我的行車路線

瀏覽諸如非法流媒體網站,陰暗的約會平台,成人內容頁面之類的狡猾網站的用戶可能會遇到各種各樣的PUP(潛在有害程序)。最近發現的PUP中有“我的行車路線”應用程序。此應用程序的作者聲稱可為用戶提供有用的地圖和導航服務。但是,“我的行車路線”應用程序並未為其用戶提供任何獨特功能-所提供的所有工具和服務已經可以在線免費獲得。這意味著想要利用免費導航服務的用戶無需安裝“我的行車路線”應用程序或任何其他第三方程序。 更改用戶的新標籤頁 如果用戶安裝了“我的行車路線”應用程序,他們將注意到該加載項會自動更改其Web瀏覽器設置。這是典型的PUP行為,可能會降低用戶的瀏覽質量。 “我的行車路線”加載項將用戶的新標籤頁更改為Search.mydrivingdirections.co。這是“我的行車路線”應用程序正在推廣的附屬網站。目標是增加Search.mydrivingdirections.co網站的流量。如果用戶使用此頁面進行搜索,則他們可能不會獲得最有幫助或最相關的結果,因為搜索引擎可能在推廣贊助內容。...

于January 23, 2020發表在Potentially Unwanted Programs

Reliableultimatesafevideoplayers.info

Reliableultimatesafevideoplayers.info網站聲稱可以託管任何用戶免費下載的“可靠”和“安全”視頻播放器。但是,此應用程序既不可靠也不安全,並且已被確定為有害的和潛在的危害。陰暗的Reliableultimatesafevideoplayers.info網站包含一些頁面,這些頁面似乎託管著Adobe Flash Player的更新-Adobe Flash Player是許多用戶已在其係統上安裝的非常流行的應用程序。為了使他們的網站看起來更加合法,該可疑頁面的運營商選擇了一個看起來值得信賴的域名。儘管Reliableultimatesafevideoplayers.info網站的運營商宣稱,請放心此頁面不包含任何有價值的內容,並且最好讓訪問者完全忽略該網站的報價。 避免通過第三方網站更新軟件 數不清的網絡騙子和其他可疑的在線行為者選擇使用偽造的Adobe Flash Player更新和下載作為傳播其狡猾的創作的傳播方法,包括PUP(可能不需要的程序)和惡意軟件。網絡安全分析師警告用戶不要使用第三方網站更新其軟件,因為這最終可能會損害其係統的安全性和數據的安全性。相反,請確保僅從應用程序的官方網站應用更新。這將大大確保您的在線安全。...

于January 22, 2020發表在Browser Hijackers, Mac Malware

最佳影片更新

瀏覽可疑網站的用戶,尤其是正在尋找視頻的用戶,很可能會遇到Biggerupdateforvideos.best頁面。 Biggerupdateforvideos.best頁面的創建者只有一個目標–促進Adobe Flash Player的欺詐性更新。通常,為了誘騙訪問者應用應有的更新,諸如Biggerupdateforvideos.best頁面之類的狡猾網站會聲稱會託管一個引人入勝的視頻,用戶只有在更新Adobe Flash Player後才能觀看。 Biggerupdateforvideos.best網站的創建者似乎主要針對Mac用戶。 傳播可能有害的程序 儘管此陰暗的網頁的作者聲稱,他們提供的更新不合法,並且迷上此技巧的用戶很可能會在其係統上安裝PUP(可能不需要的程序)。根據一些報告,在用戶安裝Biggerupdateforvideos.best網站提供的軟件之後,他們最終將使用名為Advanced Mac TuneUp的應用程序。安裝了Biggerupdateforvideos.best網站的運營商提供的軟件的其他用戶報告說,他們在計算機上找到了名為SearchItNow的應用程序。反惡意軟件工具將這兩種應用程序都歸類為PUP。偽造的Advanced Mac TuneUp應用程序往往會向用戶提供有關其Mac的健康狀況和數據安全性的虛假報告。這是狡猾的反惡意軟件工具的創建者常用的技巧。 Advanced Mac TuneUp應用程序的目的是說服用戶購買防病毒訂閱,該訂閱旨在解決系統上存在的問題。安裝SearchItNow應用程序的用戶聲明該軟件未經其同意即更改了Web瀏覽器設置。這樣可以確保每當用戶嘗試搜索時,他們都將被重定向到一個名為Searchbaron.com的網站。...

于January 22, 2020發表在Browser Hijackers

維文殭屍網絡

自2017年該殭屍網絡首次出現在地圖上以來,惡意軟件研究人員一直在關注Vivin殭屍網絡的活動。 Vivin殭屍網絡的活動高峰期約為2018年底。此後,該殭屍網絡的運營商一直在忽略此活動,並且被劫持的系統數量正在減少。 Vivin殭屍網絡的創建者的目標是折衷毫無戒心的用戶系統,並在其上安裝加密貨幣礦工。這樣一來,Vivin殭屍網絡的運營商就可以利用系統被劫持的用戶的計算資源來挖掘加密貨幣。 開採門羅幣 Vivin Botnet的創建者將這些挖掘模塊注入受感染系統中的是公開可用的XMRig加密貨幣礦工。 XMRig礦工旨在開採Monero加密貨幣。 Vivin殭屍網絡的運營商對XMRig礦機進行了一些改動,以確保其在後台運行而不會引起任何懷疑。為了傳播Vivin殭屍網絡的有效載荷,攻擊者選擇了在流行的洪流網站上使用盜版應用程序作為感染媒介。這就是為什麼網絡安全專家建議用戶不要下載盜版內容-這不僅是非法的,而且還會損害您的系統並危及數據的安全。 堅持不懈 感染系統後,Vivin殭屍網絡將立即與其操作員的C&C(命令與控制)服務器建立連接。這樣做是為了使威脅註冊新近受到威脅的系統並獲取其所需的配置。 Vivin殭屍網絡的運營商使用一些不同的Monero錢包地址來收集開采的加密貨幣。但是,他們似乎在Reddit上提到了其中一些地址。 Vivin殭屍網絡活動中使用的有關Monero地址的帖子是由用戶名“ vivin123”發布的,這激發了殭屍網絡的名稱。 Vivin殭屍網絡將通過安排Windows任務(每30分鐘運行一次挖掘模塊以確保其始終運行)來獲得對受感染主機的持久性。...

于January 22, 2020發表在Botnets

16店

越來越多的網絡騙子選擇使用PayPal網頁仿冒頁面來從毫無戒心的用戶那裡獲得收入。用於創建網絡釣魚頁面的最常用工具之一是16Shop網絡釣魚工具包。 16Shop網絡釣魚套件的作者在該地區非常有經驗。網絡安全分析師熟悉16Shop網絡釣魚工具包背後的黑客小組的工作。多年來,這些網絡罪犯開發了仿冒網頁,模仿了美國運通,蘋果和亞馬遜等常用的在線服務。 16Shop Kit的創建者為他們的客戶提供許多好處 16Shop網絡釣魚套件的創建者已決定在其最新廣告系列中定位PayPal。 16Shop套件不僅可以提供英語版本,而且還可以提供西班牙語,德語,日語和泰語版本,可供世界各地的陰暗人士使用。選擇使用16Shop套件的網絡騙子甚至不需要Web託管服務即可執行其惡意操作。這是因為16Shop網絡釣魚套件的作者為他們的客戶提供了一個隨時可用的服務器。此外,16Shop套件的創建者已經為其管理員面板開發了一個用戶友好的界面,這使得網絡釣魚套件更易於使用。 16Shop工具包背後的幫派還為客戶提供實時聊天支持,負責解決他們可能遇到的任何問題。隨著16Shop網絡釣魚工具包的創建者越來越多,所有這些特權無疑為他們贏得了新的客戶。 能力 像大多數網絡釣魚頁面一樣,使用16Shop工具包設置的頁面也可以收集目標用戶的登錄憑據。但是,16Shop還能夠收集其他敏感數據,這使該工具更加危險。利用16Shop網絡釣魚工具包的網絡騙子還可以獲取受害者的信用卡信息,地理位置,手機號碼和電子郵件地址。通過敦促用戶在虛假的確認提示中填寫其個人詳細信息來收集有關數據,這些提示的建立類似於PayPal服務將顯示的真實警報。然後,活動中收集的所有敏感數據將被轉移到攻擊者的電子郵件收件箱中。...

于January 22, 2020發表在Malware

Nosu勒索軟件

勒索軟件威脅是普通用戶可能遇到的最嚴重的惡意軟件類型之一。此類威脅確保確保潛入目標系統,找到感興趣的數據,並使用加密算法將其安全鎖定。目的是勒索用戶勒索贖金,以換取解密密鑰,以幫助他們恢復數據。 Nosu勒索軟件是最新發現的勒索軟件威脅之一。該數據加密木馬屬於2019年最活躍的勒索軟件家族-STOP勒索軟件家族。 傳播和加密 尚未發現攻擊者如何傳播這種勒索軟件威脅。散佈文件鎖定特洛伊木馬的大多數網絡騙子都選擇依賴垃圾郵件。這需要正常發送給目標用戶的虛假消息和損壞的附件。該消息的目的是說服目標啟動宏綁定附件,以破壞其PC。當涉及分發勒索軟件威脅時,激流跟踪器,受損的廣告活動,虛假更新以及流行軟件的下載是其他一些使用的技巧。 Nosu勒索軟件將鎖定用戶系統上的所有數據。請放心,Nosu Ransomware將對所有文檔,圖像,音頻文件,視頻,電子表格,數據庫和檔案進行安全加密。 Nosu Ransomware鎖定的所有文件的名稱都會更改。此文件加密木馬將'.nosu'擴展名附加到新鎖定的文件。例如,在加密過程結束後,名為“ crimson-red.jpg”的文件將重命名為“ crimson-red.jpg.nosu”。 贖金記錄 Nosu勒索軟件還將在用戶的桌面上放置贖金記錄。攻擊者的勒索消息包含在名為“ _readme.txt”的文件中,該文件通常用於屬於STOP Ransomware家族的威脅。設法在72小時內聯繫Nosu Ransomware的創建者的用戶必須支付原始贖金費用的一半-490美元。但是,對於未能遵守規定並在截止日期之前與Nosu Ransomware的創建者聯繫的受害者,贖金將躍升至980美元。要聯繫Nosu...

于January 21, 2020發表在Ransomware

TRSomware勒索軟件

TRSomware Ransomware是惡意軟件分析師發現的最新文件鎖定特洛伊木馬之一。該威脅似乎不是已經存在的勒索軟件威脅的變體,因此TRSomware Ransomware的作者可能是從頭創建的。 傳播和加密 TRSomware Ransomware的創建者可能依賴於惡意廣告活動,torrent跟踪器,偽造的應用程序更新和下載,流行的媒體或軟件的虛假盜版變體,或者最常見的方法是垃圾郵件。後一種技術特別受歡迎,它由包含欺詐性消息和損壞的附件的電子郵件組成。一旦打開,附件將使勒索軟件威脅滲透到用戶系統中。 TRSomware勒索軟件很可能針對很長的文件類型列表,以確保造成足夠大的損害,以便用戶考慮支付勒索費用。這意味著.mp3,.mp4,.doc,.docx,.xls,.xlsx,.jpeg,.jpg,.gif,.png,.pdf,.rar,.ppt,.pptx,.mov和許多其他文件類型肯定會被TRSomware Ransomware鎖定。 為了鎖定目標數據,TRSomware Ransomware應用了複雜的加密算法。受TRSomware Ransomware影響的用戶會注意到,攻擊後他們的文件名已更改。 TRSomware勒索軟件在所有鎖定文件的文件名末尾添加一個'.TRSomware [is_back__New-Algorithm__By_MaMo434376]擴展名。這意味著一旦TRSomware勒索軟件將其鎖定後,受害者已將其命名為“ warm-winter.mp3”的文件將重命名為“ warm-winter.mp3.TRSomware [is_back__New-Algorithm__By_MaMo434376]”。 贖金記錄 一旦完成加密過程,TRSomware勒索軟件就會在用戶的桌面上放置勒索信息。該筆記稱為“ Beni Oku !!!。txt”,其英文翻譯為“ Read Me...

于January 21, 2020發表在Ransomware

Devos勒索軟件

網絡安全專家每天都會發現新的勒索軟件威脅,因為這是在線上最受歡迎的惡意軟件類型之一。勒索軟件威脅通常被認為是一種快速賺錢的簡便方法,並且可以最大程度地減少對任何負面影響的恐懼。此外,進入門檻相當低,因為即使沒有經驗的網絡騙子也可以藉助勒索軟件構建工具來創建數據鎖定特洛伊木馬。 Devos Ransomware是此類中最新發現的威脅之一。 Devos Ransomware的作者基於臭名昭著的Phobos Ransomware進行了創作。 傳播和加密 垃圾郵件運動是關於勒索軟件威脅的最常用的傳播方法。通常,目標用戶會收到一封包含偽造消息的電子郵件,試圖說服他們執行附件。該電子郵件通常看起來是由合法方(例如知名公司或政府機構)發送的。如果用戶啟動宏綁定附件,其計算機將受到威脅。當然,勒索軟件的作者還經常依賴其他感染媒介-偽造的軟件更新和下載,流行的應用程序和媒體的欺詐性盜版變種,惡意廣告活動等。 無論採用哪種傳播方法,攻擊通常都以相同的方式進行。 Devos Ransomware會掃描用戶的計算機以找到他們的數據。接下來,數據鎖定特洛伊木馬程序將觸發其加密過程。 Devos Ransomware應用加密算法來安全鎖定所有目標文件。所有經過Devos Ransomware加密過程的文件的名稱都會更改,因為該木馬添加了'.id [ -- ]。[qq1935@mail.fr]。 Devos的擴展名。從Devos Ransomware的擴展可以看到,此威脅為每個受害者生成了一個新的唯一ID。這有助於攻擊者區分成為數據鎖定特洛伊木馬受害者的各種用戶。 贖金記錄 像大多數此類威脅一樣,Devos勒索軟件會在受害者的桌面上放下贖金記錄。攻擊者的勒索消息位於名為“ info.txt”的文件中,以及位於名為“ info.hta”的彈出式窗口中。在說明中,Devos...

于January 21, 2020發表在Ransomware

Centerplaceofupgrade.pro

Centerplaceofupgrade.pro網站是不計其數的虛假網頁之一,儘管聲稱這樣做沒有給訪問者帶來任何價值。 Centerplaceofupgrade.pro頁面的創建者似乎將Mac用戶作為目標人群,主要是因為該網站聲稱向用戶提供了OSX的Adobe Flash Player更新。該假冒網站也可能針對運行Windows操作系統的用戶,因為它可能聲稱會向Windows用戶提供其Adobe Flash Player的更新。但是,這兩種說法都是欺詐性的。陰暗的在線演員經常傾向於使用這種古老的技巧來推送PUP(可能不需要的程序)甚至惡意軟件。 不要應用來自第三方站點的更新 惡意軟件研究人員強烈建議用戶避免通過第三方站點下載軟件或對應用程序進行更新的情況,他們可能最終會以一種或另一種方式被利用。用戶應僅從官方發行商處下載應用程序,並使用可信賴的來源來應用更新。幸運的是,對於Centerplaceofupgrade.pro網站,不是分發的惡意軟件而是PUP。但是,PUP可能被證明是非常令人討厭的害蟲,建議用戶在發現PUP後立即將其從系統中刪除,因為它們可能會降低其瀏覽質量和PC的整體性能。 如果您遇到了Centerplaceofupgrade.pro,則您可能正在瀏覽劣質網站,例如非法流媒體平台,狡猾的賭博網站,成人內容頁面等。如果您遇到過Centerplaceofupgrade.pro網站的建議,請更新您的Adobe Flash Player。...

于January 21, 2020發表在Browser Helper Object, Mac Malware

Kodc勒索軟件

2019年最活躍的勒索軟件系列也將在2020年繼續困擾在線用戶-STOP勒索軟件。在2019年期間,網絡騙子創建並分發了200多個此討厭的木馬副本。趨勢似乎並沒有消失,因為惡意軟件分析師已經發現了STOP Ransomware的新副本,並將其稱為Kodc Ransomware。 傳播和加密 大量製造勒索軟件威脅的網絡犯罪分子傾向於依靠垃圾郵件活動來傳播木馬。目標用戶將收到一封電子郵件,其中包含虛假消息和損壞的附件,一旦啟動,將危害用戶的系統。其他常用的傳播方法包括洪流跟踪器,偽造的軟件更新,流行媒體和應用程序的欺詐性盜版副本等。 大多數勒索軟件威脅旨在對受感染的系統造成盡可能多的損害。這意味著,大多數用戶的目標文件類型都可能在任何用戶的PC上找到-.mp3,.mp4,.jpeg,.jpg,.png,.gif,.doc,.docx,.xls,xlsx ,.rar,.mov,.ppt,.pptx等。要鎖定目標數據,Kodc Ransomware將應用安全的加密算法,該算法將使所有加密文件不可用。受Kodc Ransomware影響的用戶可能會注意到,所有鎖定文件的名稱都已更改,因為此文件鎖定特洛伊木馬應用了附加擴展名-.kodc。例如,用戶已將其命名為“ white-wolf.jpeg”的文件將重命名為“ white-wolf.jpeg.kodc”。 贖金記錄 勒索軟件的作者通常會確保其威脅會在受害者的桌面上丟下勒索便條,而Kodc勒索軟件也不例外。此數據加密木馬會刪除名為“ _readme.txt”的文件,其中包含攻擊者的消息。在說明中,Kodc Ransomware的創建者指出,在攻擊發生後72小時內遵守並聯繫他們的用戶將必須支付490美元。但是,如果不這樣做,您將必須支付雙倍的價格-980美元。要求通過電子郵件與Kodc Ransomware的作者聯繫-'helpmanager@iran.ir。為了說服用戶付款,攻擊者提出免費解鎖一個文件。...

于January 21, 2020發表在Ransomware

RagnarokCry勒索軟件

勒索軟件的大多數作者選擇通過借用代碼來將其創建基於已經存在的數據鎖定木馬。有一些網絡騙子是從頭開始開發自己的文件加密木馬,但這些蠕蟲往往會遇到各種問題,有時甚至完全沒有用。但是,RaganrokCry Ransomware並非如此。該勒索軟件威脅的創建者做得很好,並且RaganrokCry Ransomware具有完整的功能。 傳播和加密 大多數勒索軟件威脅的創建者都依賴幾種流行的傳播方式–虛假的應用程序下載和更新,洪流跟踪器,惡意廣告活動,偽造的盜版軟件和媒體,包含帶有宏內容的附件的垃圾郵件等。一旦RaganrokCry Ransomware潛入您的計算機,它將掃描系統上存在的文件並將其標記為加密。然後,將觸發加密過程,所有目標文件將被迅速鎖定。 RaganrokCry Ransomware可能會遵循一長串文件類型來確保最大程度的破壞,因為這會增加用戶付款的機會。鎖定文件的名稱將被更改,因為RaganrokCry Ransomware對其應用了'.ragnarok_cry'擴展名。這意味著,如果您將文件名為“ coffee-mug.jpg”,則RaganrokCry Ransomware會將其重命名為“ coffee-mug.jpg.ragnarok_cry”。 贖金記錄 在攻擊的下一步中,RaganrokCry Ransomware丟棄位於名為“ How_To_Decrypt_My_Files.txt”的文件中的贖金票據。為了使受害者確信他們擁有有效的解密密鑰,攻擊者提供免費解密一個文件的條件,但文件大小不得超過3MB。 RaganrokCry勒索軟件的創建者未提及特定的贖金費用。 RaganrokCry...

于January 21, 2020發表在Ransomware

Nest視頻勒索的電子郵件欺詐

自Internet誕生以來,電子郵件策略就已經存在。一種迅速流行的最新方案稱為“嵌套視頻勒索”電子郵件騙局。該廣告系列似乎主要針對位於美國的用戶。據報導,“嵌套視頻勒索”策略的作者已向1500多個用戶發送了欺詐性電子郵件。這種策略也可以歸類為“勒索”,因為攻擊者聲稱擁有目標的裸露鏡頭,並威脅將其發送到各種成人娛樂網站。攻擊者還聲稱可以訪問用戶的移動設備,從而進一步威脅目標。攻擊者採取了不同的方法,而不僅僅是索取現金以抹去所謂的裸露視頻。 使用各種社會工程技巧 首先,將要求用戶登錄到攻擊者提供的protonmail.com電子郵件帳戶。登錄到電子郵件帳戶後,目標將看到一條消息,指出該帳戶已被攻擊者攻破,它可以用作與他們進行單獨通信的一種手段。但是,事實並非如此,這是“嵌套視頻勒索”電子郵件騙局的作者採用的另一種社會工程手段,可將其呈現為威脅性和高技能的黑客。接下來,將用戶重定向到託管來自Nest設備的實時流的網站。攻擊者聲稱這些是其係統受到感染的其他用戶。他們還會添加偽造的信息流,該偽造的信息流來自受害者無法運行的智能手機。但是,攻擊者提供的實時流不是來自他們受到破壞的設備,而是公開可用的實時視頻源。 “嵌套視頻勒索”策略的作者還向用戶提供了贖金記錄,敦促受害者通過Gmail與攻擊者聯繫。 攻擊者需要比特幣或禮品卡 遵循說明並向提供的Gmail地址發送電子郵件的目標用戶將獲得另一套與不同Protonmail.com電子郵件帳戶相對應的登錄憑據。同樣,“嵌套視頻勒索”策略的創建者也採用了同樣的技巧-他們聲明Protonmail.com帳戶被黑,並且僅用作與他們進行通信的一種手段。完成所有步驟後,目標將看到攻擊者的贖金消息。 “嵌套視頻勒索”策略背後的騙子要求以比特幣的形式支付500歐元作為贖金。作為替代方案,受害人還可以通過流行服務(例如eBay,Amazon,Target,Steam,iTunes等)向欺詐者支付總計600美元的禮品卡。...

于January 21, 2020發表在Adware

“您是首選!”彈出窗口

傾向於瀏覽晦澀的網站的用戶經常會遇到幾個問題,因為此類網頁與陰暗的廣告網絡和其他可疑的服務緊密結合。陰暗的網站包括託管成人內容的頁面,賭博平台,非法的流媒體網站,虛假的贈品網頁等。此類網站的訪問者很可能會遇到“您是所選擇的”!彈出窗口。這些偽造的彈出窗口聲稱訪問者已經贏得獎賞,要獲得獎賞,他們必須完成幾個步驟。為了使該策略更可信,其作者還建立了一個偽造頁面,其中包含聲稱已獲得有關獎項的不存在個人的虛假評論。 美術師可能會運用各種技巧 “您是所選擇的!”有幾種技巧。彈出窗口可能會嘗試吸引用戶。其中之一就是誘使他們允許該方案的作者發出Web瀏覽器通知。這不會影響您系統的安全,但是肯定會降低您的瀏覽質量。偽造的頁面經常試圖說服用戶允許他們顯示Web瀏覽器通知,然後繼續用不懈的廣告轟炸他們,以宣傳各種陰暗的服務和產品。 “您是所選擇的!”該策略還可能要求用戶填寫一些詳細信息,例如姓名,地址,電話號碼等。 不用說,除非您已確認平台的可信賴性,否則提供此類信息不是一個好主意。 “您是被選中的!”收集的數據騙局很可能用於向用戶提供針對性更強的廣告。但是,還有一個更不安全的技巧,即“您是所選擇的!”彈出窗口可能正在使用。此類策略有時會聲稱用戶需要通過將文本消息發送給技術人員提供的電話號碼來確認其身份。通常,短信的價格會遠遠高於假頁面列出的價格。...

于January 21, 2020發表在Adware

JhoneRAT

JhoneRAT是一種令人印象深刻的RAT(遠程訪問木馬),其活動最近激增。在研究了這種威脅之後,惡意軟件分析家得出結論,它很可能是從頭開始構建的。這並不罕見,但是許多RAT的作者更喜歡借用現有威脅的代碼,而不是從頭開始構建工具。根據專家的說法,JhoneRAT是用Python編程語言編寫的。 傳播方式 JhoneRAT借助垃圾郵件活動進行分發。當傳播惡意軟件時,這是一種非常流行的傳播方法。通常,垃圾郵件將包含損壞的附件。 JhoneRAT也是如此。 JhoneRAT傳播中使用的附件有兩種類型-一種聲稱是必須緊急打開的重要文檔,另一種聲稱它是包含已洩露的Facebook登錄憑據的存檔。如果用戶因此技巧而打開了附件文件,他們將觸發JhoneRAT攻擊的下一步執行。 避免通過反惡意軟件工具進行檢測 JhoneRAT的作者使用了一個非常聰明的技巧來掩蓋此威脅的不安全行為。一旦破壞了目標系統,JhoneRAT也將下載另一個託管在Google雲端硬盤上的Microsoft Office文檔。下載後,該文檔將在系統上啟動。攻擊者已確保優先使用第三方應用程序(例如Google Drive)。這有助於該RAT的作者掩蓋威脅的活動,並欺騙安全工具將其列為合法威脅。 自我保存技術 JhoneRAT從Google雲端硬盤獲取的其他文檔中包含一個模塊,該模塊能夠掃描滲透系統中是否存在硬盤序列號,因為用於惡意軟件調試的計算機通常缺乏這種序列號。這意味著JhoneRAT能夠檢測它是在沙盒環境中還是在常規計算機中運行。如果掃描確定該系統未用於惡意軟件調試,則JhoneRAT將繼續進行攻擊並從Google雲端硬盤中獲取圖片。 面向來自中東和北非的用戶...

于January 17, 2020發表在Remote Administration Tools

LALALA Infostealer

惡意軟件研究人員發現了一個嶄新的信息竊取者,在網上纏擾用戶。這種威脅被稱為LALALA Infostealer,目前尚不清楚背後的開發商是誰。 LALALA Infostealer的目標是悄悄地潛入目標系統,收集信息,然後將收集的數據洩漏到攻擊者的C&C(命令與控制)服務器。 收集,壓縮數據並將其傳輸到攻擊者的C&C 看來,LALALA Infostealer的作者正在使用垃圾郵件活動來傳播這種威脅。通常情況下,這包括虛假郵件和宏鏈接附件。如果用戶迷上了此技巧並啟動了附件文件,則威脅可能會威脅到他們的系統。感染目標PC後,LALALA Infostealer將確保每分鐘執行一次VBS文件。 VBS文件的目的是從LALALA Infostealer的作者的C&C服務器接收命令。該信息竊取員能夠從幾種流行的服務(Mozilla Firefox,Mozilla Thunderbird,Google Chrome,Microsoft Edge和Microsoft Outlook)中收集信息。 然後,LALALA Infostealer收集的數據將放置在用戶%TEMP%目錄中的文件夾中。攻擊者除了在目標系統上植入LALALA Infostealer外,還向受感染的主機注入WinRAR應用程序的真實副本。這使他們可以壓縮收集的信息並將其移至系統目錄。然後,對收集到的信息進行加密並將其洩漏到攻擊者的C&C服務器。 LALALA Infostealer旨在收集保存的登錄憑據,聯繫人列表,cookie,任何保存的自動填充數據以及其他重要信息。 首先,大量反惡意軟件應用程序無法檢測LALALA Infostealer,這使其非常危險。幸運的是,這些工具的開發人員很可能已經更新了他們的數據庫,以包括LALALA...

于January 17, 2020發表在Trojans