Star-search.xyz

Star-search.xyz 与侵入性浏览器劫持者和 PUP(潜在有害程序)的活动有关。这些烦人的应用程序通常与更理想的软件产品一起打包,采用一种称为软件包的策略。它们也可以通过虚假的安装程序/更新传播。目标是在不引起任何注意的情况下渗入用户的计算机。 但是,在设备上安装浏览器劫持程序的后果几乎会立即变得显而易见。用户会注意到他们的 Web 浏览器不再像往常一样运行。相反,将开始出现各种不需要的重定向到不熟悉的地址,例如 star-search.xyz。毕竟,绝大多数浏览器劫持者都会修改浏览器的主页、新标签页和默认搜索引擎。 推广页面很可能属于虚假搜索引擎。此类引擎并非旨在自行产生结果。相反,输入的搜索查询将被重定向到不同的引擎。因此,用户可能会看到由合法来源(例如 Yahoo、Bing 或 Google)生成的结果,或者显示由赞助广告填充的低质量结果的不可信引擎。此外,PUP...

于April 16, 2022发表在Browser Hijackers, Potentially Unwanted Programs

Defender-scan.xyz

Defender-scan.xyz 是一个不值得信赖的网站,它采用各种恐吓策略来说服用户安装促销软件产品或购买软件产品的订阅。页面的确切行为可能会根据访问者的 IP 地址、地理位置等多种因素的组合而有所不同。 Defender-scan.xyz 传播的一种确认策略是“您的 PC 感染了 5 种病毒!”作为其欺骗性活动的一部分,该页面将生成几个充满错误警报和安全警告的弹出窗口。尽管没有网站可以自行执行此类功能,但可疑页面甚至会假装正在运行恶意软件扫描。假定的扫描总是会检测到用户设备上的 5 个恶意软件威胁。 通常,运行此方案的站点会显着地显示知名安全供应商的名称、徽标和界面方案。 Defender-scan.xyz 也遵循此模型,因为它试图通过将其呈现为来自 Norton...

于April 16, 2022发表在Adware, Rogue Websites

Toon Explorer

Toon Explorer 为用户提供了一种方便易用的方式来搜索和访问卡通相关内容。虽然这对于有小孩的家庭或对流行卡通感兴趣的人来说肯定是一个诱人的提议,但它似乎只是一个隐藏应用程序真正功能的面具。事实上,信息安全研究人员已经确定 Toon Explorer 主要是一个广告软件程序,旨在向用户提供不需要的广告。 广告软件应用程序主要以生成宣传可疑目的地的侵入性广告而闻名。用户可能会看到恶作剧网站、阴暗的在线赌博或游戏平台、可疑的面向成人的页面等的广告。这些广告还可能被用来传播伪装成看似合法的应用程序的其他侵入性 PUP(潜在有害程序)。 PUP 通常配备数据跟踪功能,Toon Explorer 也可以。在其系统上安装了 PUP 的用户可能会面临大量浏览信息、大量设备详细信息,甚至是帐户凭据、银行和支付详细信息、信用卡/借记卡号码等,这些信息不断被收集并传输到远程服务器。然后,PUP...

于April 16, 2022发表在Adware, Potentially Unwanted Programs

Gilfillan Ransomware

Gilfillan Ransomware 已被确定为源自VoidCrypt恶意软件家族的变体。然而,这一事实并没有削弱威胁对其设法感染的计算机和设备造成重大损害的能力。事实上,Gilfillan Ransomware 的加密程序足以影响大量文件类型并使它们处于完全无法使用的状态。 此外,受害者会注意到每个受影响的文件的原始名称都已进行了很大程度的修改。威胁会为每个受害者生成一个 ID 字符串,并将其添加到锁定文件的名称中。紧随其后的是一个由攻击者控制的电子邮件地址。最后,一个新的文件扩展名——“.Gilfillan”。将被附加。受影响用户的说明将以两种不同的形式传送到系统 - 作为名为“Decryption-Guide.txt”的文本文件和“Decryption-Guide.HTA”文件。 赎金票据的详细信息 两个来源中要求赎金的消息完全相同。他们指示受害者仍然可以恢复锁定的文件,但只能通过攻击者拥有的解密工具和密钥。为了得到它们,受害者需要支付赎金,具体价格有待谈判。作为一种潜在的沟通渠道,黑客提供了一个电子邮件地址——“PaulGilfillan@cyberfear.com”。邮件的附件必须是 Gilfillan Ransomware 在受感染系统上创建的文件。该文件的名称可能类似于“KEY-SE-24r6t523”或“RSAKEY.KEY”,通常应位于 C:/ProgramData 目录中。如果没有此文件中包含的信息,即使是黑客也无法完成对受害者数据的解密。 Gilfillan Ransomware 留下的整套指令是: '您的文件已被锁定 您的文件已使用密码算法加密 如果您需要您的文件并且它们对您很重要,请不要害羞给我发电子邮件 发送测试文件 +...

于April 16, 2022发表在Ransomware

HOUSELOCKER 勒索软件

计算机系统正受到一种新的极具破坏性的赎金威胁的威胁。该恶意软件最初是由一个研究团队发现的,并被跟踪为 HOUSELOCKER。该威胁不遵循通常与勒索软件威胁相关的典型行为。实际上,HOUSELOCKER 不是加密流行的文件类型,而是在保持受感染系统的整体稳定性的同时,旨在影响 MBR(主引导记录)。结果,受害者将无法再访问其设备的操作系统,从而有效地丢失存储在系统上的所有数据。 在 HOUSELOCKER 完成其侵入性操作后,它将启动设备的重新启动。而不是他们操作系统通常的登录屏幕,受害者将看到一个黑色背景的赎金记录。攻击者的指示表明可以解密,但他们拥有的必要解密密钥的价格是 130,000 玫瑰币。款项必须通过 PayPal 转至提供的地址。 HOUSELOCKER留下的整个赎金记录是: '我的文件怎么了?您的文件不再可访问,因为它们已加密。 我支付什么赎金? 请从以下地址从 PayPal 发送 130000 玫瑰币:HkOLoGinInTbIo8h6获得密钥后,创建者发送密钥,如果没有密钥,解密软件将被阻止。 愿上帝帮助你!...

于April 16, 2022发表在Ransomware

PIPEDREAM Malware

美国能源部 (DOE)、CISA、NSA 和 FBI 发布了一份联合网络安全咨询警告,警告政府支持的 APT(高级持续威胁)组织针对关键工业设备实施的攻击行动。据报道,定制的模块化恶意软件菌株能够扫描并破坏 ICS(工业控制系统)和 SCADA(监督控制和数据采集设备)设备。 其中一种恶意软件威胁已被工业网络安全公司 Dragos 追踪为 PIPEDREAM,而 Mandiant 追踪到 INCONTROLLER。信息安全研究人员在将其用于主动攻击活动之前发现了这种威胁性毒株,这为潜在的受害者提供了建立适当对策的空前机会。根据 Dragos 的说法,PIPEDREAM 威胁是由他们认为是 CHERNOVITE Activity Group (AG) 的威胁行为者开发的,并且是有史以来第 7 个以 ICS 为中心的恶意软件。 PIPEDREAM 恶意软件能够操纵广泛的工业控制可编程逻辑控制器 (PLC) 以及工业软件,例如 Omron 和 Schneider Electric。它还会影响常用的工业技术,包括 CoDeSyS、OPC UA 和 Modbus。在实践中,这意味着 PIPEDREAM 可以感染全球大部分工业资产。根据 Mandiant 的说法,该威胁的影响可能与先前发现的恶意软件如TRITON的影响相媲美,TRITON 早在 2017 年就曾用于禁用工业安全系统Industroyer ,这也是 2016 年乌克兰停电的原因和STUXNET ,这是 2010...

于April 16, 2022发表在Advanced Persistent Threat (APT), Malware

研究人员挑选出暴露真正危险的 Enemybot 混合僵尸网络

研究人员挑选出暴露真正危险的 Enemybot 混合僵尸网络截图

安全公司 FortiGuard 的一组研究人员最近发表了一篇博客文章,详细介绍了一种新的僵尸网络恶意软件。该僵尸网络主要专注于提供分布式拒绝服务攻击,并被命名为Enemybot 。 Enemybot 是 Mirai 和 Gafgyt 的混合体 根据 FortiGuard 的说法,Enemybot 有点像变种人,从臭名昭著的Mirai 僵尸网络和Bashlite或Gafgyt 僵尸网络借用代码和模块,从后者借用的更多。这两个僵尸网络家族的源代码都可以在线获得,这一事实使得新的威胁参与者很容易拿起火炬,混合搭配并制作自己的版本,就像 Enemybot 一样。 新的 Enemybot 恶意软件与 Keksec 威胁参与者有关 - 该实体主要以发动以前的分布式拒绝服务 (DDoS) 攻击而闻名。 FortiGuard 在韩国制造商 Seowon Intech 针对路由器硬件以及更流行的 D-Link 路由器的攻击中发现了这种新恶意软件。配置不当的 Android 设备也容易受到恶意软件的攻击。 Enemybot 的真正危险已经暴露。为了攻陷目标设备,Enemybot 使用了广泛的已知漏洞利用和漏洞,包括去年最热门的一个 - Log4j。 Enemybot 针对各种设备 该恶意软件在 /tmp 目录中部署了一个文件,扩展名为 .pwned。 .pwned 文件包含一条简单的文本消息,嘲弄受害者并传达作者是谁,在本例中是 Keksec。 Enemybot 僵尸网络针对几乎所有你能想到的芯片架构,从各种版本的 arm,到标准的 x64 和 x86,再到 bsd 和 spc。...

于April 14, 2022发表在Computer Security

ColdStealer Malware

ColdStealer 恶意软件属于信息窃取威胁类别,旨在从它们感染的系统中获取敏感和私人信息。该威胁最初是由网络安全专家发现的。 ColdStealer 能够收集各种用户信息,然后将其传输到专用的命令和控制(C2、C&C)服务器。 该操作的攻击链始于破坏目标系统的 dropper 恶意软件。威胁的任务是破坏设备,获取 ColdStealer 有效负载,然后执行它。分发 dropper 的一个可能载体是通过流行软件产品的武器化破解程序。 一旦在系统上建立,ColdStealer 就可以提取浏览器信息,包括 cookie、ID、密码等。该威胁还能够访问来自已安装浏览器扩展程序的数据、通常存储在注册表或本地和漫游目录中的加密货币钱包信息、FTP 服务器信息,包括服务器列表和相关密码。 ColdStealer 的威胁功能还允许它捕获各种系统信息,例如 Windows 版本、语言、CPU 类型等。最后,威胁能够识别 .txt 和 .dat 文件中包含的“钱包”字符串或扩展名。所有收集到的数据都打包在一个 ZIP 档案中,然后被泄露到 C2。 ColdStealer 在受害者设备上处于活动状态时遇到的所有错误也会传输到...

于April 14, 2022发表在Stealers

Yt1s.com

Yt1s.com 页面让访问者能够将 YouTube 内容下载到他们的设备上。用户甚至可以选择生成文件的所需格式,例如 mp3、mp4 和 3gp。需要注意的是,利用此类网站违反了 YouTube 平台的服务条款,可能会侵犯版权。 此外,Yt1s.com 等网站经常使用流氓广告网络。结果,每当用户登陆页面时,他们都会受到可疑和侵入性的广告的欢迎。广告可能包含看似诱人的优惠,这些优惠会导致在线商店(合法的和欺诈性的),宣传策略和虚假赠品,导致重定向到网络钓鱼计划,或试图说服用户安装广告软件、浏览器劫持程序或其他伪装成有用的 PUP应用程序。此外,与网站的任何交互都可能触发强制重定向到类似不可信的目的地。...

于April 14, 2022发表在Browser Hijackers, Rogue Websites

Hajd Ransomware

网络安全研究人员已经能够发现另一种 STOP/Djvu 勒索软件变体,网络犯罪分子可以利用该变体对用户计算机进行攻击活动。该威胁被跟踪为 Hajd 勒索软件,基于它用于标记每个加密文件的唯一文件扩展名 - “.hajd”。 尽管与其他STOP/Djvu变体相比,该威胁没有表现出任何有意义的改进或修改,但它仍然保留了造成破坏的显着能力。事实上,每个被破坏的设备都将受到数据加密程序的影响,这将使照片、图像、文档、PDF、存档、数据库和许多其他文件类型完全无法使用。受害者将留下一张赎金票据,以名为“_readme.txt”的文本文件形式交付。 赎金票据的详细信息 Hajd Ransomware 删除的指令遵循该系列变体的预期模式。网络犯罪分子表示,在愿意协助受害者恢复锁定文件之前,他们希望获得 980 美元的赎金。但是,最初的金额可能会减少 50% 至 490 美元。根据说明,唯一的要求是受影响的用户在 Hajd Ransomware 攻击后的 72 小时内联系黑客。显然,受害者也被允许发送一个加密文件免费解锁。他们可以通过发送勒索邮件中的两封电子邮件来做到这一点——“support@sysmail.ch”和“supportsys@airmail.cc”。 Hajd Ransomware 留下的全套指令是: '注意! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1...

于April 14, 2022发表在Ransomware

Thispcprotected.com

Thispcprotected.com 是一个欺骗性网站,旨在运行各种操纵方案。用户在页面上遇到的内容可能会受到特定 IP 地址和地理位置等因素的影响。网络安全专家观察到该页面使用点击诱饵消息来引诱用户启用其推送通知,以及“你的电脑感染了 5 种病毒!”的版本。骗局。 Internet 上的无数页面滥用合法通知功能向用户发送不需要和烦人的广告。这些可疑的网站可能声称按下“允许”按钮将授予用户访问其他内容的权限,或者它是 CAPTCHA 检查的一部分。实际上,用户将订阅该页面的通知并开始接收有问题的广告,宣传更多计划、PUP(可能不需要的程序)和其他类似的不可信目的地。 关于 Thispcprotected.com 传播的另一种策略,它涉及创建多个包含虚假安全警报的弹出窗口。弹出窗口通常显示为来自合法的安全供应商。在这种情况下,页面会显示 McAfee 的徽标、品牌和界面设计。为了进一步说服用户他们的设备已被入侵,该站点将模拟运行威胁扫描,无意中发现恰好 5...

于April 14, 2022发表在Adware, Rogue Websites

Adspirit

Adspirit 是一种侵入性应用程序,旨在在其安装的系统上生成不需要的和不可信的广告。自然,用户极不可能自愿下载和安装此类程序。这就是为什么广告软件和浏览器劫持者的开发者严重依赖于不正当的分发策略,例如软件包或虚假安装程序。 Infosec 研究人员对通过 PUP(潜在有害程序)等方式传播的应用程序进行分类。 与广告软件相关的广告很少是合法的。广告更有可能宣传阴暗的在线赌博平台、视频游戏门户、面向成人的页面等。它们还可能导致强制重定向到诈骗网站、网络钓鱼计划、虚假赠品和类似的可疑目的地。 用户还应该记住,PUP 通常负责从系统收集浏览数据和其他数据。整个浏览和搜索历史可以不断地传输到由 PUP 的操作员控制的服务器。不过,收获的数据可能要广泛得多。一些侵入性应用程序能够从保存到用户浏览器中的自动填充信息中获取大量设备详细信息(IP...

于April 14, 2022发表在Adware, Malware, Potentially Unwanted Programs

Buff.ly

Buff.ly 是一项允许用户方便地缩短 URL 和 Web 地址的服务,否则这些 URL 和 Web 地址在长度方面会显得过于笨拙。不幸的是,该服务经常被用作浏览器劫持者或其他 PUP(潜在有害程序)活动的一部分,以隐藏它们导致的重定向的真实目的地。因此,许多用户可能会错误地将 buff.ly 识别为不安全的植入物或病毒。 浏览器劫持者很少被故意安装。这些烦人的应用程序将自己隐藏在软件包和虚假安装程序中,并试图在不引起用户注意的情况下安装到系统上。但是,一旦激活,所有隐秘的伪装都将被抛在脑后,因为 PUP 会控制重要的浏览器设置。在大多数情况下,用户会注意到他们的浏览器主页、新标签页和默认搜索引擎已设置为现在打开由 PUP 推广的不熟悉的页面。...

于April 14, 2022发表在Potentially Unwanted Programs

Vomm Ransomware

Vomm 勒索软件是一种恶意软件威胁,尽管它是属于 STOP/Djvu 勒索软件系列的另一种变体。受到威胁的计算机将受到数据加密,受害者将无法访问存储在设备上的几乎所有文件。图片、文档、PDF、档案、数据库和许多其他文件类型将使用不可破解的加密算法进行加密。 受影响的用户还会注意到所有锁定的文件现在都在其原始名称中添加了“.vomm”作为新的文件扩展名。这是典型的STOP/Djvu行为,就像将威胁的勒索信作为名为“_readme.txt”的文本文件丢弃一样。 赎金票据概述 说明中提供的说明指出,攻击者要求支付 980 美元的赎金。收到钱后,网络犯罪分子承诺为受害者提供解密工具,以及可以恢复锁定数据的必要解密密钥。如果受害者在攻击后 72 小时内发起通信,他们只需支付初始赎金金额的 50%。当然,不建议相信勒索软件运营商的话,与他们联系可能会使用户面临额外的安全和隐私风险。赎金记录留下了两个电子邮件地址——“restorealldata@firemail.cc”和“gorentos@bitmessage.ch”,以及一个位于“@datarestore”的电报帐户作为潜在的通信渠道。 Vomm Ransomware 操作员留下的指令全文为: '注意! 不用担心,您可以归还所有文件!您的所有文件(如照片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1...

于April 14, 2022发表在Ransomware

Industroyer2 Malware

在俄罗斯入侵该国之前和之后,乌克兰的关键基础设施服务一直是网络攻击的目标。网络犯罪分子似乎仍在发起更多攻击行动,最新目标之一是乌克兰能源供应商。 威胁活动试图部署一种名为 Industroyer2 的新恶意软件,该恶意软件能够破坏或破坏受害者的 ICS(工业控制系统)。该行动针对的是高压变电站,据报道未能实现其邪恶目标。乌克兰的计算机应急响应小组 (CERT-UA)、微软和网络安全公司 ESET 正在分析这次攻击。到目前为止,可能的罪魁祸首是Sandworm威胁组织,据信该组织是在俄罗斯 GRU 情报机构的命令下运作的。 威胁特征 Industroyer2 威胁似乎是一种新的改进版本的恶意软件,称为 Industroyer ( CRASHOVERRIDE )。早在 2016 年 12 月,最初的 Industroyer 就被部署为针对乌克兰变电站的攻击的一部分,该变电站成功地导致了短暂的停电。现在,Industroyer2 威胁正在以类似的方式使用。它作为 Windows 可执行文件部署在目标系统上,本应在 4 月 8 日通过计划任务执行。 为了与目标的工业设备进行通信,Industroyer2 使用 IEC-104 (IEC 60870-5-104) 协议。这意味着它会影响变电站中的保护继电器。相比之下,较旧的 Industroyer 威胁是完全模块化的,可以为多个 ICS 协议部署有效载荷。在配置数据中发现了另一个差异。虽然最初的威胁使用单独的文件来存储此信息,但 Industroyer2...

于April 14, 2022发表在Advanced Persistent Threat (APT), Malware
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ... 231