究人员最近公布了他们对Shade感染的调查结果,其中大部分现在都发生在俄罗斯境外。受影响的国家包括日本,泰国,印度,加拿大和美国。如同大多数勒索软件一样,Shade并没有被用来瞄准私人用户,而是工业和企业实体,帕洛阿尔托挑选出高科技公司,批发公司和教育机构作为这些新国际攻击的主要目标。俄罗斯仍然是使用阴影的十大国家之一,但已降至第七位。 新的受害者,熟悉的攻击媒介 Shade仍在使用垃圾邮件进行分发。 Palo Alto报告称,勒索软件的可执行文件仍然在2014年显示的被感染机器上显示相同的桌面图像。 Shade勒索软件的受害者使用俄语和英语的警告记录更改了桌面图像,并将十个纯文本文件转储到桌面上,名为README1.txt到README10.txt。所有文本文件的内容都是相同的 - Shade的赎金记录。最新版本的Shade勒索软件使用的扩展名为“.crypted000007”。 Shade在2019年2月用于国际垃圾邮件活动 。电子邮件通常包含一个指向无辜文件的链接,该文件包含JavaScript指令,而这些指令反过来下载真正的有效负载。...

于June 18, 2019发表在Computer Security

Phishing Campaign Spreads the Feature-Packed Babylon RAT

正如Cofense的分析师所观察到的那样,巴比伦远程管理工具(RAT)重新启动了传播恶意软件的新网络钓鱼活动。 Babylon RAT是一种功能丰富的开源威胁,可以破坏它设法渗透的任何网络。它拥有的绝对多功能性使巴比伦RAT可以根据攻击者的具体目标进行调整。 巴比伦RAT拥有大量工具 执行Babylon RAT后,它会建立与命令和控制(C&C)服务器的连接,该服务器被硬编码到恶意软件的二进制文件中。最有可能使用动态域,以便可以更改IP地址,而不会导致与服务器通信的任何中断。连接已编码,它会传输有关受感染主机的私人数据,例如用户名,PC名称,IP地址,国家/地区,操作系统(OS)甚至是当前处于活动状态的程序窗口。此信息每5秒更新一次,可在Babylon RAT管理面板上观察。 为了降低检测机会,任何受Babylon RAT感染的系统都可以转换为SOCKS代理。这意味着在通过网络横向传播之后,所有受感染的计算机都可以使用创建的SOCKS代理作为到C&C服务器的出站数据流量的网关。此外,通过此方法可以绕过电子邮件和URL过滤。 集成到Babylon RAT中的另一个功能是密码恢复。启动后,恶意软件将通过已安装的应用程序(包括Web浏览器),并抓取它们以获取凭据。虽然用于密码恢复的模块不会窃取操作系统用户凭据,但Cofense猜测已经拥有用户名的访问权限以及几个收获的密码可能会轻易让攻击者破坏操作系统凭据,从而打开无数新的安全风险对于受攻击的组织。 巴比伦RAT可以发动DoS攻击 一个单独的模块负责启动DoS(拒绝服务)攻击。 DoS可以针对某个主机名或IP范围,而线程和套接字等参数可以针对一个或多个协议进行调整。发送到其中一个计算机系统的DoS命令可以传输到其他受感染的主机,从而导致更大的DDoS(分布式拒绝服务)攻击。...

于June 18, 2019发表在Computer Security

Decryptor Released For GetCrypt Ransomware

GetCrypt Ransomware是最近检测到的恶意软件威胁,它对受感染计算机上的数据进行加密,并要求获得赎金以进行解密。该恶意软件首先被网络安全研究团队neo_sec捕获 。 GetCrypt正在通过恶意广告活动进行传播,该活动将用户重定向到托管RIG漏洞利用工具包的网站。登陆其中一个有毒网站将导致漏洞利用工具包按照其名称建议 - 利用用户计算机上的漏洞来删除勒索软件。 如果您的文件已经由GetCrypt变成不可用,不要气馁,因为可能仍希望收回他们无需支付任何对罪犯-为GetCrypt解密是可用的 。但是,为了解密受影响的文件,勒索软件的每个受害者都必须能够访问其中一个原始未加密文件。解密器软件使用同一文件的这对加密和未加密版本来强制解密密钥并解密用户的文件。 GetCrypt避免独联体国家 执行时,GetCrypt的第一步是检查渗透机器的Windows语言,如果设置为乌克兰语,白俄罗斯语,俄语或哈萨克语,勒索软件只会自行关闭。在所有其他情况下,GetCrypt使用CPUID创建一个包含4个字符的字符串,该字符串将用作加密数据的扩展名。虽然绝大多数勒索软件威胁都针对某些文件类型进行加密,但GetCrypt设计用于运行扫描并使用Salsa20和RSA-4096加密算法加密不在特定目录列表中的所有文件。要避免的完整目录列表包括“ :\ ProgramData,:\ Users \ All Users,:\ $ Recycle.Bin,:\ Program Files,:\ Local Settings,:\ Boot,:\ Windows,:\ System Volume信息,:\ Recovery,AppData。 “加密文件的所有卷影卷副本将通过” vssadmin.exe delete shadows / all / quiet命令 “ 删除。 GetCrypt尝试通过蛮力访问网络共享...

于June 18, 2019发表在Computer Security

Ukranian Cyber Crook Responsible for Millions of Malicious Ads Brought to New Jersey Court

年轻的乌克兰人Oleksii Ivanov,31岁,在美国特勤局,荷兰和英国执法部门进行国际调查后于2018年10月在荷兰被捕。伊万诺夫和他的同谋被指控在互联网上进行恶意广告活动,其间已向世界各地的用户提供了超过1亿的恶意广告。被指控的网络犯罪分子现已被引渡到美国,并于2019年5月初在新泽西州的法庭上出庭。 网络欺诈涉及一系列假公司 根据案件文件,由乌克兰人领导的欺诈计划于2013年10月至2018年5月期间运作,在此期间,伊万诺夫经营多家假公司,通过这些公司,他和他的同伙在合法网站上分发了损坏的广告。在注册了一家假公司后,Ivanov从广告网络购买了广告空间,然后发送了带有恶意代码的广告,这些恶意代码将用户重定向到传播恶意软件的网站。 每当受影响的广告网络发现恶意广告活动并向Ivanov寻求解释时,他就会拒绝参与不良广告。如果广告网络暂停了公司的帐户,他只会注册一家新公司并继续欺诈。大多数假冒公司都在英国注册。在他们与广告网络的互动中,伊万诺夫和他的同谋使用虚假身份,以便不透露他们的真实姓名。美国检察官还声称,黑客组织构建了一个恶意软件僵尸网络以及操作恶意广告活动。 这是美国当局破获的第二大广告欺诈计划 伊万诺夫的被捕是美国当局针对广告欺诈的重大活动的一部分。...

于June 18, 2019发表在Computer Security