多门

社交工程工具包在恶意软件领域并不是什么新鲜事物,Domen推出了另一种工具。这种威胁背后的基本思想是破坏一个网站(通常是WordPress),然后使用它在屏幕上显示加载有iframe的覆盖图。该覆盖图要求访问者安装更新,该更新将下载NetSupport RAT( 远程访问特洛伊木马或远程管理工具 )。它类似于其他威胁,例如2018年4月左右弹出的``假更新''活动。 该活动还与2017年使用的EITest和HoeflerText社会工程计划有一些相似之处,当时恶意软件有效载荷是广告欺诈恶意软件– Fleercivet。后来发现该恶意软件正在传播Spora恶意软件。 这些与新广告系列之间的区别主要在于复杂性和分发方法。假更新在受害者的浏览器上使用了指纹。新的广告系列将充分利用该技术来浏览30种不同语言的Chrome,Flash Player或字体更新。字体更新覆盖看起来与几年前的HoeflerText方案中使用的覆盖相同,但带有标头“未找到'PT Sans'字体”。 新的活动被称为Domen,Domen工具包与远程服务器通信,该服务器目前位于asasasqwqq [。] xyz。根据网站推断的数据,研究人员认为,Domen工具包的受害者访问量已经超过100,000,并且还在不断增长。 Domen template.js能够向Internet Explorer,Firefox,Edge和Chrome发送浏览器更新通知,以及针对任何Android设备的单独APK安装说明。这些模板中的每一个都以多达30种不同的语言存在,所有这些语言均基于浏览器类型,操作系统,语言环境等类型。主题使用可变横幅,用于选择字体,Flash或浏览器更新主题。每个威胁参与者都可以使用该工具进行设置,然后再以准备的30种语言中的任何一种进行交付。...

于October 10, 2019发表在Malware

驼鹿僵尸网络

僵尸网络很少有害,并且其活动经常最终对被感染设备的所有者或僵尸网络操作员指定的目标造成问题。例如,Mirai僵尸网络被用来发起大规模的DDoS(分布式拒绝服务)攻击,使网站和公司网络离线,从而造成数百万美元的损失。在其他情况下,僵尸网络用于挖掘加密货币,所有利润都发送到攻击者的钱包。但是,似乎存在另一种策略,僵尸网络可以为其运营商赚钱,而又不会对任何人造成直接伤害。 Moose僵尸网络的作者只是通过使用感染的设备来完成这些工作,以建立虚假的社交媒体个人资料,其唯一目的是产生虚假的追随者,订阅和喜欢。 Moose僵尸网络的作者对他们的活动的无害性没有信心,因此他们建立了一个公共网站,向客户提供购买包的不同社交媒体平台的关注者和喜欢的软件包。 Moose僵尸网络似乎在涉及Instagram时最为活跃,但其作者还与Twitter,Facebook,YouTube,Kiwi和其他平台合作。 穆斯僵尸网络以创新的货币化方案树立了先例 僵尸网络运营商通常会开发出几种可在不同设备上运行的恶意软件变种-根据受感染设备的体系结构选择要删除的变种。但是,Moose僵尸网络只能在IoT(物联网)设备上工作-它的二进制文件仅与ARM和MIMS体系结构兼容。这极大地限制了僵尸网络活动留下的指纹,并且由于设备的所有者不会注意到任何异常情况,因此有助于将其保留在雷达之下。一旦设备被感染,Moose僵尸网络可以命令它在一个受支持的社交媒体页面上创建配置文件,然后使用它来生成虚假的追随者,喜欢的人等。这种活动极不可能被执法机构起诉,这可能是Moose僵尸网络运营商选择这种获利策略的主要原因。 物联网设备通常具有易受攻击的安全配置,对于拥有专门技能和工具来发起大规模攻击的网络骗子来说,它们很容易成为攻击目标。目前尚不清楚Moose僵尸网络中设备的确切数量。...

于October 10, 2019发表在Botnets

CXK-NMSL勒索软件

CXK-NMSL勒索软件是一个文件锁定器,很可能主要针对中国用户。交付的赎金是中文的,不包含翻译-极不可能将其以当前状态分发到其他地区。尽管只关注一个特定区域,但CXK-NMSL勒索软件是一种不容小under的威胁,因为它能够对您的文件造成长期损坏。就像许多其他文件加密木马一样,该木马还努力对尽可能多的文件进行加密,从而使其内容无法使用。 CXK-NMSL勒索软件加密文件后,它将对名称进行更改,并以'.cxk_nmsl'扩展名进行标记。 CXK-NMSL勒索软件的作者希望通过Bilibili平台获得报酬 当然,如果不部署包含更多有关攻击以及攻击者要求的详细信息的勒索消息,CXK-NMSL勒索软件将无法完成其攻击。如上所述,文本为中文,它建议受害者访问中国著名的视频共享网站Bilibili上的自定义页面。看来,CXK-NMSL勒索软件的运营商要求的赎金支付可以通过Bilibili平台上使用的虚拟货币支付。可以在名为“ CXK-NMSL-README.txt”的赎金消息中找到这些说明。 毋庸置疑,遵守网络犯罪分子的要求不是一个好主意,因为他们极有可能不提供任何回报。在许多情况下,勒索软件受害者在完成勒索赎金后就被欺骗了,使他们徒劳无功。...

于October 10, 2019发表在Ransomware

“系统严重损坏,发现病毒(4)!”弹出窗口

自从大多数家庭可以使用Internet以来,在线策略就已经存在,并且由于安全研究人员继续遇到欺诈者用来从受害者那里获取金钱的新策略,因此这种欺诈性业务仍然可以盈利。最近的例子之一是“系统严重损坏,发现病毒(4)!”。弹出窗口,一系列Web浏览器消息,有意向用户提供虚假的安全信息。弹出窗口指出计算机已受到黑客或恶意软件的攻击,并且用户的付款详细信息和个人信息可能会泄露给有恶意的人。值得庆幸的是,这些陈述是虚假的,一秒钟之内不应被信任-Web浏览器的弹出窗口,通知和警报绝不是有关系统状态的可靠信息来源。 虚假弹出窗口推动了QBIT Clean Pro,这是一个可能有害的应用程序 在许多情况下,此类消息用于宣传虚假的技术支持服务,但背后的骗子是“系统已严重损坏,已发现病毒(4)!”。弹出窗口选择了不同的策略-他们为用户提供了下载软件的功能,该软件将解决据说的所有系统问题。有问题的应用程序称为“ QBIT Clean Pro ”,需要注意的是,流行的防病毒产品将其归类为“潜在有害程序(PUP)”。该软件无害,但其安装可能会带来无法预料的副作用,最终可能会令人讨厌。 “系统严重损坏,发现病毒(4)!”如果您浏览与成人媒体,盗版电视剧和电影,游戏破解或其他黑幕文件相关的低质量网站,则弹出窗口可能会出现在Web浏览器中。建议不要访问与黑幕内容相关的网站,因为它们可能会引发可疑的弹出式窗口和无法信任的网站。...

于October 10, 2019发表在Adware

熊猫密码劫持

网络犯罪分子特别喜欢以非法方式使用加密货币时,他们喜欢使用加密货币。一个众所周知的事实是,所有勒索软件的作者实际上都使用某种加密货币来收集赎金-他们通常的选择是比特币,但是在某些情况下,受害者可以通过以太坊,门罗币或莱特币来支付。网络罪犯填充其加密货币钱包的另一项可耻的事情是在他们非法访问的计算机上种植了无声加密货币矿工–这样,他们就可以利用计算机的处理能力来挖掘像Monero这样的加密货币。这是Panda使用的确切方案,Panda是一组网络犯罪分子,其名字与诸如MassMiner之类的大型加密劫持活动相关。熊猫集团使用各种各样的工具来访问受感染主机,并且他们修改了感染媒介,基础结构和利用工具包,以不断提高其运行效率。 公司网络可能是熊猫的首选目标 根据网络安全专家的说法,``熊猫''加密劫持组织的加密劫持活动已为犯罪分子带来了超过100,000美元的纯利润。在最近的一些攻击中,已经观察到他们使用远程访问木马(RAT)来非法访问受害者计算机,然后手动配置和部署Trojan矿工。 普通用户当然不是黑客的主要攻击目标,因为他们似乎使用了各种各样的攻击手段,以允许其恶意软件通过公司网络横向传播。这很可能意味着Panda集团的主要目标是公司和企业,他们可以同时在数百台PC上安装其矿机。 熊猫加密劫持小组使用了各种各样的工具和漏洞 熊猫的活动肯定比大多数加密劫持活动更为复杂,因为骗子使用各种工具从受害者那里获取尽可能多的信息– RAT,加密货币矿工,像Mimikatz这样的信息收集者以及现成的利用从国家安全局收集并发布给公众。...

于October 10, 2019发表在Malware

洛基·斯托勒

LokiStealer是密码和加密货币收集器,也可以用作加载程序。 LokiStealer用C ++编写,可以感染Linux和Windows XP e Vista计算机。 LokiStaler具有一项功能,可以检查受害者的钱包并收集浏览器,电子邮件和扑克客户密码。通过检查受害人钱包,LokiStealer可以发现其余额和交易,并检查其是否被锁定,以便它将需要使用蛮力破解它并检索加密货币。 LokiStealer可以删除,备份和更新已处理的钱包。 LokiStealer隐藏其内容,以使受害者不会意识到它的存在。 不难看出为什么应该尽快发现LokiStealer并从受感染的计算机中删除它。幸运的是,通过使用更新高效的反恶意软件产品,LokiStealer的受害者可以快速安全地摆脱它。

于October 10, 2019发表在Stealers

Dtrack RAT

目前,Lazarus小组在网络犯罪中是一个非常活跃而著名的名字。他们是臭名昭著的WannaCry Ransomware攻击,针对Sony Entertainment的黑客以及针对知名目标的许多其他攻击的黑客。据信源于Lazarus Advanced Persistent Threat组的计算机的最新工具之一是Dtrack RAT,它是一种远程访问木马,它允许其操作员几乎完全控制受感染的计算机。据信,Dtrack RAT与ATMDtrack有关, ATMDtrack是一种在2018年在印度银行的计算机上发现的ATM恶意软件。这两种工具都是由Lazarus APT集团开发和使用的,很可能ATMDtrack是一种Dtrack RAT的精简版本。 Dtrack RAT的代码可以驻留在系统进程的内存中 拉撒路(Lazarus)的黑客坚持自己的风格,并使用最先进的恶意软件部署技术来覆盖其跟踪器并绕过安全措施。 Dtrack RAT通常与无法识别的Trojan滴管结合使用,该滴管能够将恶意代码注入正在运行的系统进程的内存中,因此欺骗了防病毒引擎,使他们认为恶意代码是重要的Windows进程。当然,使用值得信赖的并定期更新的防病毒产品绝不会解决这个问题,它们可以保护您的计算机。 DTrack RAT可用于植入其他恶意软件或收集文件 初始化Dtrack RAT后,它将立即连接到用于Command&Control服务器的预配置地址。 RAT在特定时间间隔检查新命令,并立即执行所有待处理的任务。攻击者可以配置两次命令检查之间的时间间隔,他们还可以: 将文件上传或下载到受感染的计算机,然后启动它们。 将启动持久性授予他们选择的文件。 将文件夹,分区或硬盘驱动器的内容复制到其控制服务器。 更新Dtrack RAT或将其删除。 受Dtrack...

于October 10, 2019发表在Remote Administration Tools

ATMDtrack

Lazarus小组一直在试验一种新的ATM恶意软件,该恶意软件于2018年首次用于印度银行。但是,这很可能不是我们最后一次听到Lazarus黑客产品ATMDtrack的消息。该恶意软件在功能方面受到很大限制–与其他ATM恶意软件系列不同,它没有着重于清空ATM设备的现金箱对银行造成伤害。相反,它的目的是静默收集ATM的所有客户的信用卡详细信息,然后将其泄露给攻击者操作的远程Command&Control服务器。 ATMDtrack在代码方面与Dtrack RAT有很多相似之处, Dtrack RAT是另一种工具,是朝鲜黑客Lazarus黑客工具包的一部分。据信,ATMDtrack是作为一个较小的独立项目而开发的,旨在专门针对银行。另一方面,Dtrack RAT更灵活,功能更强大,可用于针对各种目标的攻击。 迄今为止,ATMDtrack已专门用于对付印度银行 受ATMDtrack攻击影响的银行可能已使用过时的操作系统和软件,从而使Lazarus黑客能够利用已知的安全漏洞。黑客也可能使用了聪明的社交工程技术从员工那里获取登录凭据。...

于October 10, 2019发表在Malware

木马MacOS.GMERA

网络安全专家发现了一种专门针对Mac OS设备的新型恶意软件。威胁被称为Trojan.MacOS.GMERA,似乎在功能方面受到限制,但它可能使操作员能够对受感染者执行shell命令。虽然这对于不懂技术的人来说可能不算什么大事,但实际上,它使具有恶意的攻击者能够在受感染的Mac设备上执行无数任务。 虚假的股票交易应用程序提供了威胁性的Mac Trojan 发现Trojan.MacOS.GMERA的示例隐藏在名为“ Stockfolio”的股票交易应用程序的虚假副本中。当然,该应用程序并未托管在该产品的官方网站上,而是由犯罪分子通过第三方文件托管提供商进行传播。请记住,仅应从可信赖的来源下载程序,因为这是确保其内容不被篡改的最佳方法。 Trojan.MacOS.GMERA在计算机上建立自己的第一件事就是运行向其提供有关用户,硬件配置,运行软件和可用文件的信息的命令。收集所有信息,并将其发送到攻击者的命令与控制服务器。 攻击者可以使用反壳来执行有害任务 服务器收到请求的信息后,它将指示Trojan.MacOS.GMERA的植入副本设置反向外壳,攻击者可以使用该外壳来向受感染的计算机发送远程命令。因此,他们可以植入其他恶意软件,禁用安全措施,收集文件以及出于有害目的执行许多其他任务。...

于October 10, 2019发表在Trojans

Nesa勒索软件

STOP勒索软件仍然是当前最活跃的勒索软件系列-其成员列表包含一百多个名称,并且它们都活跃在世界各地,因此最大限度地提高了威胁的覆盖范围和效率。 STOP成员列表的最新条目之一是Nesa Ransomware,这是一个文件锁定器,其目标是一长串文件格式,并使用随机生成的私有加密密钥对其内容进行加密。完成受害者文件解密所需的数据存储在攻击者的服务器上,因此确保它们是唯一能够提供完成解密过程所需信息的服务器。 发现Nesa Ransomware的攻击并不困难,因为该木马会将'.nesa'扩展名应用于文件名(例如'presentation.pptx'将重命名为'presentation.pptx.nesa')。此外,它还会创建一个名为“ _readme.txt”的文件,该文件通常放置在桌面上–这是STOP Ransomware使用的典型赎金记录,其中包含针对受害者的说明。 攻击者以490美元的价格提供解密器,要求通过gorentos@bitmessage.ch或gerentoshelp@firemail.cc与他们联系以获取付款说明和问题。他们警告Nesa Ransomware的受害者,价格仅在攻击后三天内有效,而金额将在截止日期过去后翻倍。最后但并非最不重要的是,赎金通知书指出,Nesa Ransomware的受害者可以提交2-3个文件进行免费解密-我们建议您接受此提议。 尽管可以接受免费解密,但我们向您保证,即使Nesa Ransomware的作者证明可以恢复您的数据,也不应与他们合作。您发送的钱将被用于开发更具威胁性的勒索软件,而且犯罪分子总有可能会只收取这笔钱。对Nesa...

于October 10, 2019发表在Ransomware

坦达美汀

在浏览Internet时,无论您喜欢使用哪种Web浏览器,Safari,Internet Explorer,Google Chrome,Firefox或Edge,都可以从名为Tantametinwass.pro的网站上看到意外的弹出广告。 Tantametinwass.pro配置为在设法感染计算机的用户使用的任何Web浏览器上添加广告。 Tantametinwass.pro会显示这些广告,以使计算机用户点击它们,以便其控制器可以赚钱。 但是,Tantametinwass.pro需要计算机用户权限才能开始显示广告,这就是为什么受它影响的计算机用户将收到“允许通知”的原因。如果单击该按钮,则会释放大量不需要的无用的广告,最终可能会阻止计算机用户获得正常且卓有成效的浏览体验。...

于October 10, 2019发表在Browser Hijackers

Ughtisindune.pro

当发现欺骗计算机用户执行使这些骗子受益的行为时,网络骗子很有创造力。 Ughtisindune.pro是一个很好的例子。这些人使用Ughtisindune.pro网站说服计算机用户通过订阅该虚假网站来同意其广告的展示。 为了引起计算机用户的注意,Ughtisindune.pro通过显示欺诈性错误消息来启动该策略,这些错误消息声称计算机需要立即关注,并且要知道发生了什么事,计算机用户需要允许站点通知。该消息的内容为: 'Ughtisindune.pro要显示通知 点击“允许”关闭此窗口 按下“允许”可以关闭该窗口。如果您想继续浏览该网站,只需单击更多信息按钮 单击允许以确认您不是机器人!” 不要被它欺骗。首先,未知网站如何进入您的计算机内部,检测错误,并要求您指出错误之处?只是胡说八道。其次,任何地方发出的通知都应格外小心,因为在大多数情况下,这意味着麻烦。...

于October 10, 2019发表在Browser Hijackers

卡尔勒索软件

臭名昭著的STOP / Djvu系列是其庞大的勒索软件系列的另一个新成员。它被安全研究人员称为Karl Ransomware,与它的兄弟姐妹一样,Karl Ransomware的目的是通过使用功能强大的加密方法来加密受害者的最宝贵文件并出售可以解密受影响文件的软件,以勒索受害者。 Karl Ransomware一旦完成对受害者文件的加密,就会显示其勒索消息,内容为: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具: https://we.tl/t-sTWdbjk1AY 私钥和解密软件的价格为980美元。 如果您在72小时内联系我们,可享受50%的折扣,这就是您的价格为490美元。 请注意,如果不付款,您将永远无法恢复数据。 如果您没有收到超过6个小时的答复,请检查您的电子邮件“垃圾邮件”或“垃圾邮件”文件夹。 可以在名为“ _readme.txt”的文件中找到此赎金消息,如上图所示,如果受害者希望恢复其文件,则要求支付980美元。 Karl Ransomware的犯罪者还提供了两个电子邮件地址,以便受害者可以与他们联系。这些电子邮件地址是gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 如果您想知道这种有害生物是如何感染您的计算机的,那么答案就在于不安全的Web浏览,例如打开未知的电子邮件附件,下载破解的应用程序等。但是,Karl Ransomware背后的人们还可以使用其他常见的方法传递威胁 如果您的计算机受到Karl...

于October 10, 2019发表在Ransomware

Vinuser02.biz

Vinuser02.biz是一个最好不要访问的网站。该建议是因为其唯一目的是诱使计算机用户允许其显示赞助广告,而计算机用户不需要或不需要该广告。要获得计算机用户的许可,Vinuser02.biz将显示一条消息,其中包含以下内容: 'Vinuser02.biz要显示通知 我不是机器人 单击允许以确认您不是机器人!” 如果易受骗的计算机用户想知道Vinuser02.biz所说的话并单击“允许”按钮,他们所看到的就是Vinuser02.biz配置为显示的无数广告。这些广告将宣传伪造的安全程序,虚假更新,在线游戏,甚至成人网站,这将使受影响的机器对您的孩子来说不安全。...

于October 10, 2019发表在Browser Hijackers

Sherminator勒索软件

文件加密木马是特殊的网络威胁,因为它们具有造成长期破坏的能力,而无法通过运行防病毒工具并消除感染来消除这种破坏。即使删除了一个勒索软件,它先前加密的文件仍将无法使用。可悲的是,这使勒索软件项目对于网络犯罪分子而言非常有利可图,这就是为什么我们不断看到像Sherminator Ransomware这样的新文件锁的原因。 这个文件锁并不是全新的,因为它与在2018年夏天首次分析的Mr.Dec Ransomware有很多相似之处。可悲的是,目前这两种解密器都不可用,其受害者将是只能从备份中恢复其文件。如果您怀疑Mr.Dec勒索软件或Sherminator勒索软件已将您的文件作为人质,并且没有文件的备份副本,那么您可能会遇到很多麻烦。 Sherminator勒索软件作者很可能要钱 Sherminator Ransomware可能通过伪装成文档或档案的伪造电子邮件附件发送给了潜在的受害者。避免有害文件的最佳方法是使用防病毒工具,以及避免从不可靠的来源下载文件。如果您没有设法阻止Sherminator Ransomware攻击,则文件锁定器将确保对计算机上找到的大多数文档,视频,照片,档案和其他文件进行加密。 Sherminator Ransomware的受害者可能还会注意到,其加密文件的名称后带有唯一的扩展名-'。[ID]。 [ID]。' 与其他文件锁一样,此文件锁也通过创建赎金记录来最终确定攻击。为此,它使用文件“ Decoder.hta”,该文件包含攻击者用于联系的电子邮件地址– sherminator.help@tutanota.com和you.help5@protonmail.com。尽管'Decoder.hta'文件没有提及资金,但您可以放心,Sherminator Ransomware背后的骗子将不会免费提供任何解密服务。...

于October 10, 2019发表在Ransomware