Enemybot 僵尸网络接管物联网设备执行 DDoS 攻击

在野外发现了 Mirai 僵尸网络的新衍生产品,它似乎是 Keksec 的产品。后者是一个以参与分布式拒绝服务攻击和加密劫持活动而闻名的网络犯罪组织。他们最新的威胁工具是 Enemybot 僵尸网络,它大量使用Mirai 僵尸网络的原始代码。然而,犯罪分子通过允许通过基于 TOR 的命令和控制服务器对其进行控制,对僵尸网络的功能进行了几项重大改进,并使其隐藏起来。 Enemybot 僵尸网络针对使用过时固件或登录凭据不佳的各种路由器和物联网 (IoT) 设备。确保您不会成为 Enemybot 僵尸网络和类似威胁的受害者的最简单方法是使所有联网设备的所有固件保持最新。 Enemybot 僵尸网络的主要关注点是 D-Link 和 NetGear 路由器,犯罪分子所依赖的漏洞可以追溯到 2018 年。当然,许多易受攻击的设备已经被其他僵尸网络劫持。这就是为什么 Enemybot 僵尸网络有一个特殊的功能,它检查受感染的设备是否存在与其他僵尸网络项目相关的预定义文件或进程列表。如果找到匹配项,Enemybot 僵尸网络可以消除之前的感染,有效地淘汰竞争对手。 一旦 Enemybot 僵尸网络处于活动状态,它就可以向所有受感染的设备发送命令,命令它们进行广泛的 DDoS 攻击,这些攻击可能会完全关闭服务器,或者至少会阻碍它们的性能。 为确保您的任何设备都不会被 Enemybot...

于April 14, 2022发表在Computer Security

黑客在假破解软件中隐藏凭据窃取恶意软件

黑客在假破解软件中隐藏凭据窃取恶意软件截图

安全研究人员发现了一个新的恶意软件推送活动。这一次,不法分子正在使用FFDroider 恶意软件——一种旨在从基于 Windows 的系统中窃取受害者密码和登录详细信息的恶意软件。 ZScaler 的安全研究团队发现并详细介绍了传播 FFDroider 的活动。该团队警告说,威胁行为者将 FFDroider 隐藏在文件中,假装是合法付费软件的破解可执行文件。 FFDroider 在输入时获取登录信息 ZScaler 将传播 FFDroider 的努力描述为不仅仅是一项活动,而是多项正在进行的活动。除了破解的安装程序外,恶意负载也在免费软件下载中被发现。 虽然 FFDroider 主要用于抓取 Twitter、Facebook 和 Instagram 等社交媒体平台的登录详细信息,但它也可以抓取包括 eBay 和亚马逊在内的在线交易平台账户的密码。当在 Windows 系统的浏览器登录字段中输入这些详细信息时,恶意软件会窃取这些详细信息。 一旦黑客获得了登录名和密码,他们就对被入侵的帐户拥有几乎无限的权力。从冒充到进行欺诈,再到进入受感染账户内链接的其他账户或使用相同的凭据,可能性有很多。假设付款方式在被盗账户内链接,潜在问题的清单会进一步扩大。 如何远离 FFDroider 恶意软件活动 FFDroider 创建了与 Telegram 应用程序使用的文件夹类似的文件夹,并试图伪装成合法应用程序,这似乎是一次非常微弱的隐藏其存在的尝试。...

于April 13, 2022发表在Computer Security

Sapphire Miner

网络安全研究人员发现 Sapphire Miner 在地下黑客论坛上出售。只需 75 欧元即可访问威胁。顾名思义,威胁是一个矿工,它可以超越被破坏系统的硬件资源,并利用它们来挖掘特定的加密货币——门罗币(XMR)、ERGO、以太坊经典(ETC)和以太坊(ETH)。 该威胁配备了多种反检测功能。它可以绕过 WINdow Defender,隐藏其进程,使其不会出现在系统的任务管理器中,并避免被 ProcessHacker 工具发现。此外,Sapphire Miner 将自己设置为每次启动时都获得管理员权限。 将开采哪些加密货币取决于受感染设备的可用硬件资源。如果系统的 VRAM 小于 2GB,蓝宝石矿工将只开采门罗币。在 3GB 的计算机上,威胁将为 Monero 和 ERGO 生成硬币。如果有 4 或 5 GB 的 VRAM,攻击者可以指示 Sapphire Miner 将资源用于 ETC + XMR 或 ERGO + XMR。最后,在具有 6 GB 或更多 VRAM 的设备上,恶意软件将挖掘 ETH + XMR。...

于April 13, 2022发表在Malware

'DHL Express Import Shipment on Hold' Email

作为攻击活动的一部分,网络犯罪分子正在传播带有损坏附件的诱饵电子邮件。这些电子邮件假装来自合法的 DHL 物流公司。为了迫使用户打开附加的武器化文件,这些消息声称属于用户的重要货物已被政府机构停运。为放行进口货物,用户应提供额外的清关信息,包括制造商的全名和地址,以及物品的预期用途。 看似紧急的消息的唯一目的是说服收件人尽快打开受损的附件。执行文件后,它将在系统上提取恶意软件有效负载。通常,诸如此类的攻击活动的任务是传播数据收集威胁。被丢弃的恶意软件可以监视用户在系统上的活动,提取敏感信息,例如帐户凭据,获取加密货币钱包的登录详细信息,活动键盘记录程序等等。...

于April 13, 2022发表在Malware, Spam

Yourdesktopdefence.com

Yourdesktopdefence.com 是一个不值得信任的网站,据观察它执行了一项流行的在线计划。更具体地说,该页面已被确认运行“您的 PC 感染了 5 种病毒”计划的版本。用户应记住,此类流氓网站显示的内容可能会因访问者的 IP 地址、地理位置、浏览器类型、设备类型等因素而改变。 用户很少会故意打开 Yourdekstopdefence.com 等页面。由于流氓广告网络或侵入性 PUP(潜在不需要的程序)引起的不需要的重定向而遇到可疑站点的可能性要大得多。 Yourdesktopdefence.com 启动后,它将显示几个弹出窗口,其中包含关于在用户设备上发现的多个恶意软件威胁的欺骗性和完全错误的声明。其中一个弹出窗口将模拟执行威胁扫描。用户应始终牢记,没有任何网站能够进行此类操作,并且这些声明完全是捏造的。 为了使其警报和警告看起来更加严肃和合法,Yourdesktopdefence.com 将突出显示诺顿防病毒软件的徽标、界面设计和品牌。自然,NortonLifeLock Inc. 等合法公司不会依赖有问题的网站来推广他们的产品。因此,诺顿与这个欺骗性的页面完全没有联系。 通常,欺诈者的目标是说服用户安装推广的可疑应用程序,该应用程序通常会成为令人讨厌的...

于April 13, 2022发表在Rogue Websites

Flow Dark

Flow Dark 是一个浏览器扩展程序,即使在本机不支持此类功能的网站上,用户也可以激活“黑暗模式”。此功能已在用户中非常流行,因此,Flow Dark 可以尝试合法地为自己找到一个位置。然而,它的创建者显然有其他计划,因为他们为应用程序配备了广告软件功能。在他们的设备上允许 Flow Dark 的用户很快就会注意到他们的 Web 浏览器已经开始以一种不寻常的方式运行。 事实上,Flow Dark 能够接管某些浏览器功能。其最突出的入侵行为将是打开包含可疑广告的不需要的标签。可能会向用户展示更多 PUP(潜在有害程序)、欺骗性页面、可疑成人平台等的广告。 重要的是要记住,PUP...

于April 13, 2022发表在Adware, Potentially Unwanted Programs

Notcomp.com

Notcomp.com 是一个对向其访问者提供任何有意义的服务完全不感兴趣的页面。取而代之的是,它的运行方式与所有其他已放到 Internet 上的欺骗性网站几乎相同,其唯一目的是运行基于浏览器的策略。事实上,Notcomp.com 严重依赖点击诱饵消息和社交工程策略来诱骗用户在不知不觉中订阅其推送通知服务。 用户可能遇到的潜在场景之一是假装正在执行 CAPTCHA 检查的可疑页面。类似于“如果您不是机器人,请单击允许”的消息可能会显示在困惑的机器人图像旁边。尽管暗示,“允许”按钮具有完全不同的功能,单击它将启用站点的推送通知。 恶作剧页面经常利用这种合法的浏览器功能,通过侵入性广告活动为其运营商创造金钱收益。受影响的用户可能会注意到在浏览 Internet 时看到的广告显着增加。更重要的是,显示的广告不可信。他们可能会使用类似的不正当手段来推广更多计划、虚假赠品、网络钓鱼网站、侵入性...

于April 13, 2022发表在Browser Hijackers, Rogue Websites

Exclusivedealsfinder.com

Exclusivedealsfinder.com 不关心向其访问者提供任何诱人的交易。相反,该网站仅用于执行流行的基于浏览器的方案。不幸登陆页面的访问者将被呈现各种操纵场景和点击诱饵消息,试图引诱他们订阅页面的推送通知。 当然,这些网站很少公开表明他们的意图。在绝大多数情况下,他们通过假装单击“允许”按钮是验证码检查的一部分或将授予用户访问其他内容的权限来隐藏“允许”按钮的真正功能。 Exclusivedealsfinder.com 遵循第二种策略 - 它显示多条消息,声称单击该按钮将允许访问者观看未指定的视频,以及蒸汽和下载它。显示给访问者的确切文本可能类似于: '点击'允许'播放视频' '流和下载可用' 如果用户启用网站的推送通知,他们可能会发现自己处于侵入性广告活动的接收方。 Exclusivedealsfinder.com 可能会开始生成大量有问题和不可信的广告,并通过受影响的浏览器进行投放。这些广告可能会宣传更多的恶作剧页面、烦人的侵入性...

于April 13, 2022发表在Browser Hijackers, Rogue Websites

Ghas Ransomware

Ghas Ransomware 是一种威胁,专门用于锁定受害者的数据。然后,攻击者将向受影响的用户勒索金钱,以换取他们恢复对重要个人和业务相关文件的访问权限,例如文档、PDF、数据库、档案、照片等。尽管 Ghas 勒索软件是STOP的变种STOP/Djvu Ransomware家族,这一事实并没有降低威胁的威胁性。 一旦在设备上执行 Ghas,它将扫描存储在系统上的文件并加密几乎所有文件。每个锁定的文件都将修改其原始名称,现在包含“.ghas”作为新的文件扩展名。当所有目标文件类型都被处理并变得无法访问时,恶意软件将发送一条带有来自威胁参与者的指令的说明。赎金票据将作为名为“_readme.txt”的文本文件放在系统上。 赎金票据的详细信息 与 Ghas Ransomware 相关的要求赎金的消息几乎与其他 STOP/Djvu 感染中的注释完全相同。黑客表示,只有在受害者向他们转移了 980 美元的赎金后,他们才会协助恢复锁定的数据。然而,这笔款项显然可以减半至 490 美元。有一个要求——受害者必须在最初的 72 小时内建立联系。 可以通过勒索信中提到的两个电子邮件地址与网络犯罪分子进行通信。主要地址是“support@sysmail.ch”。另一方面,“supportsys@airmail.cc”被描述为保留电子邮件。受害者还被告知,他们可以通过免费发送一个文件来测试黑客成功恢复锁定文件的能力。 说明全文如下: '注意! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC...

于April 13, 2022发表在Ransomware

META Infostealer

META 信息窃取者是一种新的、具有威胁性的毒株,在网络犯罪分子中越来越受到关注。恶意软件威胁是旨在填补Raccoon Stealer运营商停止活动后留下的真空的有害创作浪潮的一部分。结果,许多黑客和黑客组织开始四处寻找他们的下一个攻击平台,而 META Infostealer 似乎已经成功地满足了他们的大部分需求。到目前为止,每月订阅 125 美元或终身支付 1000 美元即可获得对恶意软件的访问权限。 该威胁被宣传为更有效和改进的RedLine版本。它可以从受感染的设备中获取敏感信息,例如存储在一些最流行的 Web 浏览器(例如 Chrome、Firefox 和 Edge)中的登录凭据和密码。此外,攻击者可以利用 META Infostealer 破坏受害者的加密货币钱包。 攻击链 安全专家和 ISC 处理程序 Brad Duncan 发现了一项旨在部署 META Infostealer 的活跃活动。威胁行为者使用经过验证的感染媒介来传播带有中毒文件附件的垃圾邮件。这些引诱电子邮件可能包含完全捏造的关于资金转移或其他需要用户立即关注的看似紧急事件的声明。要查看有关假定问题的信息,受害者会被引导打开附件,这是一个带有宏的 Excel 电子表格。为了显得更合法,该文件带有一个 DocuSign 徽标并指示用户“启用内容”,这是执行损坏的 VBS 宏所需的步骤。 当脚本启动时,它将获取并交付给用户的设备几个由多个 DLL 和可执行文件组成的有效负载。这些文件是从不同的网站检索的,例如 GitHub。为避免被安全应用程序检测到,删除的文件可能会进行 base64...

于April 13, 2022发表在Malware, Stealers

Wardoprize.com

Wardoprize.com 试图通过假装为他们提供丰厚的奖品(例如三星 Galaxy)来引诱毫无戒心的用户落入其陷阱。 iPhone 和 MacBook Pro 设备。然而,在访问者可以收到他们获得的奖励之前,他们被要求完成一个简短的调查。该调查只是一个诱饵,允许网站获取各种私人和潜在敏感信息,例如用户的电话号码、家庭住址、电子邮件,甚至信用卡/借记卡号码。此行为将 Waroprize.com 归类为网络钓鱼网站。 恶作剧页面假装与谷歌等知名技术公司有关。它的声明可能包括声称用户刚刚达到某个搜索里程碑并有权获得奖励的经典场景,例如进行第 1000 万次搜索。当然,这完全是假的,这种说法永远不应该被认真对待。 除了收集用户的信息,Wardoprize.com...

于April 12, 2022发表在Phishing, Rogue Websites

Spring4Shell 在推动 Mirai 的运动中被滥用

Spring4Shell 在推动 Mirai 的运动中被滥用截图

基于 Java 的实现似乎是不断给予的礼物。偶尔有报道称正在努力利用Log4j ,这是每个人在冬天都想到的漏洞,现在有消息传出积极利用 Spring Core Java 库中发现的最新重大漏洞。 活动中使用的武器化 Mirai 恶意软件 使用 Spring4Shell 的攻击活动由两家独立的安全研究公司监控。现在,研究团队发现了一个老熟人被用来利用 Spring4Shell 漏洞。 两家安全公司都注意到,通常与僵尸网络相关的Mirai 恶意软件的武器化版本被用于积极利用 Spring4Shell 漏洞。 在检查容易受到新活动推动 Mirai 滥用 Spring4Shell 的系统时,研究人员发现了一些容易被利用的系统中的特征。其中包括 Spring 框架的存在、运行 5.2.20 之前的补丁以及更新到版本 9 或更高版本的 JDK。众所周知,Spring4Shell 缺陷不会影响运行旧版 Java 开发工具包的平台,例如 JDK 8。 Apache Tomcat 和 Spring 参数绑定的特定配置(设置为使用非基本参数类型)也是易受攻击系统特有的功能之一。 首次尝试滥用该漏洞并将 Mirai 日期推迟到 3 月下旬 研究人员操作的蜜罐在 2022 年 3 月的最后一天检测到了首次入侵尝试。 在易受 Spring4Shell 攻击的系统上部署武器化 Mirai 恶意软件的攻击主要针对位于新加坡和该地区的目标。 研究人员预计,试图利用 Spring4Shell...

于April 12, 2022发表在Computer Security

需要帮助删除其他防病毒应用程序无法修复的顽固恶意软件? SpyHunter 5 的帮助台为您生成自定义恶意软件修复程序

需要帮助删除其他防病毒应用程序无法修复的顽固恶意软件? SpyHunter 5 的帮助台为您生成自定义恶意软件修复程序截图

爱尔兰都柏林,2022 年 4 月 11 日 - EnigmaSoft Limited 的 SpyHunter 5 包括 HelpDesk——一种一对一的个性化技术支持服务。有时,用户会遇到与传统反恶意软件可能无法完全检测或删除的顽固恶意软件感染相关的独特问题。 SpyHunter 5 的 HelpDesk 将用户直接连接到我们的 SpyHunter 5 技术人员,他们可以创建自定义恶意软件修复程序,以在需要时解决独特的恶意软件问题。 SpyHunter 5 的 HelpDesk 完全集成在 SpyHunter 5 中;当技术人员创建自定义恶意软件修复程序时,SpyHunter 5 会自动接收修复程序。只需单击几下,即可轻松有效地应用修复程序。 SpyHunter 5 与 Windows 7 及更高版本兼容。 SpyHunter 5 的 HelpDesk 让用户可以直接与经验丰富的技术人员进行一对一的访问,这些技术人员可以帮助用户解决与恶意软件相关的问题,并通过消除冗长而令人沮丧的电话或保持时间来节省用户时间;用户无需拿起电话即可发起求助。 SpyHunter 5 的帮助台如何工作? 转到“帮助台”菜单并单击“诊断报告”图标。 生成“诊断报告”并将其提交给 SpyHunter 5 的技术支持团队。 该团队将审查您的“诊断报告”,并为您创建一个独特的自定义修复程序。修复程序直接传输到 SpyHunter 5。 当 SpyHunter 5 收到修复程序时,您将收到一条通知,说明它已准备好应用。应用修复就像单击“应用修复”按钮一样简单。 SpyHunter 5...

于April 12, 2022发表在Announcements

GeneralProjectSearch

GeneralProjectSearch 是一种侵入性应用程序,它试图潜入用户的 Mac 设备中。它的目标是在那里建立自己的存在,然后参与令人讨厌的广告活动,通过该活动为其运营商带来金钱收益。这种行为带有与广告软件应用程序相关的典型元素。 毫不奇怪,在分析了 GeneralProjectSearch 之后,infosec 研究人员发现它是来自AdLoad广告软件家族的应用程序。此外,由于其分发中涉及的可疑方法,它也属于 PUP(潜在不需要的程序)类别。更具体地说,GeneralProjectSearch 是通过伪装成 Adobe Flash Player 的虚假安装程序提供的。 创建广告软件应用程序是为了向安装它们的设备提供不需要的广告。不应该谨慎对待与此类可疑来源相关的广告。与显示的广告交互的用户可能会触发重定向到恶作剧网站、网络钓鱼门户、启动更多 PUP 的下载等。 在 PUP 中经常观察到的另一个重要方面是它们收集数据的能力。在大多数情况下,这些应用程序会针对用户的浏览信息,例如浏览和搜索历史。还可以传输设备详细信息,包括 IP 地址、地理位置、设备类型、浏览器类型等等。但是,某些 PUP 能够访问包含在用户 Web...

于April 12, 2022发表在Adware, Mac Malware, Potentially Unwanted Programs

Weathersend.com

Weathersend.com 是一个不值得信赖的网站,它试图通过承诺接收及时的天气预报和警报来引诱用户。问题在于,按照网站的说明并单击显示的“允许”按钮,用户将启用 Weathersend.com 的推送通知。无数恶作剧网站利用这种合法的浏览器功能向用户提供不需要和烦人的广告,同时为其运营商带来金钱收益。不幸的是,Weathersend.com 也不例外。 单击“允许”后,用户可能会在更频繁地浏览时开始遇到有问题的广告。由未经证实的来源(例如 Weathersend.com)生成的广告可能会利用类似的点击诱饵或社会工程策略来宣传其他可疑目的地,例如骗局网站、网络钓鱼门户、传播侵入性 PUP(可能不需要的程序)的网站或受损页面感染了严重的恶意软件威胁。 需要注意的是,Weathersend.com 等页面很少被用户有意访问。相反,访问者登陆它们是由于非法流媒体网站上的流氓广告网络、阴暗的种子页面、破解视频游戏和软件的门户等造成的强制重定向。重定向到 Weathersend.com 的另一个原因可能是 PUP...

于April 12, 2022发表在Browser Hijackers, Rogue Websites
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 231