多門

社交工程工具包在惡意軟件領域並不是什麼新鮮事物,Domen推出了另一種工具。這種威脅背後的基本思想是破壞一個網站(通常是WordPress),然後使用它在屏幕上顯示加載有iframe的覆蓋圖。該覆蓋圖要求訪問者安裝更新,該更新會下載NetSupport RAT( 遠程訪問特洛伊木馬或遠程管理工具 )。它類似於其他威脅,例如2018年4月左右彈出的``假更新''活動。 該活動還與2017年使用的EITest和HoeflerText社會工程計劃有一些相似之處,當時惡意軟件有效載荷是廣告欺詐惡意軟件– Fleercivet。後來發現該惡意軟件正在傳播Spora惡意軟件。 這些與新廣告系列之間的區別主要在於復雜性和分發方法。假更新在受害者的瀏覽器上使用了指紋。新的廣告系列將充分利用該技術來瀏覽30種不同語言的Chrome,Flash Player或字體更新。字體更新覆蓋看起來與幾年前的HoeflerText方案中使用的覆蓋相同,但帶有標頭“未找到'PT Sans'字體”。 新的活動被稱為Domen,Domen工具包與遠程服務器通信,該服務器目前位於asasasqwqq [。] xyz。根據網站推斷的數據,研究人員認為,Domen工具包的受害者訪問量已經超過10萬,並且還在不斷增長。 Domen template.js能夠向Internet Explorer,Firefox,Edge和Chrome發送瀏覽器更新通知,並為所有Android設備提供單獨的APK安裝說明。這些模板中的每一個都以多達30種不同的語言存在,所有這些語言均基於瀏覽器類型,操作系統,語言環境等類型。主題使用可變橫幅,用於選擇字體,Flash或瀏覽器更新主題。每個威脅參與者都可以使用該工具進行設置,然後再以準備的30種語言中的任何一種進行交付。...

于October 10, 2019發表在Malware

駝鹿殭屍網絡

殭屍網絡很少有害,並且其活動經常最終對被感染設備的所有者或殭屍網絡操作員指定的目標造成問題。例如,Mirai殭屍網絡用於發起超大規模DDoS(分佈式拒絕服務)攻擊,使網站和公司網絡離線,從而造成數百萬美元的損失。在其他情況下,殭屍網絡用於挖掘加密貨幣,所有利潤都發送到攻擊者的錢包。但是,似乎存在另一種策略,殭屍網絡可以為其運營商賺錢,而又不會對任何人造成直接傷害。 Moose殭屍網絡的作者只是通過使用他們感染的設備來做到這一點,以建立虛假的社交媒體個人資料,其唯一目的是生成虛假的追隨者,訂閱和喜歡。 Moose殭屍網絡的作者對他們的活動的無害性充滿信心,以至於他們建立了一個公共網站,向客戶提供針對不同社交媒體平台購買各種套餐的追隨者和喜歡的產品。 Moose殭屍網絡似乎在涉及Instagram方面最為活躍,但其作者還與Twitter,Facebook,YouTube,Kiwi和其他平台合作。 穆斯殭屍網絡以創新的貨幣化方案樹立了先例 殭屍網絡運營商通常會開發出幾種可以在不同設備上運行的惡意軟件變種-根據受感染設備的體系結構選擇要刪除的變種。但是,Moose殭屍網絡只能在IoT(物聯網)設備上工作-它的二進製文件僅與ARM和MIMS體系結構兼容。這極大地限制了殭屍網絡活動留下的指紋,並且由於設備的所有者不會注意到任何異常情況,因此有助於將其保留在雷達之下。一旦設備被感染,Moose殭屍網絡可以命令它在一個受支持的社交媒體頁面上創建配置文件,然後使用它來生成虛假的追隨者,喜歡的人等。這種活動極不可能被執法機構起訴,這可能是穆斯殭屍網絡運營商選擇這種獲利策略的主要原因。 物聯網設備通常具有易受攻擊的安全配置,對於擁有專門技能和工具來發起大規模攻擊的網絡騙子來說,它們很容易成為攻擊目標。目前尚不清楚Moose殭屍網絡中設備的確切數量。...

于October 10, 2019發表在Botnets

CXK-NMSL勒索軟件

CXK-NMSL勒索軟件是一個文件鎖定器,很可能主要針對中國用戶。它提供的贖金是中文的,不包含翻譯-極不可能將其以當前狀態分發到其他地區。儘管只關註一個特定區域,但CXK-NMSL勒索軟件是一種不容小under的威脅,因為它能夠對您的文件造成長期損壞。就像許多其他文件加密木馬一樣,該木馬還努力對盡可能多的文件進行加密,從而使其內容無法使用。 CXK-NMSL勒索軟件加密文件後,它將對名稱進行更改,並以'.cxk_nmsl'擴展名進行標記。 CXK-NMSL勒索軟件的作者希望通過Bilibili平台獲得報酬 當然,如果不部署包含更多有關攻擊以及攻擊者要求的詳細信息的勒索消息,CXK-NMSL勒索軟件將無法完成其攻擊。如上所述,文本為中文,它建議受害者訪問中國著名的視頻共享網站Bilibili上的自定義頁面。看來,CXK-NMSL勒索軟件的運營商要求的贖金支付可以通過Bilibili平台上使用的虛擬貨幣支付。可以在名為“ CXK-NMSL-README.txt”的贖金消息中找到這些說明。 毋庸置疑,遵守網絡犯罪分子的要求不是一個好主意,因為他們極有可能不提供任何回報。在許多情況下,勒索軟件受害者在完成勒索贖金後就被欺騙了,使他們徒勞無功。...

于October 10, 2019發表在Ransomware

“系統嚴重損壞,發現病毒(4)!”彈出窗口

自從大多數家庭可以使用Internet以來,在線策略就已經存在,並且由於安全研究人員繼續遇到欺詐者用來從受害者那裡獲取金錢的新策略,因此這種欺詐性業務仍然可以盈利。最近的例子之一是“系統嚴重損壞,發現病毒(4)!”。彈出窗口,一系列Web瀏覽器消息,有意向用戶提供虛假的安全信息。彈出窗口指出計算機已受到黑客或惡意軟件的攻擊,並且用戶的付款詳細信息和個人信息可能會洩露給有惡意的人。值得慶幸的是,這些陳述是虛假的,一秒鐘之內不應被信任-Web瀏覽器的彈出窗口,通知和警報絕不是有關係統狀態的可靠信息來源。 虛假彈出窗口推動了QBIT Clean Pro,這是一個可能有害的應用程序 在許多情況下,此類消息用於宣傳虛假的技術支持服務,但背後的騙子是“系統已嚴重損壞,已發現病毒(4)!”。彈出窗口選擇了不同的策略-他們為用戶提供了下載軟件的功能,該軟件將解決據說的所有系統問題。有問題的應用程序稱為“ QBIT Clean Pro ”,需要注意的是,流行的防病毒產品將其歸類為“潛在有害程序(PUP)”。該軟件無害,但其安裝可能會帶來無法預料的副作用,最終可能會令人討厭。 “系統嚴重損壞,發現病毒(4)!”如果您瀏覽與成人媒體,盜版電視劇和電影,遊戲破解或其他陰暗文件的發行有關的低質量網站,則彈出窗口可能會出現在Web瀏覽器中。建議不要訪問與黑幕內容相關的網站,因為它們可能會引發可疑的彈出式窗口和無法信任的網站。...

于October 10, 2019發表在Adware

熊貓密碼劫持

網絡犯罪分子特別喜歡以非法方式使用加密貨幣時,他們喜歡使用加密貨幣。一個眾所周知的事實是,所有勒索軟件的作者實際上都使用某種加密貨幣來收集贖金-他們通常的選擇是比特幣,但是在某些情況下,受害者可以通過以太坊,門羅幣或萊特幣來支付。網絡罪犯填充其加密貨幣錢包的另一項可恥的事情是在他們非法訪問的計算機上種植了無聲加密貨幣礦工–這樣,他們就可以利用計算機的處理能力來挖掘像Monero這樣的加密貨幣。這是Panda使用的確切方案,Panda是一組網絡犯罪分子,其名字與諸如MassMiner之類的大型加密劫持活動相關。熊貓集團使用各種各樣的工具來訪問受感染主機,並且他們修改了感染媒介,基礎結構和利用工具包,以不斷提高其運行效率。 公司網絡可能是熊貓的首選目標 根據網絡安全專家的說法,``熊貓''加密劫持組織的加密劫持活動已為犯罪分子帶來了超過100,000美元的純利潤。在他們最近的一些攻擊中,已經觀察到他們使用遠程訪問木馬(RAT)來非法訪問受害者計算機,然後手動配置和部署Trojan礦工。 普通用戶當然不是黑客的主要攻擊目標,因為他們似乎使用了各種各樣的攻擊手段,以允許其惡意軟件通過公司網絡橫向傳播。這可能意味著,熊貓集團的主要目標是公司和企業,他們可以同時在數百台PC上安裝其礦機。 熊貓加密劫持小組使用了各種各樣的工具和漏洞 熊貓的活動肯定比大多數加密劫持活動更為複雜,因為騙子使用各種工具從受害者那裡獲取盡可能多的信息– RAT,加密貨幣礦工,像Mimikatz這樣的信息收集者以及現成的利用從國家安全局收集並發布給公眾。...

于October 10, 2019發表在Malware

洛基·斯托勒

LokiStealer是密碼和加密貨幣收集器,也可以用作加載程序。 LokiStealer用C ++編寫,可以感染Linux和Windows XP e Vista計算機。 LokiStaler具有一項功能,可以檢查受害者的錢包並收集瀏覽器,電子郵件和撲克客戶密碼。通過檢查受害人錢包,LokiStealer可以發現其餘額和交易,並檢查其是否被鎖定,以便它將需要使用蠻力破解它並檢索加密貨幣。 LokiStealer可以刪除,備份和更新已處理的錢包。 LokiStealer隱藏其內容,以便其受害者不會意識到它的存在。 不難看出為什麼應該盡快發現LokiStealer並從受感染的計算機中刪除它。幸運的是,通過使用更新高效的反惡意軟件產品,LokiStealer的受害者可以快速安全地擺脫它。

于October 10, 2019發表在Stealers

Dtrack RAT

目前,Lazarus小組在網絡犯罪中是一個非常活躍而著名的名字。他們是臭名昭著的WannaCry Ransomware攻擊,針對Sony Entertainment的黑客以及針對知名目標的許多其他攻擊的黑客。據信源於Lazarus Advanced Persistent Threat組的計算機的最新工具之一是Dtrack RAT,它是一種遠程訪問木馬,它允許其操作員幾乎完全控制受感染的計算機。據信,Dtrack RAT與ATMDtrack有關, ATMDtrack是一種在2018年在印度銀行的計算機上發現的ATM惡意軟件。這兩種工具都是由Lazarus APT集團開發和使用的,很可能ATMDtrack是一種Dtrack RAT的精簡版本。 Dtrack RAT的代碼可以駐留在系統進程的內存中 拉撒路(Lazarus)的黑客堅持自己的風格,並使用最先進的惡意軟件部署技術來覆蓋其跟踪器並繞過安全措施。 Dtrack RAT通常與無法識別的Trojan滴管結合使用,該滴管能夠將惡意代碼注入正在運行的系統進程的內存中,因此欺騙了防病毒引擎,使他們認為惡意代碼是重要的Windows進程。當然,使用值得信賴的並定期更新的防病毒產品並不會解決這個問題,它們可以使您的計算機受到保護。 DTrack RAT可用於植入其他惡意軟件或收集文件 初始化Dtrack RAT後,它將立即連接到用於Command&Control服務器的預配置地址。 RAT在特定時間間隔檢查新命令,並立即執行所有待處理的任務。攻擊者可以配置兩次命令檢查之間的時間間隔,他們還可以: 將文件上傳或下載到受感染的計算機,然後啟動它們。 將啟動持久性授予他們選擇的文件。 將文件夾,分區或硬盤驅動器的內容複製到其控制服務器。 更新Dtrack RAT或將其刪除。 受Dtrack...

于October 10, 2019發表在Remote Administration Tools

ATMDtrack

Lazarus小組一直在試驗一種新的ATM惡意軟件,該惡意軟件於2018年首次用於印度銀行。但是,這很可能不是我們最後一次聽到Lazarus黑客產品ATMDtrack的消息。該惡意軟件在功能上受到很大限制–與其他ATM惡意軟件系列不同,它沒有著眼於清空ATM設備的現金箱對銀行造成傷害。相反,它的目的是靜默收集ATM的所有客戶的信用卡詳細信息,然後將其洩露給攻擊者操作的遠程Command&Control服務器。 ATMDtrack在代碼方面與Dtrack RAT有很多相似之處, Dtrack RAT是另一種工具,是朝鮮黑客Lazarus黑客工具包的一部分。據信,ATMDtrack是作為一個較小的獨立項目而開發的,旨在專門針對銀行。另一方面,Dtrack RAT更靈活,更實用,可用於針對各種目標的攻擊。 迄今為止,ATMDtrack已專門用於對付印度銀行 受ATMDtrack攻擊影響的銀行可能已使用過時的操作系統和軟件,從而使Lazarus黑客能夠利用已知的安全漏洞。黑客也可能使用了聰明的社交工程技術從員工那裡獲取登錄憑據。...

于October 10, 2019發表在Malware

木馬MacOS.GMERA

網絡安全專家發現了一種專門針對Mac OS設備的新型惡意軟件。威脅被稱為Trojan.MacOS.GMERA,似乎在功能方面受到限制,但它可能使操作員能夠對受感染者執行shell命令。雖然這對於不懂技術的人來說可能不算什麼大事,但實際上,它使具有惡意的攻擊者能夠在受感染的Mac設備上執行無數任務。 虛假的股票交易應用程序提供了威脅性的Mac Trojan 發現Trojan.MacOS.GMERA的示例隱藏在名為“ Stockfolio”的股票交易應用程序的虛假副本中。當然,該應用程序並未託管在該產品的官方網站上,而是由犯罪分子通過第三方文件託管提供商進行傳播。請記住,僅應從可信賴的來源下載程序,因為這是確保其內容不被篡改的最佳方法。 Trojan.MacOS.GMERA在計算機上建立自己的第一件事就是運行向其提供有關用戶,硬件配置,運行軟件和可用文件的信息的命令。收集所有信息,並將其發送到攻擊者的命令與控制服務器。 攻擊者可以使用反殼來執行有害任務 服務器收到請求的信息後,它將指示Trojan.MacOS.GMERA的植入副本設置反向外殼,攻擊者可以使用該外殼來向受感染的計算機發送遠程命令。因此,他們可以植入其他惡意軟件,禁用安全措施,收集文件以及出於有害目的執行許多其他任務。...

于October 10, 2019發表在Trojans

Nesa勒索軟件

STOP勒索軟件仍然是當前最活躍的勒索軟件系列-其成員列表包含一百多個名稱,並且它們都活躍在世界各地,因此最大限度地提高了威脅的覆蓋範圍和效率。 STOP成員列表的最新條目之一是Nesa Ransomware,這是一個文件鎖定器,其目標是一長串文件格式,並使用隨機生成的私有加密密鑰對其內容進行加密。完成受害者文件解密所需的數據存儲在攻擊者的服務器上,因此確保它們是唯一能夠提供完成解密過程所需信息的服務器。 發現Nesa Ransomware的攻擊並不困難,因為木馬會將'.nesa'擴展名應用到文件名(例如'presentation.pptx'將重命名為'presentation.pptx.nesa')。此外,它還會創建一個名為“ _readme.txt”的文件,該文件通常放置在桌面上–這是STOP Ransomware使用的典型贖金記錄,其中包含針對受害者的說明。 攻擊者以490美元的價格提供解密器,要求通過gorentos@bitmessage.ch或gerentoshelp@firemail.cc與他們聯繫以獲取付款說明和問題。他們警告Nesa勒索軟件的受害者,價格僅在攻擊後三天內有效,並且在截止日期過去之後,價格將翻倍。最後但並非最不重要的是,贖金通知書指出,Nesa Ransomware的受害者可以提交2-3個文件以進行免費解密-我們建議您接受此提議。 儘管可以接受免費解密,但我們向您保證,即使Nesa Ransomware的作者證明可以恢復您的數據,也不應與他們合作。您發送的錢將被用於開發更具威脅性的勒索軟件,而且犯罪分子總是有可能會只收取這筆錢。對Nesa...

于October 10, 2019發表在Ransomware

坦達美汀

在瀏覽Internet時,無論您喜歡使用哪種Web瀏覽器,Safari,Internet Explorer,Google Chrome,Firefox或Edge,都可以從名為Tantametinwass.pro的網站看到意外的彈出廣告。 Tantametinwass.pro配置為在設法感染計算機的用戶使用的任何Web瀏覽器上添加廣告。 Tantametinwass.pro會顯示這些廣告,以使計算機用戶點擊它們,以便其控制器可以賺錢。 但是,Tantametinwass.pro需要計算機用戶權限才能開始顯示廣告,這就是為什麼受它影響的計算機用戶將收到“允許通知”的原因。如果單擊該按鈕,則會釋放大量不需要的無用的廣告,最終可能會阻止計算機用戶獲得正常且卓有成效的瀏覽體驗。...

于October 10, 2019發表在Browser Hijackers

Ughtisindune.pro

當發現欺騙計算機用戶執行使這些騙子受益的行為時,網絡騙子很有創造力。 Ughtisindune.pro是一個很好的例子。這些人使用Ughtisindune.pro網站說服計算機用戶通過訂閱該虛假網站來同意其廣告的展示。 為了引起計算機用戶的注意,Ughtisindune.pro通過顯示欺詐性錯誤消息來啟動該策略,這些錯誤消息聲稱計算機需要立即關注,並且要知道發生了什麼事,計算機用戶需要允許站點通知。該消息的內容為: 'Ughtisindune.pro要顯示通知 點擊“允許”關閉此窗口 按下“允許”可以關閉該窗口。如果您想繼續瀏覽該網站,只需單擊更多信息按鈕 單擊允許以確認您不是機器人!” 不要被它欺騙。首先,未知網站如何進入您的計算機內部,檢測錯誤,並要求您指出錯誤之處?只是胡說八道。其次,任何地方發出的通知都應格外小心,因為在大多數情況下,這意味著麻煩。...

于October 10, 2019發表在Browser Hijackers

卡爾勒索軟件

臭名昭著的STOP / Djvu系列是其龐大的勒索軟件系列的另一個新成員。它被安全研究人員稱為Karl Ransomware,與它的兄弟姐妹一樣,Karl Ransomware的目的是通過使用功能強大的加密方法來加密受害者的最寶貴文件並出售可以解密受影響文件的軟件,以勒索受害者。 Karl Ransomware一旦完成對受害者文件的加密,就會顯示其勒索消息,內容為: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具: https://we.tl/t-sTWdbjk1AY 私鑰和解密軟件的價格為980美元。 如果您在72小時內聯繫我們,可享受50%的折扣,這就是您的價格為490美元。 請注意,如果不付款,您將永遠無法恢復數據。 如果您沒有收到超過6個小時的答复,請檢查您的電子郵件“垃圾郵件”或“垃圾郵件”文件夾。 可以在名為“ _readme.txt”的文件中找到此贖金消息,如上圖所示,如果受害者希望恢復其文件,則要求支付980美元。 Karl Ransomware的犯罪者還提供了兩個電子郵件地址,以便受害者可以與他們聯繫。這些電子郵件地址是gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 如果您想知道這種有害生物是如何感染您的計算機的,那麼答案就在於不安全的Web瀏覽,例如打開未知的電子郵件附件,下載破解的應用程序等。但是,Karl Ransomware背後的人們還可以使用其他常見的方法傳遞威脅 如果您的計算機受到Karl...

于October 10, 2019發表在Ransomware

Vinuser02.biz

Vinuser02.biz是一個最好不要訪問的網站。該建議是因為其唯一目的是誘使計算機用戶允許其顯示贊助廣告,而計算機用戶不需要或不需要該廣告。要獲得計算機用戶的許可,Vinuser02.biz將顯示一條消息,其中包含以下內容: 'Vinuser02.biz要顯示通知 我不是機器人 單擊允許以確認您不是機器人!” 如果易受騙的計算機用戶想知道Vinuser02.biz所說的話並單擊“允許”按鈕,他們所看到的就是Vinuser02.biz被配置為顯示的無數廣告。這些廣告將宣傳偽造的安全程序,虛假更新,在線遊戲,甚至成人網站,這將使受影響的機器對您的孩子來說不安全。...

于October 10, 2019發表在Browser Hijackers

Sherminator勒索軟件

文件加密木馬是特殊的網絡威脅,因為它們具有造成長期破壞的能力,而無法通過運行防病毒工具並消除感染來消除這種破壞。即使刪除了一個勒索軟件,它先前加密的文件仍將無法使用。可悲的是,這使勒索軟件項目對於網絡犯罪分子而言非常有利可圖,這就是為什麼我們不斷看到像Sherminator Ransomware這樣的新文件鎖的原因。 這個文件鎖並不是全新的,因為它與在2018年夏季首次分析的Mr.Dec Ransomware有很多相似之處。可悲的是,目前這兩種解密器都不可用,它們的受害者將是只能從備份中恢復其文件。如果您懷疑Mr.Dec勒索軟件或Sherminator勒索軟件已將您的文件作為人質,並且沒有文件的備份副本,那麼您可能會遇到很多麻煩。 Sherminator勒索軟件作者很可能要錢 Sherminator Ransomware可能通過偽裝成文檔或檔案的偽造電子郵件附件發送給了潛在的受害者。避免有害文件的最佳方法是使用防病毒工具,以及避免從不可靠的來源下載文件。如果您沒有設法阻止Sherminator Ransomware攻擊,則文件鎖定器將確保對計算機上找到的大多數文檔,視頻,照片,檔案和其他文件進行加密。 Sherminator Ransomware的受害者可能還會注意到,其加密文件的名稱後帶有唯一的擴展名-'。[ID]。 [ID]。' 與其他文件鎖一樣,此文件鎖也通過創建贖金記錄來最終確定攻擊。為此,它使用文件“ Decoder.hta”,該文件包含攻擊者用於聯繫的電子郵件地址– sherminator.help@tutanota.com和you.help5@protonmail.com。儘管'Decoder.hta'文件沒有提及資金,但您可以放心,Sherminator Ransomware背後的騙子將不會免費提供任何解密服務。...

于October 10, 2019發表在Ransomware