熱門安全保護文章

謹防Michael Jackson一年死亡週年紀念垃圾郵件 為了慶祝我們這個時代最偉大的藝人之一的生活和遺產,世界各地的歌迷將再次尋找他們最喜歡的邁克爾·傑克遜(Michael Jackson)的歌曲,並在我們臨近其逝世週年紀念之際向流行音樂之王致敬。 在2009年6月25日邁克爾·傑克遜去世之後,我們開始目睹了新的垃圾郵件活動 ,這些活動利用了這位流行歌星傳說的意外死亡。邁克爾·傑克遜(Michael Jackson)死後僅幾個小時,我們就開始收到來自計算機用戶的電子郵件報告,這些報告聲稱其中包含有關MJ通過的信息,這些信息被發現是垃圾郵件。...
警告:針對Windows PC的威脅性BlackHole漏洞利用工具包現已免費提供給黑客 對於新手黑客和罪犯來說,聖誕節快到了,因為有人在不到30天的時間裡公開釋放了一個而不是兩個危險的惡意軟件工具,從而希望他們的騙子分子氾濫成災。 Zeus惡意軟件套件及其密碼一經以密碼保護的存檔形式提供,最近就已免費向公眾發布!就在地下世界開始安定下來時,還可以在地下論壇和共享網站(例如Hacker News)上免費下載較早版本的惡意漏洞利用工具BlackHole 。...
黑客攻擊花旗銀行竊取超過200,000名信用卡客戶的個人數據 儘管有關眾議員安東尼·韋納(Anthony Weiner)(DN.Y.)的在線性醜聞的新聞不斷出現,但又發生了另一起黑客事件,這次黑客入侵花旗銀行的計算機,竊取了帳號,姓名和聯繫信息。 花旗銀行是美國最大的四家銀行之一,大約一個月前發現了一條數據洩露事件,據稱已影響了超過20萬名信用卡客戶。 花旗銀行在最近的一份聲明中說:“在日常監控中,我們最近發現未經授權就可以在線訪問花旗帳戶,”花旗集團在一份準備好的聲明中說。 “查看了有限數量的Citi銀行卡客戶的會計信息(大約1%)(例如姓名,帳號和包括電子郵件地址的聯繫信息)。”...

熱門文章

RobinHood勒索軟件

RobinHood勒索軟件(RobbinHood Ransomware或RobbinHood File Extension Ransomware)是一種勒索軟件木馬,用於以提高也門人民的知名度和資金為藉口來騷擾計算機用戶。實際上,沒有證據支持RobinHood Ransomware的創建者俱有利他動機的理論。騙子有可能使用RobinHood勒索軟件來牟利,就像大多數加密勒索軟件特洛伊木馬程序的創建者如今一樣。但是,對於RobinHood Ransomware而言,勒索要求非常高,因此,任何個人計算機用戶在遭受攻擊時都不太可能會支付RobinHood Ransomware勒索。採取預防措施來防範諸如RobinHood Ransomware之類的勒索軟件木馬,這種木馬正日益普及。 也門也有羅賓·胡德 RobinHood Ransomware感染幾乎沒有什麼不同。 RobinHood勒索軟件幾乎與大多數其他加密勒索軟件木馬相同。 RobinHood勒索軟件將加密受害者的文件,然後要求勒索贖金,以換取恢復受影響文件所必需的解密密鑰。 RobinHood勒索軟件包含聲稱為也門人民服務的消息,其中提及沙特阿拉伯在也門殺害無辜者。 RobinHood勒索軟件可以通過多種方式安裝在受害者的計算機上。與RobinHood Ransomware鏈接的最常見分發方法是損壞的網站和鏈接,通常使用垃圾郵件消息或社交媒體上的策略進行分發。 RobinHood勒索軟件包括一個宣傳圖片而不是標準的贖金票據,更改了受害者的桌面圖片,以反映其據稱為也門人民籌款的目的。 RobinHood勒索軟件將加密大量文件,尤其是針對與Microsoft Office相關的媒體文件,照片和文檔。 RobinHood Ransomware的桌面圖像顯示為“ HELP YEMEN”,並包含一條消息,指示受害者採取若干步驟進行恢復。 RobinHood...

于October 15, 2019發表在Ransomware

WannaCryptor或WanaCrypt0r勒索軟件

WannaCryptor或WanaCrypt0r勒索軟件 screenshot

WanaCrypt0r勒索軟件是一種加密木馬,具有類似於蠕蟲的攻擊策略。截至2017年5月12日,WanaCrypt0r勒索軟件被公認為是最具威脅性和最廣泛使用的加密木馬之一。WanaCrypt0r勒索軟件在第一版發佈到真實世界時成功入侵了一百四十個國家的數十萬個系統。攻擊的首當其衝是俄羅斯的PC用戶和英國的National Healthcare System。該木馬成功地阻止了對連接到國家醫療保健系統的大多數計算機的訪問,並且在俄羅斯記錄了涉及WanaCrypt0r勒索軟件的案例中近70%。 WanaCrypt0r勒索軟件是一個獨立的勒索軟件木馬,它能夠感染運行Windows XP和Windows Server 2003的易受攻擊的計算機。受害最大的國家是俄羅斯聯邦,烏克蘭,印度,英國和台灣。 誰在用WanaCrypt0r勒索攻擊背後? WanaCrypt0r Ransomware背後的惡意軟件作者利用了NSA發現的漏洞,該漏洞已被一群稱為“影子經紀人”的黑客出售。該小組希望出售NSA盜用的一套工具,但沒人願意購買他們的“產品”,因此該小組將所有可用資源上傳到Internet。顯然,WanaCrypt0r的創建者發現了一個漏洞,其代碼為CVE-2017-0145,又名“ EternalBlue”,該漏洞使程序員可以將專門製作的數據包發送到SMB服務器,並在接收器端執行損壞的代碼。攻擊者設法安裝了“ DoublePulsar”後門木馬,這使他們能夠將WanaCrypt0r勒索軟件引入受感染的計算機和與其連接的其他計算機。 WanaCrypt0r勒索軟件是持久威脅嗎?...

于October 15, 2019發表在Ransomware

Ryuk勒索軟件

Ryuk Ransomware是一種數據加密木馬,已於2018年8月13日被識別。看來Ryuk Ransomware損害了私營公司和醫療機構的利益。據報導,美國和德國的感染組織有威脅者。初步分析表明,威脅是通過受感染的RDP帳戶注入系統的,但是有可能存在並行的垃圾郵件活動,該威脅活動以啟用宏的DOCX和PDF文件的形式承載了威脅有效載荷。 一般事實和歸因 Ryuk Ransomware出現在2018年8月中旬,對全球主要組織進行了周密計劃的針對性攻擊,對受感染的PC和網絡上的數據進行加密,並要求支付贖金以換取解密工具。 Ryuk並未展示出極其先進的技術技能,但是, 它與其他勒索軟件的區別在於它需要的巨大贖金 。金額取決於受影響組織的規模,而研究表明,攻擊者已經從受害者手中獲得了將近400萬美元的敲詐資金,平均贖金為價值71,000美元的比特幣,是其他惡意軟件通常要求的金額的十倍。類。截至2019年1月,Ryuk要求的最低贖金金額為1.7 BTC,而最高為99 BTC。已知交易數量為52,收益已分配給37個BTC地址。 網絡安全研究人員注意到Ryuk攻擊與另一種名為HERMES的勒索軟件之間存在相似之處,該勒索軟件歸因於國家資助的朝鮮APT組織Lazarus Group。在Ryuk首次露面時,研究人員認為它是基於HERMES源代碼構建的,該源代碼是由同一個黑客組織或另一個從地下惡意軟件論壇獲取該代碼的演員組成的。 Ryuk和HERMES之間的某些相似之處得出了這一結論。兩種勒索軟件威脅共享相同的代碼段,Ryuk中的幾個字符串引用了愛馬仕(Hermes),並且在Ryuk啟動時,它還會檢查每個加密文件中的HERMES標記,以找出系統是否已經受到HERMES的攻擊。也存在一些關鍵差異,由於無法確定Ryuk欺詐性付款的最終接收者,因為惡意軟件運營商會通過許多不同的比特幣錢包轉移資金,因此勒索軟件的歸屬仍然是一個猜測問題。...

于October 15, 2019發表在Ransomware

更多文章

APT35

APT35(高級持續威脅)是一個黑客團體,據信源於伊朗。這個黑客組織也以其他幾個別名而聞名-新聞廣播員團隊,磷,可愛的小貓和Ajax安全團隊。 APT35黑客組織通常參與出於政治動機的活動和出於經濟動機的活動。 APT35黑客組織傾向於將精力集中在針對人權活動家的參與者,各種媒體組織以及主要的學術領域。大多數運動在美國,以色列,伊朗和英國進行。 熱門APT35活動 APT35最臭名昭著的一項操作是於2017年針對HBO進行的一項操作。其中,APT35洩漏了超過1TB的數據,其中包括員工的個人詳細信息和節目,尚未正式發布。另一個臭名昭著的APT35戰役使之成為現實,其中還涉及美國空軍叛逃者。有關個人協助APT35訪問機密政府數據。 2018年,APT35小組建立了一個網站,該網站旨在模仿一家合法的以色列網絡安全公司。唯一的區別是假網站的域名稍有變化。該活動幫助APT35獲得了該公司某些客戶的登錄詳細信息。最近一次臭名昭著的活動涉及APT35,該活動已於2018年12月進行。在此行動中,APT35小組以“ Charming Kitten”的別名活動。這次行動針對的是在經濟制裁以及當時對伊朗實施的軍事制裁方面具有影響力的各種政治活動家。 APT35小組冒充與目標相同領域的高級專業人員。攻擊者使用量身定制的網絡釣魚電子郵件,其中包含偽造的附件以及虛假的社交媒體資料。 APT35的DownPaper惡意軟件 DownPaper工具是後門特洛伊木馬,主要用作第一階段的有效負載,並具有以下功能: 與攻擊者的C&C(命令和控制)服務器建立連接,並接收要在滲透主機上執行的命令和有害有效負載。 通過篡改Windows註冊表獲得持久性。 收集有關受感染系統的信息,例如硬件和軟件數據。 執行CMD和PowerShell命令。...

于October 10, 2019發表在Malware

APT28

APT28(高級持續威脅)是一個起源於俄羅斯的黑客組織。他們的活動可以追溯到2000年代中期。惡意軟件研究人員認為,APT28小組的活動是由克里姆林宮資助的,因為它們通常針對外國政治人物。 APT28黑客組織最著名的名稱是Fancy Bear,但在其他各種別名下也被認可-Sofacy Group,STRONTIUM,Sednit,Pawn Storm和Tsar Team。 花式熊進行的臭名昭著的黑客運動 專家認為,花式熊參與了2016年民主黨全國委員會的黑客攻擊,有些人認為這對同年舉行的總統選舉的結果有一定影響。同年,由於涉及俄羅斯運動員的醜聞,花式熊組織也將目標對準了世界反興奮劑機構。 Fancy Bear獲得的數據隨後被發布並公開提供。數據顯示,一些興奮劑測試呈陽性的運動員後來被豁免。世界反興奮劑機構的報告指出,非法物質是用於“治療用途”的。在2014年至2017年期間,Fancy Bear小組參與了針對美國,俄羅斯,烏克蘭,波羅的海國家和摩爾多瓦的媒體名人的各種運動。花式熊追捕在媒體公司工作的個人以及獨立記者。所有目標都參與了在烏克蘭東部發生的俄羅斯與烏克蘭衝突的報導。在2016年和2017年,德國和法國舉行了大選,花式熊集團也很可能也將手指放在這些餡餅上。兩國官員報告說,使用魚叉式網絡釣魚電子郵件作為感染媒介的運動已經開展,但他們表示,黑客攻擊沒有任何後果。 花式熊的工具 為了逃避網絡安全研究人員的窺探,Fancy Bear黑客小組確保確保定期更改其C&C(命令和控制)基礎結構。該小組擁有一系列令人印象深刻的黑客工具,它們是私人開發的-X-Agent,Xtunnel,Sofacy,JHUHUGIT,DownRange和CHOPSTICK。通常,Fancy Bear而不是直接傳播,而是更喜歡將其惡意軟件託管在第三方網站上,這些網站是他們用來模仿合法頁面來欺騙受害者的。...

于October 10, 2019發表在Malware

Potao Express

Potao Express是一個黑客團體,以他們開發的兩種工具(FakeTC和Potato)而聞名。該黑客組織自2011年以來一直活躍,但自2017年以來,惡意軟件研究人員一直在密切觀察其活動。 假TC FakeTC惡意軟件是稱為“ TrueCrypt”的合法工具的欺詐副本。 FakeTC惡意軟件的作者正在使用俄羅斯網站進行傳播。攻擊者僅選擇他們所針對的某些用戶,只有這些目標會收到FakeTC惡意軟件,而所有其他用戶將獲得真正的應用程序TrueCrypt。這樣,FakeTC惡意軟件的創建者更有可能受到安全專家的監視。 FakeTC威脅為攻擊者提供了有關受害者的信息。 FakeTC惡意軟件的作者還能夠在滲透的主機上執行其他任務。傳統上,FakeTC惡意軟件被部署為第一階段的有效負載。 寶濤 Potao威脅是一個後門特洛伊木馬,它使攻擊者能夠在受感染計算機上植入其他惡意軟件。這可以通過執行系統上已經存在的文件或從Web下載並執行文件來實現。 Potao副本往往是由FakeTC威脅提供的。 自2011年以來變化不大 Potao Express黑客組織使用的首批工具之一是Potao惡意軟件,該軟件自2011年以來一直是其武器庫的一部分。PotaoExpress組織傾向於將工作重點集中在前蘇聯國家(烏克蘭,俄羅斯,白俄羅斯)的目標上和佐治亞州。但是,Potao Express黑客組織似乎主要針對位於烏克蘭的媒體公司和軍事機構。 Potao Express小組背後的人員還針對一個名為MMM的組織,該組織在俄羅斯和烏克蘭經營龐氏騙局。眾所周知,Potao Express黑客組織使用了帶有損壞鏈接的虛假SMS消息。該鏈接偽裝成一個交付跟踪網站。但是,這並不是Potao黑客組織採用的唯一感染媒介,因為他們傾向於定期更改其傳播方式。 Potao Express小組已經運作了至少八年,但他們的活動相距甚遠,以致於惡意軟件研究人員無法更好地了解活動背後的人員。有人猜測Potao...

于October 10, 2019發表在Malware

精力充沛的熊

精力充沛的熊是一個被視為APT(高級持續威脅)的黑客組織。這個黑客組織也以另外兩個別名而聞名:蹲伏的雪人和蜻蜓。精力充沛的熊傾向於瞄準工業部門以及能源部門的高級人才。充滿活力的熊組通常會隨著時間改變其偏好區域。總的來說,他們的大多數目標都集中在美國和歐洲,但是在2016年和2017年,他們的大部分努力都集中在土耳其。 大多數目標都在工業和能源領域內運作 精力充沛的熊傾向於使用各種攻擊性技術以及極富創造力的方法將惡意軟件傳播到預定目標。 Energetic Bear通常會破壞服務器並將其轉變為損壞的主機,這會傳播可執行代碼以在訪問受感染網站的用戶的系統上運行。這就是所謂的水坑攻擊。 Energetic Bear使用的另一種攻擊技術是將受損的系統用作其C&C(命令與控制)基礎結構的一部分。這些被劫持的設備然後用於轉儲收集的數據和日誌。 活力熊使用的工具 充滿活力的熊小組採用了一系列公開可用的軟件解決方案: 細分。 拍板 PHPMailer。 混合。 Wpscan。 子清單3r。 Sqlmap。 Nmap。 SMBTrap。 Dirsearch。 充滿活力的熊小組使用Wpscan應用程序檢測遠程WordPress網站上可能存在的任何潛在漏洞。為了通過SMB協議定位任何數據,黑客小組採用了SMBTrap工具。可以使用同一應用程序收集受害者的密碼NTML哈希。如果他們在這項工作中取得了成功,則攻擊者可以在以後執行哈希傳遞攻擊。 精力充沛的熊在其戰役中使用PHP Shell 當Energetic Bear設法破壞主機時,只要係統連接到Internet,他們就可以在其上植入特定的Web Shell(PHP)。這些PHP Shell的主要目的是允許其操作員在受感染的計算機上執行遠程命令。這使攻擊者幾乎可以完全控制受感染的系統。在研究與Energetic Bear操作鏈接的PHP文件時,網絡安全研究人員發現,攻擊者可能使用網絡釣魚電子郵件活動來傳播惡意軟件。...

于October 10, 2019發表在Malware

Kuub勒索軟件

所有可疑的個人都試圖跳上“勒索軟件”的火車,因為文件鎖定特洛伊木馬程序被視為一種快速簡便的方式,可以在毫無戒心的在線用戶的基礎上獲得一定的收入。大多數勒索軟件威脅以類似的方式運行-用戶系統感染木馬病毒,該木馬程序立即執行掃描,查找感興趣的文件,然後加密過程鎖定目標數據,最後,威脅將丟棄勒索信息。 傳播和加密 Kuub勒索軟件是最近發現的數據加密木馬之一,它不會偏離前面解釋的路徑。 Kuub勒索軟件屬於廣受歡迎的STOP勒索軟件家族。尚不清楚攻擊者在Kuub Ransomware的傳播中採用了哪些感染媒介。一些專家推測,包含感染附件,虛假應用程序更新以及流行軟件的假冒盜版變種的垃圾郵件可能是攻擊者使用的傳播方法之一。當Kuub Ransomware滲透到主機時,它將對其進行掃描,並在觸發加密過程後不久。完成此步驟後,您會注意到Kuub Ransomware已將新的擴展名附加到鎖定的文件“ .kuub”。這意味著您將文件鎖定特洛伊木馬命名為“ nocturnal-creatures.jpeg”,該文件將重命名為“ nocturnal-creatures.jpeg.kuub”。 贖金記錄 Kuub勒索軟件在用戶桌面上留下了贖金記錄。註釋的名稱為“ _readme.txt”。註釋中的消息指出,贖金為比特幣形式的490美元。但是,攻擊者警告說,除非在72小時內支付贖金,否則價格會翻一番,達到980美元。 Kuub Ransomware的作者要求通過電子郵件“ gerentoshelp@firemail.cc”和“ gorentos@bitmessage.ch”與他們聯繫。 您應該忽略負責Kuub Ransomware的網絡騙子的要求。試圖與這樣的陰暗人士討價還價沒有什麼好處。相反,請考慮下載並安裝合法的反惡意軟件解決方案,這將幫助您從系統中安全刪除Kuub...

于October 10, 2019發表在Ransomware

'Winlogui.exe'礦工

全球有幾位用戶報告說,他們的系統上運行著未知進程。有問題的進程是“ Winlogui.exe”。 “ Winlogui.exe”的創建者已確保在名稱中添加“ Win”部分,該部分通常表示合法的Windows相關進程,並且不會引起任何懷疑。但是,事實並非如此。 “ Winlogui.exe”進程表明存在加密貨幣礦工。加密貨幣礦工使用大量的CPU往往會對主機產生負面影響,從而導致整個系統運行緩慢和性能不佳。在其係統上植入了加密貨幣礦工的用戶可能會極大地影響其瀏覽質量。邪惡的參與者在目標系統上植入了加密貨幣礦工,以自己創造現金,同時還使用大量電力並縮短了滲透設備的使用壽命。 傳播方式 惡意軟件研究人員無法查明'Winlogui.exe'Miner傳播背後的確切傳播方法。攻擊者可能使用了惡意廣告活動,盜版應用程序以及媒體,偽造的軟件更新,洪流跟踪器等。 自我保存技術 例如,“ Winlogui.exe”礦工的作者確保了他們的威脅能夠檢測到用戶何時嘗試使用鏈接到系統性能分析的應用程序,例如Windows Task Manager。如果檢測到此類活動,“ Winlogui.exe”礦工將停止活動,以使用戶不會注意到正在使用多少額外的CPU,並會發現某些信息不正確。該礦工還篡改Windows註冊表,以確保每次重新引導系統時都會啟動損壞的可執行文件。為了強制在Windows啟動時啟動該礦機,將鏈接器文件(.lnk)添加到啟動目錄,該文件鏈接到“ Winlogui.exe”。 如果您發現系統性能不佳,請使用性能分析工具找出問題所在。但是,像“...

于October 10, 2019發表在Trojans

檸檬鴨

惡意軟件研究人員繼續發現採用各種加密劫持惡意軟件的威脅性活動越來越多。最新發現是Lemon_Duck威脅。看來,大多數涉及這種加密劫持惡意軟件的活動最初都集中在亞洲。但是,此後,Lemon_Duck惡意軟件已遍及全球,每天都在造成越來越多的受害者。 Lemon_Duck威脅的作者似乎主要針對公司,因為這通常比追求普通用戶更有利可圖。 Lemon_Duck威脅的創建者旨在破壞盡可能多的系統,建立一個加密貨幣礦工,並利用受感染主機的處理能力來挖掘加密貨幣。當然,所有現金都將轉移到攻擊者的加密貨幣錢包中。 蠻力攻擊 Lemon_Duck的目標是連接到Web的知名不安全服務(包括Microsoft SQL(MS-SQL))感染主機。此威脅檢查兩個已知的Web服務SMB(445),MS-SQL(1433),以及在感染主機時默認情況下運行Lemon_Duck的一個Web服務。 Lemon_Duck威脅使用密碼執行蠻力攻擊,試圖將其強制進入目標主機。再次執行與前面提到的蠻力攻擊類似的操作,除了這次,攻擊者使用散列來獲取對目標NTLM(NT Lan機器)服務的訪問權限。 當Lemon_Duck惡意軟件設法滲透到系統時,它可以: 用惡意LNK文件破壞USB驅動器。 以易受攻擊的Samba服務為目標,並利用EternalBlue漏洞在主機之間傳播。 嘗試使用蠻力字典攻擊向RDP授權。 收集有關主機的信息 為了對受感染的主機保持持久性,Lemon_Duck威脅向Windows啟動文件夾中添加了一個“ lnk”文件。除了通過滲透系統中植入的加密貨幣挖礦機來挖掘加密貨幣之外,Lemon_Duck惡意軟件還可以使用WMI(Windows管理規範)服務來執行遠程命令。 Lemon_Duck惡意軟件可確保連接到攻擊者的C&C(命令與控制)服務器,並每小時向他們提供信息。 Lemon_Duck威脅正在竊取其操作員的信息包括有關受感染系統上存在的用戶帳戶的數據以及軟件和硬件信息。...

于October 10, 2019發表在Malware

“ChaosCC Hacker Group”電子郵件欺詐

在線上一些邪惡的演員是非常熟練的人,具有令人難以置信的引起混亂的能力。然而,其他能力遠遠不及其他人的人,往往依靠社會工程技術快速賺錢。 “ ChaosCC Hacker Group”電子郵件欺詐就是這種情況。負責此策略的個人假裝是一個名為“ ChaosCC Hacker Group”的威脅性黑客組織。但是,不存在這樣的黑客組織,所有這些都假裝使用戶感到恐懼,因為他們已經成為一些殘酷無情的個人的受害者,這些個人現在掌握了命運。 “勒索”計劃 “ ChaosCC Hacker Group”策略是通過偽造的垃圾郵件進行的。在電子郵件中,攻擊者聲稱當他們在取悅自己的同時在線欣賞一些成人娛樂視頻時,已經通過網絡攝像頭記錄了該用戶。 “ ChaosCC Hacker Group”電子郵件騙局的作者還指出,他們已在用戶系統上植入了其他間諜軟件,這有助於他們收集有關它們的更多數據。更糟的是,攻擊者還聲稱已獲得用戶的聯繫人列表及其社交媒體好友列表的訪問權限。他們繼續說,除非用戶以比特幣的形式向他們支付700美元,否則這個尷尬的視頻將被發送給他們的所有朋友,家人和同事。然後,通知用戶他們只有60個小時來支付費用,否則該死視頻將在他們的聯繫人列表中分發。這是在線欺詐者常用的方案,通常稱為“勒索”。 您會很高興知道大多數“勒索”方案都是騙局。這意味著攻擊者在聲稱擁有用戶記錄時通常會張開牙齒,而且值得慶幸的是,“ ChaosCC Hacker...

于October 10, 2019發表在Adware

Zestradar.com

如今,大多數Web瀏覽器都具有“網站通知”功能。許多網頁會要求您允許它們發送通知,而某些網頁可能非常有用。例如,網站會在您的心願單上的商品獲得折扣時通知您,網頁會為您提供最新的最新新聞報導,或者流媒體平台會在您最喜歡的創作者上線時通知您。但是,並非所有請求通知權限的網站都將為您提供優質的內容。某些用戶,例如Zestradar.com網站,將改為利用此許可權,並不斷向您發送垃圾郵件,並向您發送垃圾郵件。 轟炸用戶通知 Zestradar.com網頁似乎是一個低質量的網站,其中包含有關各種主題的博客文章。 Zestradar.com網站涵蓋的一些主題是小工具,設計,電影,旅行等。但是,正如我們提到的,此網頁上的內容質量很低,我們可以向您保證,您可以找到更好的信息來源。比Zestradar.com當然好。瀏覽Zestradar.com網站的用戶將被要求授予頁面發送瀏覽器通知的權限。如果用戶同意,則Zestradar.com網頁將毫不猶豫地開始用有關帖子的通知轟炸他們。這樣做是希望用戶隨後單擊該通知並重定向到Zestradar.com網站。這樣,Zestradar.com網頁的創建者就可以通過點擊和點擊量產生廣告收入。這個可疑網站背後的人甚至走得更遠,並使用了可疑的廣告網絡服務,這將確保即使不瀏覽網頁的用戶也會收到提示,要求他們允許Zestradar.com頁面進行通知。 值得慶幸的是,Zestradar.com網站似乎並未宣傳其他狡猾的內容。許多與Zestradar.com相似的網頁都傾向於推送諸如成人娛樂網站,假贈品和可疑賭博平台之類的可疑內容。...

于October 10, 2019發表在Browser Hijackers

MasterMana殭屍網絡

MasterMana殭屍網絡活動首次發現於2018年底。自那時以來,惡意軟件研究人員估計,受此威脅侵害的系統約為3,000個。在運行了這麼長時間之後,人們可能會認為MasterMana殭屍網絡將包含大量受感染的系統。但是,此活動不是開玩笑,因為攻擊者利用了高端RAT(遠程訪問特洛伊木馬),這使他們幾乎可以完全接管受感染的系統。 定位企業 MasterMana殭屍網絡的創建者使用包含受感染的“ .DLL”文件的垃圾郵件將威脅發送給目標。看來MasterMana殭屍網絡的運營商並不會追隨普通用戶,而是會瞄準公司。他們使用一種稱為網絡釣魚的技術,這意味著採用了各種社交工程方法來確保用戶將執行攻擊者希望的操作。在MasterMana殭屍網絡的情況下,將針對他們量身定制發送給目標企業的電子郵件。 設置MasterMana殭屍網絡成本不到$ 200 網絡安全專家評估過,運行MasterMana殭屍網絡的網絡騙子很可能幾乎沒有花任何錢來建立自己的網絡。他們僱用了兩個特洛伊木馬(即AZORult和RevengeRAT ),它們總共花費約100美元,並且還租用了不超過60美元的VPS(虛擬專用服務器)。 競選中使用的兩個RAT AZORult後門特洛伊木馬可以歸類為間諜軟件,因為它能夠收集登錄憑據,Cookie,瀏覽器歷史記錄甚至是加密貨幣錢包。 RevengeRAT是一種威脅,通常被用作第一階段的有效負載,並為攻擊者在目標主機上植入其他惡意軟件鋪平了道路。此外,RevengeRAT還可以收集有關主機的信息並執行遠程命令。 不使用遠程C&C服務器 大多數操作殭屍網絡的騙子通常都是通過遠程C&C(命令與控制)服務器來這樣做的。但是,MasterMana殭屍網絡的創建者將其內容託管在Pastebin,Blogspot和Bitly上。當MasterMana惡意軟件入侵主機時,它將從這些平台之一中獲取損壞的有效負載,對其解密,然後在主機上執行。...

于October 10, 2019發表在Botnets

“Jeanson J. Ancheta”電子郵件欺詐

並非所有網絡犯罪分子都像我們有時傾向於感知它們那樣聰明和有能力。他們往往更多地依靠我們的天真和無知,而不是依靠自己的技術技能,將利爪沉入我們的錢包。 “ Jeanson J. Ancheta”電子郵件騙局就是這種情況。 使用臭名昭著的黑客的名字來恐嚇用戶 通過調查此操作,惡意軟件專家發現其背後的可疑人員似乎是一個低端黑客團體。他們使用了臭名昭著的美國黑客Jeanson James Ancheta的名字。他因經營殭屍網絡已入獄五年。 “簡森·安切塔(Jeanson J. Ancheta)”策略的作者可能使用了臭名昭著的網絡騙子的名字作為一種社會工程技術。他們依靠這樣的事實,即用戶將使用Google的名稱,並可能認為他們已經成為像Jeanson James Ancheta這樣極具威脅性和高知名度的網絡犯罪分子的受害者,這反過來又使他們更有可能付錢。要求的費用。但是,當Ancheta級別的網絡騙子發起惡意活動時,將永遠不會使用其真實姓名。 聲稱擁有一部由用戶主演的有損視頻 “ Jeanson J. Ancheta”電子郵件騙局的作者指出,最初,他們的想法是感染用戶的計算機並鎖定所有數據,然後向他們提供電子解密工具以換取現金。但是,該計劃似乎已經改變,因為“ Jeanson J. Ancheta”戰術可以歸類為“勒索”行動。攻擊者聲稱,他們可以訪問受害者的網絡攝像頭,並記錄他們在網上享受成人娛樂時從事不當行為。此外,“ Jeanson J. Ancheta”電子郵件騙局的創建者指出,他們也有權訪問用戶的聯繫人列表,並且除非向攻擊者支付以比特幣形式支付的650美元,否則每個人都將收到假定的令人尷尬的視頻。...

于October 10, 2019發表在Adware

Galacti-Crypter勒索軟件

網絡安全研究人員正努力與所有新出現的勒索軟件威脅保持同步,這些威脅似乎每天都在彈出。 Galacti-Crypter Ransomware是最近發現的文件加密木馬之一。 傳播和加密 專家無法確定與Galacti-Crypter勒索軟件的傳播有關的感染載體。一些人推測,攻擊者可能正在使用垃圾郵件活動,虛假的應用程序更新以及流行的軟件工具的假冒盜版變種。一旦Galacti-Crypter Ransomware滲透到系統中,就會執行掃描。掃描將找到要加密的文件。通常,勒索軟件威脅的目標是一長串文件類型,幾乎所有常規PC上都可能存在這種文件類型,從而確保最大程度的損害並增加了獲得報酬的機會。接下來,Galacti-Crypter Ransomware將開始鎖定所有標記為加密的文件。像大多數勒索軟件威脅一樣,此數據鎖定特洛伊木馬不會像大多數勒索軟件威脅那樣在鎖定文件的文件名末尾添加新的擴展名,而無需更改擴展名即可對文件名本身進行編碼。 贖金記錄 Galacti-Crypter勒索軟件的贖金記錄將在一個名為“ Galacti-Crypter 1.8”的新窗口中啟動。數據加密木馬的大多數作者都會提供詳細的聯繫方式,以便受害者可以與他們取得聯繫並可能獲得進一步的指示。但是,Galacti-Crypter Ransomware的作者沒有提及任何联系信息。但是,他們確實指出贖金是150美元,並且是以比特幣的形式要求的。攻擊者還提到用戶只有72小時才能完成交易。 好消息是,有一個免費的,公開可用的解密工具,與Galacti-Crypter Ransomware兼容。它的名稱為“ GalactiCrypter Decryptor”,如果您使用它,將能夠恢復所有加密的數據。但是,下載並安裝信譽良好的防病毒工具並使用它徹底清除系統中的Galacti-Crypter...

于October 10, 2019發表在Ransomware

瀨戶勒索軟件

2019年最普遍的惡意軟件之一是文件加密木馬程序,也就是勒索軟件威脅。有些勒索軟件威脅是獨特的,並且是從頭開始構建的,而另一些則傾向於基於已建立的數據加密木馬的代碼。自然,前者要花費更多的時間和精力,因此大多數網絡騙子都會選擇後者。 傳播和加密 Seto Ransomware就是這種情況–網絡上最近發現的勒索軟件威脅之一。當研究人員研究這種威脅時,他們發現它是臭名昭著的STOP勒索軟件的另一種變體。報告他們已成為Seto Ransomware受害者的用戶正在堆積。看來,這種威脅的創造者在傳播其創造方面非常成功。不確定與瀨戶勒索軟件的傳播有關的特定感染媒介是什麼。一些專家認為,背後的網絡騙子可能使用了欺詐性軟件更新,包含受感染附件的電子郵件,甚至偽造了流行應用程序的盜版副本。每台受感染的計算機都將被掃描。此掃描用於確定Seto Ransomware編程為目標的文件的位置。然後,Seto Ransomware將觸發加密過程。 Seto Ransomware將對所有目標文件應用加密算法並將其鎖定。每個鎖定的文件都將帶有'.seto'擴展名。例如,當Seto Ransomware的加密過程完成時,名為“ sunset-hill.jpeg.seto”的照片將重命名為“ sunset-hill.jpeg.seto”。 贖金記錄 下一步,Seto Ransomware將刪除其贖金票據,名為“ _readme.txt”,並且消息狀態為: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具:...

于October 10, 2019發表在Ransomware

Geost殭屍網絡

Geost殭屍網絡是一項主要在俄羅斯聯邦境內開展的運動,因為它針對的是五家俄羅斯銀行。 Geost惡意軟件追隨Android設備,到目前為止,專家估計該殭屍網絡包含超過800,000台受感染的計算機。 通過200多個虛假應用程序傳播 似乎Geost殭屍網絡的創建者正在使用偽造的應用程序傳播其惡意軟件。用於傳播Geost惡意軟件的軟件似乎主要是偽造的社交媒體和銀行應用程序。這些欺詐性應用程序未託管在官方的Google Play商店中,但可以在俄羅斯流行的第三方Android應用程序商店中找到。網絡安全研究人員已經確定,可能有200多個偽造的應用程序攜帶Geost惡意軟件。 使用HtBot惡意軟件,並且不加密與C&C服務器的通信 人們認為,Geost殭屍網絡是一個相當安靜地開展的運動,如果不是因為頭腦不好的演員採取了幾次錯誤的措施,那麼該殭屍網絡的活動可能已經在相當長的一段時間內一直在專家的監視下更長。 Geost殭屍網絡的運營商正在使用HtBot惡意軟件,以將受感染的主機轉變為代理服務器。但是,網絡安全研究人員發現了HtBot惡意軟件的活動,這有助於專家檢測Geost殭屍網絡本身。此外,Geost殭屍網絡的運營商未能加密網絡與攻擊者的C&C(命令與控制)服務器之間的通信。一旦研究人員找到了攻擊者的服務器,就很容易監視流量並收集有關殭屍網絡活動和功能的更多信息。 能夠監視受害者的短信 當Geost惡意軟件入侵設備時,它將能夠讀取和收集受害者的文本消息。當涉及與銀行相關的惡意軟件時,這是一個非常有用的功能,因為大多數銀行門戶網站都需要兩步驗證。此外,Geost惡意軟件還確保從設備上清除所有證據,以使用戶永遠無法發現發生任何錯誤。 惡意軟件研究人員推測,Geost殭屍網絡操作可能非常成功,其背後的騙子可能已經賺了幾百萬歐元。迄今為止,Android...

于October 10, 2019發表在Botnets

紫狐

自2018年以來,Purple Fox Trojan下載器一直是惡意軟件研究人員所關注的威脅。到目前為止,專家認為,該Trojan已成功在全球範圍內奪走了30,000多名受害者。 Purple Fox Trojan的創建者已更新了威脅,現在正在使用RIG Exploit Kit將其創建內容注入目標主機。 Purple Fox Trojan下載器的有效負載不再依賴NSIS安裝工具,而是依賴PowerShell命令。通過這種方式,攻擊者已確保使整個操作更安靜,並減少研究人員或反惡意軟件工具發現的可能性。紫狐特洛伊木馬的運營商傾向於將其主要用於在受感染主機上植入加密礦威脅。但是,此Trojan下載程序也可以用於植入更多有害威脅。 紫狐特洛伊木馬使用的漏洞 除了使用RIG Exploit Kit之外,Purple Fox Trojan下載器的管理員可能還會採用其他傳播方法。專家認為,紫狐木馬也可能通過惡意廣告活動以及虛假下載進行傳播。當前,用於傳播Purple Fox Trojan的RIG Exploit Kit正在檢查受害者的以下漏洞: VBScript漏洞– CVE-2018-8174。 Adobe Flash漏洞-CVE-2018-15982 Internet Explorer漏洞– CVE-2014-6332。 如果滲透的帳戶沒有管理員權限,則威脅將尋找CVE-2018-8120和CVE-2015-1701。 與以前的Purple Fox下載器版本類似,此變體具有帶有管理員特權的文件,這些文件隨後通過損壞的驅動程序模仿主機上已經存在的類似文件,從而掩蓋了其在系統上的存在。 用戶需要開始更加認真地對待網絡安全。惡意軟件研究人員最常見的建議之一是保持所有軟件的更新。不幸的是,大多數在線用戶都認為這太繁瑣了。但是,如果您的所有應用程序都是最新的,則諸如Purple Fox...

于October 10, 2019發表在Trojans
1 2 3 4 5 6 7 8 9 10 11 14