Daz 勒索软件

Daz Ransomware 是 VoidCrypt Ransomware 的威胁变体。尽管该威胁与所有其他VoidCrypt变种没有太大区别,但它保留了恶意软件家族破坏受感染系统的能力。事实上,在被破坏的设备上激活后,Daz Ransomware 将针对各种不同的文件类型,并通过不可破解的加密锁定它们。受害者甚至无法访问他们的大部分文件、图像、照片、档案、数据库等。 受影响文件的其他更改可以在其名称中找到。作为其行动的一部分,Daz Ransomware 将在每个锁定文件的原始名称中附加一个 ID 字符串、一个电子邮件地址和一个新的扩展名。为每个特定受害者生成 ID 字符串,而电子邮件 ('Sc0rpio0@tutanota.com') 和文件扩展名 ('.Daz') 保持一致。该威胁还将在被破坏系统的桌面上放置一个名为“unlock-info.txt”的文本文件。 当受害者打开文件时,他们会找到带有说明的勒索信。根据传递的消息,攻击者想要作为赎金收到的确切金额将取决于每个受害者与他们建立通信所需的时间。该说明提到了“Sc0rpio@cock.li”的辅助电子邮件地址。它还澄清了攻击者只会接受使用比特币加密货币进行的付款。可以发送不包含任何重要数据且大小小于 1MB 的单个加密文件进行免费解密。 Daz Ransomware 删除的整套指令是: 'All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write...

于August 11, 2022发表在Ransomware

FSCRYPT 勒索软件

Infosec 专家发现了一种名为 FSCRYPT 的勒索软件威胁。在分析了恶意软件的底层代码和行为后,研究人员得出结论,它是Phobos Ransomware系列的变种。然而,FLSCRYPT 造成损害的能力不容小觑。如果在受害者的设备上成功执行,威胁将激活一个加密例程,这将使许多文件类型处于不可用状态。 然后威胁更改所有锁定文件的原始名称。它附加了一个 ID 字符串、一封电子邮件和一个新的文件扩展名。电子邮件是“decrypt2022@onionmail.org”,添加的扩展名是“.FLSCRYPT”。为了确保其受害者不会错过带有攻击者指示的勒索信,FLSCRYPT Ransomware 会留下两条相同的消息。一个显示为从名为“info.hta”的文件创建的弹出窗口,而另一个显示为名为“info.txt”的文本文件。 根据要求赎金的消息,网络犯罪分子还能够从受害者那里获得各种敏感数据。收集到的文件现在存储在远程服务器上,如果黑客没有收到要求的赎金,将向公众发布。值得注意的是,受害者可以找到多种沟通渠道,使他们能够接触到威胁参与者。除了decrypt2022@onionmail.org 电子邮件,还有'decrypt2022@msgsafe.io 地址、@Files_decrypt Telegram 帐户、ICQ 帐户和 Tox 聊天 ID。赎金说明还指出,较早建立联系的受害者将获得更优惠的条件。 当然,相信网络犯罪分子的话是冒险的。更不用说与威胁参与者进行通信可能会使受勒索软件攻击影响的用户或公司实体面临额外的安全和隐私问题。 说明全文如下: '你好,我亲爱的朋友。您的所有文件都已加密! 对您来说不幸的是,一个主要的 IT...

于August 10, 2022发表在Ransomware

nccTrojan

nccTrojan 威胁已被用于一系列攻击,据信这些攻击是由中国支持的 APT(高级持续威胁)组织 TA428 进行的。网络犯罪分子的目标是位于几个东欧国家和阿富汗的军事相关企业和公共机构。威胁活动的目标似乎是数据收集和网络间谍活动,威胁参与者在被破坏的机器上投放了六种不同的恶意软件威胁。 对设备的初始访问是通过针对性强的鱼叉式网络钓鱼活动实现的。 TA428 黑客制作定制的诱饵电子邮件,用于针对特定组织。一些网络钓鱼电子邮件甚至包含不公开的机密或私人信息。当受害者执行附在诱饵电子邮件中的武器化 Word 文档时,它会触发利用 CVE-2017-11882 漏洞的损坏代码。安全研究人员在一份报告中公布了有关攻击和黑客的伤害性武器库的详细信息。 nccTrojan分析 nccTrojan 恶意软件已被归咎于 TA428。事实上,威胁似乎是由攻击者积极开发的。从命令和控制(C2、C&C)服务器下载几个文件开始,将威胁安装到被破坏的设备上。可执行文件以具有任意名称的 .cab 文件的形式交付。需要扩展系统实用程序将交付的文件解压缩到属于合法软件产品的现有目录中。此外,黑客还删除了一个特殊的安装程序组件,其任务是将 nccTrojan 的 DLL 注册为服务。这样做可确保在每次系统启动时自动加载威胁。 激活后,nccTrojan 的主模块将尝试与硬编码的 C2 地址列表建立联系。所有后续通信都将传输到最先响应的服务器。在初次接触期间,威胁还会发送有关被入侵系统的各种一般信息,例如计算机名称、IP 地址、用户名、恶意软件版本、系统本地化数据等。 nccTrojan 还为攻击者提供后门功能、执行命令、启动可执行文件、杀死选定进程、操纵文件系统、从 C2...

于August 10, 2022发表在Trojans, Advanced Persistent Threat (APT), Backdoors

Logtu

Logtu 是针对多个东欧国家以及阿富汗的公共机构和军事企业的一系列攻击中部署的六种恶意软件威胁之一。这些威胁活动归因于中国支持的 APT(高级持续威胁)组织,网络安全研究人员将其跟踪为 TA428。据研究人员称,威胁行为者已经能够破坏数十个目标。黑客甚至接管了一些受害者的 IT 基础设施,控制了旨在管理安全解决方案的系统。 TA428 制作了特殊的鱼叉式网络钓鱼诱饵电子邮件,其中包含与目标实体相关的数据。在某些情况下,攻击者甚至包括不公开的信息,表明他们致力于破坏组织。黑客可能已经从先前针对目标或其员工的攻击以及与选定受害者密切合作的受感染公司收集数据 网络钓鱼电子邮件带有武器化的 Microsoft Word 文档,可以利用 CVE-2017-11882 漏洞执行任意代码。 洛图详细信息 Logtu 是 TA428 删除的六种恶意软件威胁之一。这是在以前的攻击中观察到的威胁,据信是由同一 APT 组织进行的。威胁发生了重大变化,最近的版本通过使用动态导入和 XOR 加密函数名称来避免检测。作为在被破坏设备上部署的一部分,Logtu 使用了一种进程空心技术,将损坏的库加载到合法的软件进程中,而不是系统进程中。 一旦完全激活,Logtu...

于August 10, 2022发表在Backdoors, Advanced Persistent Threat (APT)

FormsApp

FormsApp 是一个有害程序,它可能已设法渗透到用户的设备中。通常,此类应用程序通过使用有问题的分发策略将其安装隐藏在用户的视线之外。此类 PUP(可能不需要的程序)的运营商经常将它们添加到可疑的软件包中。不仔细检查所有选择安装的项目的用户会无意中将它们部署到他们的计算机上,因为通常有些项目被放置在“高级”或“自定义”菜单下。另一种流行的策略是将可疑的应用程序注入虚假的安装程序/更新中。 诸如 FormsApp 之类的 PUP 的功能可能会有所不同。有些可能主要负责投放不需要的广告,属于广告软件类别。其他人可能具有浏览器劫持者功能,使他们能够控制用户的浏览器。该应用程序可以更改几个重要的设置(主页、新标签页、默认搜索引擎)以引导到一个提升页面。 还应该警告用户,在他们的系统上存在 PUP 可能意味着他们的数据正在被跟踪。当这些应用程序处于活动状态时,它们可能会监视系统上执行的浏览活动并收集大量设备详细信息。甚至浏览器的自动填充数据也可能不安全,因为观察到一些 PUP...

于August 10, 2022发表在Trojans, Adware, Browser Hijackers, Potentially Unwanted Programs

Moderncaptcha.top

Moderncaptcha.top 是一个似乎没有向访问者提供任何有意义的内容的网站。相反,该页面的主要目标似乎是传播在线策略。登陆页面的用户可能会遇到误导性和点击诱饵消息,指示他们以各种虚假借口按下显示的“允许”按钮。 此类诈骗网站的主要目的是引诱用户在不知不觉中订阅该页面的推送通知。通常,这个目标是通过假场景掩盖网站的意图来实现的。例如,Mderncaptcha.top 已被确认假装访问者必须通过 CAPTCHA 检查。该站点显示一个机器人的图像,并附有一条消息,例如: 'Click 'Allow' to confirm that you are not a robot!' 由于与推送通知功能相关的浏览器权限,Moderncaptcha.top 随后将能够向用户发送不需要和烦人的广告。生成的广告可能会宣传其他计划、伪装成实际应用程序的侵入性 PUP(潜在有害程序)、免费赠品、网络钓鱼策略和其他类似的不可信目的地。 还应警告用户,与 Moderncaptcha.top...

于August 10, 2022发表在Rogue Websites, Browser Hijackers

Winsafe.xyz

Winsafe.xyz 是一个流氓网站,可能会向其访问者显示各种不可信、误导或点击诱饵消息。一般来说,该页面已被确认传播了一种流行的基于浏览器的方案,但用户遇到的情况可能会因他们特定的 IP 地址/地理位置而异。应该注意的是,用户很少愿意打开此类网站,而是通过强制重定向被带到那里。 Winsafe.xyz 页面可以假装用户必须通过验证码检查才能访问其内容。作为此策略的一部分使用的其他常见错误情况包括声称视频遇到播放问题或文件将可供下载。特别是 Winsafe.xyz 已观察到显示类似于以下内容的消息: 'Click 'Allow' to start downloading' 事实上,几乎所有的诱饵消息都会尝试引导用户按下显示的“允许”按钮,而不会显示这样做会启用页面的推送通知。由于与此功能相关的浏览器权限,Winsafe.xyz 将能够开始向受影响的系统提供各种侵入性广告。...

于August 10, 2022发表在Rogue Websites, Browser Hijackers

最小能量

MinimalEnergy 是一个有问题的应用程序,它可能正试图潜入用户的 Mac 设备。事实上,该应用程序已被确认使用虚假安装程序进行自我传播。 MinimalEnergy 分发中涉及此类可疑方法将其归类为 PUP(潜在不需要的程序)。至于其主要功能,MinimalEnergy 很可能属于广告软件类型的应用程序,旨在通过运行侵入性和烦人的广告活动来通过其存在获利。 让广告软件应用程序潜伏在您的计算机或设备上通常会导致不断涌入的广告流。除了破坏用户当时可能正在进行的任何活动外,这些广告还可能宣传不可信甚至不安全的网站、服务或应用程序。用户可以看到针对恶作剧网站、虚假赠品、网络钓鱼或技术支持计划、其他 PUP 等的促销活动。 同时,PUP 可能在系统后台默默地执行其他不需要的操作。例如,PUP...

于August 10, 2022发表在Mac Malware, Adware, Potentially Unwanted Programs

BITCOINPAYMENT 勒索软件

作为 Phobos 恶意软件家族的变种,BITCOINPAYMENT 勒索软件以受害者的数据为目标,并通过强大的加密程序使其无法使用。然后,威胁的运营商将试图向受影响的用户或公司勒索钱财。应该注意的是,虽然 BITCOINPAYMENT 勒索软件与其他Phobos变体相比没有表现出任何重大改进或修改,但不应低估其破坏性潜力。 一般来说,BITCOINPAYMENT 勒索软件遵循既定的火卫一行为。它通过添加 ID 字符串、电子邮件地址和新的扩展名来修改加密文件的名称。为每个受害者生成 ID 字符串,而电子邮件地址和扩展名是“cleverhorse@protonmail.com”和“.BITCOINPAYMENT”。当所有目标数据都被威胁锁定后,BITCOINPAYMENT 勒索软件将继续在被破坏的设备上删除两个文件,名为“info.hta”和“info.txt”。 该文本文件包含有关受影响的受害者如何联系攻击者的 Jabber 帐户以获取更多详细信息的说明。它还提到最多可以免费发送3个总大小小于10MB的加密文件进行解密。但是,完整的赎金记录会显示在从 hta 文件生成的弹出窗口中。在这里,网络犯罪分子澄清说,只有使用比特币加密货币进行的支付才会被接受。至于索要赎金的大小,显然将取决于受害者建立联系所需的时间。 显示为弹出窗口的消息全文如下: '你所有的文件都被加密了! 由于您的 PC 存在安全问题,您的所有文件都已加密。如果您想恢复它们,请发送电子邮件至cleverhorse@protonmail.com在您的消息标题中写下此 ID -如果我们的邮件没有回复,您可以安装 Jabber...

于August 10, 2022发表在Ransomware

RapperBot 恶意软件

Infosec 研究人员发现了一种危险的 IoT(物联网)恶意软件,被追踪为 RapperBot。对威胁的分析表明,其创建者大量使用了臭名昭著的Mirai 僵尸网络的源代码。在其源代码于 2016 年 10 月泄露给公众之前,Mirai 威胁被用于多次备受瞩目的攻击。从那时起,网络安全研究人员已经确定了 60 多个以 Mirai 为基础的僵尸网络和恶意软件变种。然而,当谈到 RapperBot 时,威胁显示出与典型 Mirai 行为的几个主要差异。 安全研究人员最近在一份报告中公布了有关 RapperBot 的详细信息。根据他们的调查结果,该威胁自 2022 年 6 月以来一直很活跃,并且正在快速发展。僵尸网络威胁使用蛮力策略在 Linux SSH 服务器上站稳脚跟,这与针对 Telnet 服务器的更典型的 Mirai 实施不同。 根据该报告,RapperBot 正在迅速发展其受奴役的 SSH 服务器,其拥有超过 3,500 个唯一 IP 地址扫描互联网并暴力破解新的受害者。 RapperBot 似乎也抛弃了类似 Mira 的自我传播技术,转而采用更多基于持久性的方法。因此,即使在重新启动或受害者尝试删除后,威胁仍会保留在受感染的系统上。 通过添加运营商的 SSH 公钥来访问被破坏的服务器。密钥被注入到名为“~/.ssh/authorized_keys”的特定文件中。之后,威胁参与者将能够自由连接到服务器并仅使用相应的私钥进行身份验证,而无需提供密码。即使更新了 SSH 凭据或禁用了 SSH 密码身份验证,此技术仍将保持对服务器的访问。此外,通过替换合法文件,网络犯罪分子已经删除了所有当前存在的授权密钥,从而阻止了合法用户通过公钥身份验证成功访问受感染的 SSH...

于August 9, 2022发表在Malware, Botnets

Ccew 勒索软件

Ccew 勒索软件是 STOP/Djvu 系列的另一个变种。尽管它没有任何有意义的改进,但该威胁的破坏能力仍然与STOP/Djvu 勒索软件系列的其他成员一样重要。如果成功部署,Ccew Ransomware 将扫描被破坏的系统并锁定存储在其中的大部分数据。用于加密过程的不可破解的加密算法将确保受害者无法轻易恢复受影响的文档、图片、照片、档案、数据库等。 作为其编程的一部分,该威胁还将在加密文件的名称后附加“.ccew”。然后恶意软件会生成一个名为“_readme.txt”的文本文件。该文件的作用是提供包含 Ccew Ransomware 对其受害者的说明的勒索信。 阅读该说明可以发现,威胁的运营商正试图以 980 美元的价格勒索受影响的用户。如果受害者在攻击后的前 72 小时内与黑客联系,那么最初的赎金金额显然可以减少一半。 Ccew 的消息为用户留下了两个可以发送消息的电子邮件地址——“support@bestyourmail.ch”和“datarestorehelp@airmail.cc”。应该指出的是,与网络犯罪分子进行通信可能会带来额外的隐私或安全风险。 Ccew Ransomware 的笔记全文如下: '注意! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1 个文件。文件不得包含有价值的信息。您可以获取并查看视频概述解密工具: hxxps://we.tl/t-HZpuxNJt6L私钥和解密软件的价格是 980...

于August 9, 2022发表在Ransomware

Woody RAT

Woody RAT(远程访问木马)是一种复杂的威胁,能够对受感染的设备执行大量、侵入性和有害的操作。据观察,该威胁被部署为针对俄罗斯实体的攻击活动的一部分,例如联合飞机公司(AOK)。一旦执行,Woody RAT 可用于间谍活动或用作更专业的恶意软件威胁的传递系统。 更准确地说,Woody RAT 可以提取各种系统数据,包括操作系统版本和架构、计算机名称、用户帐户及其相关权限、当前活动的进程、任何现有的反恶意软件解决方案等等。攻击者还可以利用威胁从目标收集私人信息。 Woody RAT 还可以获得文件名、文件类型、它们的创建、访问和修改时间、权限等。如果得到指示,威胁可以截取系统的屏幕截图。 根据威胁参与者的具体目标,Woody RAT...

于August 9, 2022发表在Remote Administration Tools

Private-mastermind.com

Private-mastermind.com 页面是一个不可信的网站,其创建的主要目的似乎是运行在线策略。页面上遇到的确切方案可能会有所不同,具体取决于某些因素,例如访问者的 IP 地址和地理位置。此外,应该指出的是,用户很少会故意打开可疑页面,例如 Private-mastermind.com,并且通常会通过强制重定向被带到那里。 在 Private-mastermind.com 上观察到的其中一个计划是伪装成免费赠品的网络钓鱼策略。该页面将声称其访问者已被选中参加由 TikTok 组织的赠品活动。当然,这完全是假的,TikTok 和这个骗局没有任何联系。然后将指示用户选择其中一个显示的盒子并尝试赢得诱人的奖品,例如三星 Flip 3 智能手机。...

于August 9, 2022发表在Rogue Websites, Phishing

“您的 Windows 因病毒而损坏”骗局

网络安全研究人员发现了一个流氓网站,该网站运行一个名为“Your Windows Got Corrupted Dueto Virus”骗局的技术支持计划。该页面利用多个弹出窗口和伪装成安全警告和警报的欺骗性消息来恐吓用户拨打提供的电话号码。需要注意的是,用户很少愿意访问这些阴暗的目的地,并且在大多数情况下是通过强制重定向被带到那里的。此类重定向有两个常见原因 - 使用流氓广告网络的网站和用户设备上存在的侵入性 PUP(可能不需要的程序)。 “您的 Windows 因病毒而损坏”骗局显示了多条操纵消息。它甚至会显示来自假定的 Windows 扫描程序的结果,该扫描程序已检测到威胁,例如“特洛伊间谍软件”和能够收集敏感信息(例如密码、财务详细信息和个人数据)的广告软件。欺诈者的恐吓并不止于此。该网站还声称,用户的设备已被禁用,而弹出窗口显示为“Windows 防火墙安全中心”通知,指出计算机已被锁定并且 Windows 操作系统已损坏。甚至会发出假消息。 与几乎所有技术支持策略一样,“您的 Windows 因病毒而损坏”骗局也试图让受害者相信,处理所谓的可怕情况的唯一方法是拨打电话号码...

于August 9, 2022发表在Rogue Websites, Phishing

操作审查

OperationReview 是一个侵入性且令人讨厌的程序,它试图将其安装到用户的 Mac 设备上。为了实现其目标,该应用程序通过可疑的分发方法传播,这是在 PUP(潜在不需要的程序)中观察到的常见策略。事实上,已发现 OperationReview 被注入假装为 Adobe Flash Player 提供更新的虚假安装程序中。 与大多数 PUP 一样,OperationReview 安装在目标系统上时不会浪费时间。该应用程序可能会激活其广告软件功能,因此受影响的用户将开始遇到大量可疑广告。广告软件应用程序很少为合法产品或服务投放广告。相反,用户可能会看到不可信的恶作剧网站、可疑的在线博彩/游戏平台、虚假赠品或伪装成看似真实的应用程序的附加 PUP 的广告。 让 PUP 潜伏在计算机上也可能产生更严重的后果。这些侵入性应用程序通常配备数据跟踪功能。 PUP 出现在设备上时,可能会监视用户的浏览习惯,获取设备详细信息,甚至尝试从浏览器的自动填充数据中提取敏感信息。在后一种情况下,保存在受影响浏览器中的任何帐户凭据、银行和支付详细信息、信用卡/借记卡号码等都可以打包并传输到 PUP...

于August 9, 2022发表在Mac Malware, Adware, Potentially Unwanted Programs
1 2 3 4 5 6 7 8 9 10 ... 266