“ChaosCC Hacker Group”电子邮件欺诈

在线上一些邪恶的演员是非常熟练的人,具有令人难以置信的引起混乱的能力。然而,其他能力远远不及其他人的人,往往依靠社会工程技术快速赚钱。 “ ChaosCC Hacker Group”电子邮件欺诈就是这种情况。负责此策略的个人假装是一个名为“ ChaosCC Hacker Group”的威胁性黑客组织。但是,不存在这样的黑客组织,所有这些都假装使用户感到恐惧,因为他们已经成为一些残酷无情的个人的受害者,这些个人现在掌握了命运。 “勒索”计划 “ ChaosCC Hacker Group”策略是通过伪造的垃圾邮件进行的。在电子邮件中,攻击者声称当他们在取悦自己的同时在线欣赏一些成人娱乐视频时,已经通过网络摄像头记录了该用户。 “ ChaosCC Hacker Group”电子邮件骗局的作者还指出,他们已在用户系统上植入了其他间谍软件,这有助于他们收集有关它们的更多数据。更糟的是,攻击者还声称已获得用户的联系人列表及其社交媒体好友列表的访问权限。他们继续说,除非用户以比特币的形式向他们支付700美元,否则这个尴尬的视频将被发送给他们的所有朋友,家人和同事。然后,通知用户他们只有60个小时来支付费用,否则该死视频将在他们的联系人列表中分发。这是在线欺诈者常用的方案,通常称为“勒索”。 您会很高兴知道大多数“勒索”方案都是骗局。这意味着攻击者在声称拥有用户记录时通常会张开牙齿,而且值得庆幸的是,“ ChaosCC Hacker...

于October 10, 2019发表在Adware

Zestradar.com

如今,大多数Web浏览器都具有“网站通知”功能。许多网页会要求您允许它们发送通知,而某些网页可能非常有用。例如,网站会在您的心愿单上的商品获得折扣时通知您,网页会为您提供最新的最新新闻报道,或者流媒体平台会在您最喜欢的创作者上线时通知您。但是,并非所有请求通知权限的网站都将为您提供优质的内容。某些用户,例如Zestradar.com网站,将改为利用此许可权,并不断向您发送垃圾邮件,并向您发送垃圾邮件。 轰炸用户通知 Zestradar.com网页似乎是一个低质量的网站,其中包含有关各种主题的博客文章。 Zestradar.com网站涵盖的一些主题是小工具,设计,电影,旅行等。但是,正如我们提到的,此网页上的内容质量很低,我们可以向您保证,您可以找到更好的信息来源。比Zestradar.com当然好。浏览Zestradar.com网站的用户将被要求授予页面发送浏览器通知的权限。如果用户同意,则Zestradar.com网页将毫不犹豫地开始用有关帖子的通知轰炸他们。这样做是希望用户随后单击该通知并重定向到Zestradar.com网站。这样,Zestradar.com网页的创建者就可以通过点击和点击量产生广告收入。这个可疑网站背后的人甚至走得更远,并使用了可疑的广告网络服务,这将确保即使不浏览网页的用户也会收到提示,要求他们允许Zestradar.com页面进行通知。 值得庆幸的是,Zestradar.com网站似乎并未宣传其他狡猾的内容。许多与Zestradar.com相似的网页都倾向于推送诸如成人娱乐网站,假赠品和可疑赌博平台之类的可疑内容。...

于October 10, 2019发表在Browser Hijackers

MasterMana僵尸网络

MasterMana僵尸网络活动首次发现于2018年底。自那时以来,恶意软件研究人员估计,受此威胁侵害的系统约为3,000个。在运行了这么长时间之后,人们可能会认为MasterMana僵尸网络将包含大量受感染的系统。但是,此活动不是开玩笑,因为攻击者利用了高端RAT(远程访问特洛伊木马),这使他们几乎可以完全接管受感染的系统。 定位企业 MasterMana僵尸网络的创建者使用包含受感染的“ .DLL”文件的垃圾邮件将威胁发送给目标。看来MasterMana僵尸网络的运营商并不会追随普通用户,而是会瞄准公司。他们使用一种称为网络钓鱼的技术,这意味着采用了各种社交工程方法来确保用户将执行攻击者希望的操作。在MasterMana僵尸网络的情况下,将针对他们量身定制发送给目标企业的电子邮件。 设置MasterMana僵尸网络成本不到$ 200 网络安全专家评估过,运行MasterMana僵尸网络的网络骗子很可能几乎没有花任何钱来建立自己的网络。他们雇用了两个特洛伊木马(即AZORult和RevengeRAT ),它们总共花费约100美元,并且还租用了不超过60美元的VPS(虚拟专用服务器)。 竞选中使用的两个RAT AZORult后门特洛伊木马可以归类为间谍软件,因为它能够收集登录凭据,Cookie,浏览器历史记录甚至是加密货币钱包。 RevengeRAT是一种威胁,通常被用作第一阶段的有效负载,并为攻击者在目标主机上植入其他恶意软件铺平了道路。此外,RevengeRAT还可以收集有关主机的信息并执行远程命令。 不使用远程C&C服务器 大多数操作僵尸网络的骗子通常都是通过远程C&C(命令与控制)服务器来这样做的。但是,MasterMana僵尸网络的创建者将其内容托管在Pastebin,Blogspot和Bitly上。当MasterMana恶意软件入侵主机时,它将从这些平台之一中获取损坏的有效负载,对其解密,然后在主机上执行。...

于October 10, 2019发表在Botnets

“Jeanson J. Ancheta”电子邮件欺诈

并非所有的网络犯罪分子都像我们有时倾向于感知它们那样聪明和有能力。他们往往更多地依靠我们的天真和无知,而不是依靠自己的技术技能,将利爪沉入我们的钱包。 “ Jeanson J. Ancheta”电子邮件骗局就是这种情况。 使用臭名昭著的黑客的名字来恐吓用户 通过调查此操作,恶意软件专家发现其背后的可疑人员似乎是一个低端黑客团体。他们使用了臭名昭著的美国黑客Jeanson James Ancheta的名字。他因经营僵尸网络已入狱五年。 “简森·安切塔(Jeanson J. Ancheta)”策略的作者可能使用了臭名昭著的网络骗子的名字作为一种社会工程技术。他们依靠这样的事实,即用户将使用Google的名称,并可能认为他们已经成为像Jeanson James Ancheta这样极具威胁性和高知名度的网络犯罪分子的受害者,这反过来又使他们更有可能付钱。要求的费用。但是,当Ancheta级别的网络骗子发起恶意活动时,将永远不会使用其真实姓名。 声称拥有一部由用户主演的有损视频 “ Jeanson J. Ancheta”电子邮件骗局的作者指出,最初,他们的想法是感染用户的计算机并锁定所有数据,然后向他们提供电子解密工具以换取现金。但是,该计划似乎已更改,因为“ Jeanson J. Ancheta”战术可归类为“勒索”行动。攻击者声称,他们可以访问受害者的网络摄像头,并记录了他们在网上享受成人娱乐时从事不当行为。此外,“ Jeanson J. Ancheta”电子邮件骗局的创建者指出,他们也有权访问用户的联系人列表,并且除非向攻击者支付以比特币形式支付的650美元,否则每个人都将收到假定的令人尴尬的视频。...

于October 10, 2019发表在Adware

Galacti-Crypter勒索软件

网络安全研究人员正努力与所有新出现的勒索软件威胁保持同步,这些威胁似乎每天都在弹出。 Galacti-Crypter Ransomware是最近发现的文件加密木马之一。 传播和加密 专家无法确定与Galacti-Crypter勒索软件的传播有关的感染载体。一些人推测,攻击者可能正在使用垃圾邮件活动,虚假的应用程序更新以及流行的软件工具的假冒盗版变种。一旦Galacti-Crypter Ransomware渗透到系统中,就会执行扫描。扫描将找到要加密的文件。通常,勒索软件威胁的目标是一长串文件类型,几乎所有常规PC上都可能存在这种文件类型,从而确保最大程度的损害并增加了获得报酬的机会。接下来,Galacti-Crypter Ransomware将开始锁定所有标记为加密的文件。像大多数勒索软件威胁一样,此数据锁定特洛伊木马不会像大多数勒索软件威胁那样在锁定文件的文件名末尾添加新的扩展名,而无需更改扩展名即可对文件名本身进行编码。 赎金记录 Galacti-Crypter Ransomware的赎金票据将在一个名为“ Galacti-Crypter 1.8”的新窗口中启动。数据加密木马的大多数作者都会提供详细的联系方式,以便受害者可以与他们取得联系并可能获得进一步的指示。但是,Galacti-Crypter Ransomware的作者没有提及任何联系信息。但是,他们确实指出赎金是150美元,并且是以比特币的形式要求的。攻击者还提到用户只有72小时才能完成交易。 好消息是,有一个免费的,公开可用的解密工具,与Galacti-Crypter Ransomware兼容。它的名称为“ GalactiCrypter Decryptor”,如果您使用它,将能够恢复所有加密的数据。但是,下载并安装信誉良好的防病毒工具并使用它彻底清除系统中的Galacti-Crypter...

于October 10, 2019发表在Ransomware

濑户勒索软件

2019年最普遍的恶意软件之一是文件加密木马程序,也就是勒索软件威胁。有些勒索软件威胁是独特的,并且是从头开始构建的,而另一些则倾向于基于已建立的数据加密木马的代码。自然,前者要花费更多的时间和精力,因此大多数网络骗子都会选择后者。 传播和加密 Seto Ransomware就是这种情况–网络上最近发现的勒索软件威胁之一。当研究人员研究这种威胁时,他们发现它是臭名昭著的STOP勒索软件的另一种变体。报告他们已成为Seto Ransomware受害者的用户正在堆积。看来,这种威胁的创造者在传播其创造方面非常成功。不确定与濑户勒索软件的传播有关的特定感染媒介是什么。一些专家认为,背后的网络骗子可能使用了欺诈性软件更新,包含受感染附件的电子邮件,甚至伪造了流行应用程序的盗版副本。每台受感染的计算机都将被扫描。此扫描用于确定Seto Ransomware编程为目标的文件的位置。然后,Seto Ransomware将触发加密过程。 Seto Ransomware将对所有目标文件应用加密算法并将其锁定。每个锁定的文件都将带有'.seto'扩展名。例如,当Seto Ransomware的加密过程完成时,名为“ sunset-hill.jpeg.seto”的照片将重命名为“ sunset-hill.jpeg.seto”。 赎金记录 下一步,Seto Ransomware将删除其赎金记录,名为“ _readme.txt”,并且消息状态为: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具:...

于October 10, 2019发表在Ransomware

Geost僵尸网络

Geost僵尸网络是一项主要在俄罗斯联邦境内开展的运动,因为它针对的是五家俄罗斯银行。 Geost恶意软件追随Android设备,到目前为止,专家估计该僵尸网络包含超过800,000台受感染的计算机。 通过200多个虚假应用程序传播 似乎Geost僵尸网络的创建者正在使用伪造的应用程序传播其恶意软件。用于传播Geost恶意软件的软件似乎主要是伪造的社交媒体和银行应用程序。这些欺诈性应用程序未托管在官方的Google Play商店中,但可以在俄罗斯流行的第三方Android应用程序商店中找到。网络安全研究人员已经确定,可能有200多个伪造的应用程序携带Geost恶意软件。 使用HtBot恶意软件,并且不加密与C&C服务器的通信 人们认为,Geost僵尸网络是一个相当安静地开展的运动,如果不是因为头脑不好的演员采取了几次错误的措施,那么该僵尸网络的活动可能已经在相当长的一段时间内一直在专家的监视下更长。 Geost僵尸网络的运营商正在使用HtBot恶意软件,以将受感染的主机转变为代理服务器。但是,网络安全研究人员发现了HtBot恶意软件的活动,这有助于专家检测Geost僵尸网络本身。此外,Geost僵尸网络的运营商未能加密网络与攻击者的C&C(命令与控制)服务器之间的通信。一旦研究人员找到了攻击者的服务器,就很容易监视流量并收集有关僵尸网络活动和功能的更多信息。 能够监视受害者的短信 当Geost恶意软件入侵设备时,它将能够读取和收集受害者的文本消息。当涉及与银行相关的恶意软件时,这是一个非常有用的功能,因为大多数银行门户网站都需要两步验证。此外,Geost恶意软件还确保从设备上清除所有证据,以使用户永远无法发现发生任何错误。 恶意软件研究人员推测,Geost僵尸网络操作可能非常成功,其背后的骗子可能已经赚了几百万欧元。迄今为止,Android...

于October 10, 2019发表在Botnets

紫狐

自2018年以来,Purple Fox Trojan下载器一直是恶意软件研究人员所关注的威胁。到目前为止,专家认为,该Trojan已成功在全球范围内夺走了30,000多名受害者。 Purple Fox Trojan的创建者已更新了威胁,现在正在使用RIG Exploit Kit将其创建内容注入目标主机。 Purple Fox Trojan下载器的有效负载不再依赖NSIS安装工具,而是依赖PowerShell命令。通过这种方式,攻击者已确保使整个操作更安静,并减少研究人员或反恶意软件工具发现的可能性。紫狐特洛伊木马的运营商倾向于将其主要用于在受感染主机上植入加密矿威胁。但是,此Trojan下载程序也可以用于植入更多有害威胁。 紫狐特洛伊木马使用的漏洞 除了使用RIG Exploit Kit之外,Purple Fox Trojan下载器的管理员可能还会采用其他传播方法。专家认为,紫狐木马也可能通过恶意广告活动以及虚假下载进行传播。当前,用于传播Purple Fox Trojan的RIG Exploit Kit正在检查受害者的以下漏洞: VBScript漏洞– CVE-2018-8174。 Adobe Flash漏洞-CVE-2018-15982 Internet Explorer漏洞– CVE-2014-6332。 如果渗透的帐户没有管理员权限,则威胁将寻找CVE-2018-8120和CVE-2015-1701。 与以前的Purple Fox下载器版本类似,此变体具有带有管理员特权的文件,这些文件随后通过损坏的驱动程序模仿主机上已经存在的类似文件,从而掩盖了其在系统上的存在。 用户需要开始更加认真地对待网络安全。恶意软件研究人员最常见的建议之一是保持所有软件的更新。不幸的是,大多数在线用户都认为这太繁琐了。但是,如果您的所有应用程序都是最新的,则诸如Purple Fox...

于October 10, 2019发表在Trojans

'X280@protonmail.com'勒索软件

“ x280@protonmail.com”勒索软件是专家发现的最新勒索软件威胁之一。在过去的几年中,对数据锁定特洛伊木马的兴趣日益浓厚,因为它们易于构建(前提是人们从其他勒索软件威胁中借用了现成的可用代码)并且易于传播。 传播和加密 通过研究“ x280@protonmail.com”勒索软件,研究人员发现该文件加密木马属于Estemani Ransomware家族。 “ x280@protonmail.com”勒索软件的作者很可能正在利用宏附带的附件通过电子邮件传播此特洛伊木马。一些专家认为,“ x280@protonmail.com”勒索软件也可能通过流行应用程序的伪造盗版副本和欺诈性软件更新进行传播。 “ x280@protonmail.com”勒索软件将确保扫描您的数据并找到被编程为目标的文件类型。勒索软件威胁通常会追随大多数流行的文件,例如.mp4,.jpeg,.png,.doc,.ppt,.pdf,.mp3,.mov等,因为大多数用户的系统上都有这些文件。接下来,“ x280@protonmail.com”勒索软件将开始锁定所有目标数据。当勒索软件威胁锁定文件时,它们通常在文件名的末尾附加新的扩展名。但是,“ x280@protonmail.com”勒索软件会加密目标文件,而无需在其名称后添加扩展名。 赎金记录 加密过程完成后,“ x280@protonmail.com”勒索软件将删除名为“ @_READ_TO_RECOVER_FILES _ @。txt”的勒索信息。通常,网络骗子在命名赎金票据时会使用所有大写字母甚至特殊符号,以确保该名称引起用户的注意。在说明中,攻击者指出,赎金为1.5比特币(在键入此帖子时约为$ 12,300)。他们还声称,尝试使用第三方软件解密锁定的数据是“徒劳的”。攻击者希望受害者通过电子邮件(x280@protonmail.com)与他们联系。...

于October 10, 2019发表在Ransomware

Noos勒索软件

如今,似乎每个网络骗子都在利用勒索软件威胁来尝试自己的运气。有些人从头开始构建讨厌的文件锁定特洛伊木马,但大多数人更愿意节省精力,而只是从已经建立的勒索软件威胁中借用现成的代码。 传播和加密 NoosRansomware是最新的数据加密木马之一。剖析Noos Ransomware之后,很明显这是臭名昭著的STOP Ransomware的另一个变体。对于Noos Ransomware的感染媒介,最常见的勒索软件传播方法可能正在发挥作用-虚假的应用程序更新,流行软件的欺诈性盗版变种以及大规模垃圾邮件活动。一旦Noos Ransomware设法破坏系统,将立即进行简短扫描。扫描的目的是找到所有感兴趣的数据。下一步,勒索软件威胁将开始加密所有数据。当Noos Ransomware锁定文件时,它还将确保更改其文件名。该文件锁定特洛伊木马程序将“ .noos”扩展名附加到新加密的文件中。例如,当Noos Ransomware完成其加密过程时,最初名为“ Hugo-B.mp3”的音频文件将重命名为“ Hugo-B.mp3.noos”。 赎金记录 加密过程完成后,Noos Ransomware会在用户的桌面上放置赎金记录。该注释称为“ _readme.txt”,并指出: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具: https://we.tl/t-sTWdbjk1AY 私钥和解密软件的价格为980美元。 如果您在72小时内联系我们,可享受50%的折扣,这就是您的价格为490美元。 请注意,如果不付款,您将永远无法恢复数据。...

于October 10, 2019发表在Ransomware

XHunt

xHunt黑客活动是在几个月前发现的,恶意软件研究人员已确保密切关注其活动。网络安全专家首次注意到xHunt活动时,发现Hisoka后门特洛伊木马程序与科威特一家运输公司的系统相连。在研究了威胁之后,研究人员得出结论,Histoka Trojan似乎与其他几个恶意软件家族有关,即Killua,Sakabota,Gon,Netero和EYE。似乎所有这些工具都是同一批网络骗子的一部分。这些网络犯罪分子使用的基础设施似乎与臭名昭著的伊朗APT OilRig(也称为Helix Kitten)开展活动的方式类似。这并不意味着OilRig黑客组织一定在xHunt活动的背后,因为没有足够的佐证可以确定地确定这一点。 一个高技能的黑客组织可能是负责任的 负责xHunt操作的人似乎都是非常熟练的人,因为他们的工具不仅非常先进,而且还设法安静地操作。例如,Histoka黑客工具与攻击者的C&C(命令与控制)服务器建立连接,并通过HTTP,电子邮件和DNS与之通信。大多数黑客工具都通过HTTP与运营商的C&C服务器进行通信,但是采用电子邮件和DNS却很不常见,这可能会使反病毒工具更难以抵抗这种威胁。 xHunt活动中使用的主要工具 xHunt广告系列的工具具有不同的用途: GON是易于操作的后门特洛伊木马(因为它具有用户界面),并且能够检查系统的开放端口,建立远程桌面连接,运行命令以及在受感染主机上上载和下载文件。 Killua是一种后门特洛伊木马,可以执行远程命令,但功能却相当有限。 Hisoka是一种后门特洛伊木马,它使攻击者能够对渗透的系统进行进一步的利用。 Sakabota似乎是Hisoka后门特洛伊木马的过时变体。 EYE是一种黑客工具,旨在清除该广告系列活动的所有跟踪器。...

于October 10, 2019发表在Malware

Badday勒索软件

如今,文件加密特洛伊木马是在线上最流行的威胁之一,每天威胁着新的受害者。只要网络骗子从已经存在的勒索软件威胁中借用了大多数代码,它们通常被视为快速赚钱的方法,并且构建起来并不过分复杂。 传播和加密 Badday Ransomware是最近检测到的数据锁定木马之一。顾名思义,如果您成为这个讨厌的特洛伊木马的受害者,您可能会过得很糟糕。当恶意软件研究者解剖Badday Ransomware时,他们发现它是GlobeImposter 2.0 Ransomware的变体。没有公开在Badday Ransomware的传播中采用了什么感染载体。一些研究人员认为,流行应用程序的假冒盗版变种,大规模垃圾邮件活动以及虚假软件更新可能是此文件锁定特洛伊木马传播中使用的一些传播方法。 Badday Ransomware入侵主机后,它将立即运行扫描以查找配置为目标的所有文件。勒索软件威胁通常会追随所有流行的文件类型,以确保最大程度的破坏。这意味着,诸如图像,歌曲,视频,电影,文档和演示文稿之类的文件都可能被Badday Ransomware锁定。找到感兴趣的文件后,Badday Ransomware将触发其加密过程。这种威胁将应用加密算法来锁定所有目标数据。当Badday Ransomware锁定文件时,它会在文件上附加新的扩展名-“ .badday”。例如,如果您有一个名为“ aged-gold.mp3”的音频文件,则Badday Ransomware会将其名称更改为“ aged-gold.mp3.badday”。 赎金记录 接下来,Badday Ransomware在用户的桌面上放置赎金记录。该注释称为“ how_to_back_files.html”,其中指出: 您的个人身份证 -- 英语 您的公司网络已锁定。 您所有的重要数据已被加密。 要还原文件,您将需要解密器!。 要获得解密器,您应该: 支付解密网络费用-12 BTC: 在这些网站之一上购买BTC...

于October 10, 2019发表在Ransomware

安格斯勒索软件

勒索软件威胁每天都在造成越来越多的受害者。这种恶意软件类型已成为网络犯罪分子获取现金的最流行方式之一。网络骗子可以只借用现成的代码并仅对其稍作改动,这一事实增加了勒索软件的吸引力,因为它不需要技术领域的高技能人士即可赚钱。 传播和加密 最近,网络安全研究人员发现了一个名为Angus Ransomware的新文件锁定特洛伊木马。通过研究安格斯勒索软件 ,专家得出结论,它是ZeroPadypt勒索软件的变体。包含宏观约束附件,伪造的应用程序更新以及流行的应用程序的虚假盗版变种的电子邮件可能是Angus Ransomware的创建者采用的感染媒介之一。如果Angus Ransomware成功地破坏了系统,它将不浪费时间并进行简短的扫描,这是为了确定文件的位置,这些位置被认为是令人感兴趣的。大多数勒索软件威胁针对的文件类型非常广泛,以确保造成足够的损害,从而使受害者可以考虑支付勒索费用。诸如.mp3,.jpeg,.doc,.ppt,.mov,.mp4,.png,.docx,.jpg和.pptx之类的文件几乎总是受到文件锁定特洛伊木马的攻击,因为大多数用户都可能拥有它们存在于他们的系统上。当Angus Ransomware加密文件时,它还会为其添加新的扩展名'.Email = [Legion.developers72@gmail.com] ID = [ ]。安格斯。”这意味着以前称为“ golden-pits.jpeg”的图像将重命名为“ golden-pits.jpeg.Email = [Legion.developers72@gmail.com] ID = [ ]。安格斯(Angus)加密过程完成后。 赎金记录 在下一步的攻击中,Angus Ransomware放弃了赎金记录。注释的名称为“ HowToDecrypt.txt”,其内容为: '您的文件已加密 如果您需要文件,则应支付解密价格 获取解密工具的步骤:...

于October 10, 2019发表在Ransomware

幽灵猫

GhostCat恶意软件是一种特别狡猾的威胁,因为它在运行时不会留下任何危险活动的痕迹。 GhostCat威胁不是在渗透设备本身,而是在受害者的Web浏览器中起作用。 GhostCat恶意软件的作者已确保,除非满足为攻击设置的所有条件,否则威胁将不会发起攻击。 GhostCat恶意软件将检查用户是否正在浏览与威胁兼容的一百多个网站中的任何一个。 通过广告传播 GhostCat恶意软件通过各种广告网络传播。但是,这些广告网络在不知不觉中传播了GhostCat威胁,因为该恶意软件的作者已确保对其创建代码的混淆程度很高,以至于它将设法绕过广告公司设置的安全措施。如果您认为自己安全,因为已安装了Adblock或类似服务,请再考虑一遍-GhostCat恶意软件的混淆代码也可能仍在此类服务的监视之下。 能够避免沙箱环境 为了避免恶意软件调试环境,GhostCat威胁会进行一些测试,以发掘它是在沙盒区域还是在常规系统中执行。如果GhostCat威胁发现与恶意软件调试相关的任何软件,它将立即停止其活动。 能力 但是,如果GhostCat确定它已渗透到常规系统中,它将开始其攻击,这是通过以下几个步骤进行的: 确定渗透的主机是iPhone设备还是Android设备。 根据受害者的IP地址确定受害者的地理位置。 确定设备上存在的Web浏览器。 运行另一项测试,以确保该设备未用于恶意软件调试。 如果满足所有GhostCat恶意软件的标准,则受害者将被重定向到承载伪造的抽奖活动和赠品的URL。这很可能是一种策略,旨在诱使用户泄露敏感信息,例如信用卡详细信息或登录凭据。...

于October 10, 2019发表在Malware

白影

WhiteShadow威胁似乎是所谓的恶意软件即服务,因为其创建者决定将其出租给潜在客户,而不是私下使用它。从本质上讲,WhiteShadow是木马下载程序,其2019年的大部分活动都涉及将臭名昭著的Crimson RAT交付给目标系统。但是,WhiteShadow能够向受感染的主机提供各种其他恶意软件,其中包括Remcos , Agent Tesla , Formbook , njRAT等。 通过Microsoft Office附件进行传播 WhiteShadow下载器的运营商似乎正在使用垃圾邮件活动来主要传播这种威胁。包含损坏的宏脚本的Microsoft Office附件似乎是WhiteShadow恶意软件传播中使用的主要感染媒介。为了使用户在受害者打开附件后允许执行宏脚本,攻击者倾向于使用各种社会工程方法。如果您迷恋于WhiteShadow下载程序运营商的欺骗,那么您可能会遇到很多麻烦。 使用MSSQL Server 在检测和避免沙箱环境方面,WhiteShadow威胁具有一些基本功能。它的混淆技术也不是很令人印象深刻。但是,与大多数此类威胁不同,WhiteShadow下载器不会从其操作员设置的远程服务器中下载其二进制文件。而是,这个狡猾的恶意软件与Microsoft SQL数据库服务器建立了连接,并通过发送SQL查询从中提取加密的字符串。接下来,WhiteShadow威胁将解密该字符串并将其归档到“ .PKZip”文件中。然后,启动存档文件,威胁性有效负载开始安装在受感染主机上。...

于October 10, 2019发表在Trojans