微闻

标签: 恶意软件

  • 卡德贝针对中国香港的攻击活动

    微软签名密钥不断被劫持,赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动

    8月22日,赛门铁克披露了Carderbee针对中国香港的攻击活动。研究人员于4月发现了Carderbee的第一个活动迹象,但攻击活动或可以追溯到2021年9月。

    攻击者使用合法的Cobra DocGuard软件执行供应链攻击,目的是在目标计算机上安装后门Korplug(又名PlugX)。Cobra DocGuard Client 是一家名为亿赛通的中国公司开发的软件,用于保护、加密和解密的软件。

    攻击活动还使用了合法的Microsoft证书签名的恶意软件。该活动的大多数目标位于中国香港,也有一部分位于亚洲的其它地区。研究人员表示,关于Carderbee活动仍有一些未解之谜,比如确切的目标范围仍不清楚。

    —— 启明星辰、Arstechnica、赛门铁克

  • 谷歌回应电视盒子被预装恶意软件

    谷歌回应在亚马逊、数卖通上销售的流行电视盒子被预装恶意软件的事。

    我们非常重视Android TV OS生态系统中用户设备的安全和隐私。因此,我们与合作伙伴紧密合作,确保Android TV OS设备遵守严格的安全和隐私政策,并经过广泛测试,以确保质量和用户安全。这些设备是Play Protect认证的,配备了内置的谷歌恶意软件保护,可保护您的设备、应用程序和数据安全。

    最近我们收到了一些关于使用Android Open Source Project构建,并被营销为安卓电视操作系统设备的电视盒子的问题。其中一些电视盒子可能还配备了谷歌应用程序和Play商店,但这些应用程序和商店并没有得到谷歌的授权,这意味着这些设备没有通过Play Protect认证。

    为帮助您确认设备是否搭载 Android TV 操作系统和通过 Play Protect 认证,我们的Android TV 网站提供了最新的合作伙伴列表。您还可以采取这些步骤来检查您的设备是否通过了 Play Protect 认证。 如果您的设备没有通过Play Protect认证,我们建议您联系您的设备制造商,并要求提供经过完全测试、通过Play Protect认证的设备。

    —— Google

  • 恶意软件预装的流行Android电视盒

    在东欧国家广受好评的中国电视盒被发现预装了恶意软件

    目前在亚马逊 上销售的几种流行的 Android 电视盒包含开箱即用的恶意软件,可以执行一系列恶意活动。这是由独立安全研究人员报告的。

    中国公司 AllWinner 和 RockChip 可能不为公众所知,但他们的产品在亚马逊和全球速卖通上有很高的评价和数千条正面评价。

    然而,研究人员发现,这些特定的机顶盒通常与预装的恶意软件一起出售,这些恶意软件可以将它们连接到僵尸网络,这是一个受感染设备的网络,可用于挖掘加密货币、窃取数据或组织对其他设备的 DDoS 攻击。站点和服务器。

    Milisic在GitHub上发布的 一项调查 显示,他购买的 T95 机顶盒型号是一个大型僵尸网络的一部分,该网络由世界各地家庭和办公室中数千个其他受感染机顶盒组成。

    EFF 的安全研究员 Bill Budington在从亚马逊购买了受感染的设备后,独立证实了 Milisic 的发现。其他几种 AllWinner 和 RockChip 型号也包含预装恶意软件,包括 AllWinner T95Max、RockChip X12 Plus 和 RockChip X88 Pro 10。

    有趣的是,这些型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在全球速卖通上大量销售。目前尚不清楚谁负责安装恶意软件,制造商或亚马逊上的特定卖家,但订购类似的机顶盒供个人使用时应格外小心。

    —— Security Lab

  • 恶意软件感染数百万 Android 设备

    研究人员表示,数百万部手机在出厂时就已经感染了恶意软件

    BLACK HAT ASIA 的Trend Micro 研究人员表示,Black Hat Asia 不法分子甚至在设备出厂前就用恶意固件感染了全球数百万台 Android。

    这种硬件主要是廉价的 Android 移动设备,尽管智能手表、电视和其他东西也包含在其中。

    这些小工具的制造外包给原始设备制造商 (OEM)。研究人员表示,这种外包使得生产链中的某个人(例如固件供应商)有可能在产品发货时用恶意代码感染产品。

    该恶意软件的目的是窃取信息或从收集或提供的信息中获利。

    该恶意软件将设备变成代理,用于窃取和出售 SMS 消息、接管社交媒体和在线消息帐户,并通过广告和点击欺诈作为获利机会。

    一种代理插件,允许犯罪分子一次最多出租设备约五分钟。例如,那些租用设备控制权的人可以获得有关击键、地理位置、IP 地址等的数据。

    通过遥测数据,研究人员估计全球至少存在数百万台受感染设备,但主要集中在东南亚和东欧。研究人员表示,犯罪分子自己报告的统计数据约为 890 万。

    —— The Register

  • 谷歌将拼多多APP从Play应用商店下架并标记为恶意软件

    谷歌宣布将拼多多APP从Play应用商店下架,并标记为恶意软件

    周一,谷歌宣布已将中国电子商务巨头开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

    在过去的几周里,多名中国安全研究人员指责拼多多——一家拥有近 8 亿活跃用户的新兴电子商务巨头为 Android 开发的应用程序包含旨在监控用户的恶意软件。

    谷歌发言人埃德·费尔南德斯 (Ed Fernandez) 表示,“通过 Google Play Protect 强制执行此应用程序的非 Play 版本,发现这些版本包含恶意软件”,指的是不在 Google Play 上的应用程序。

    实际上,谷歌已经设置了其 Android 安全机制 Google Play Protect,以阻止用户安装这些恶意应用程序,并警告那些已经安装了这些恶意应用程序的用户,提示他们卸载这些应用程序。

    费尔南德斯补充说,谷歌已暂停拼多多在 Play 商店的官方应用程序,“出于安全考虑,我们将继续调查。”

    一位要求匿名的安全研究人员向 TechCrunch 通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日漏洞来攻击他们的用户。

    —— TechCrunch

  • 网络犯罪分子利用ChatGPT编写恶意软件

    安全专家警告:网络犯罪分子正利用 ChatGPT 编写恶意软件并策划创造约会聊天机器人用以诈骗

    网络安全研究人员周五警告说,网络犯罪分子已经开始使用 OpenAI 的人工智能聊天机器人 ChatGPT 来快速构建黑客工具。 一位监控犯罪论坛的专家告诉福布斯,诈骗者还在测试 ChatGPT 构建其他聊天机器人的能力,这些聊天机器人旨在冒充年轻女性来诱捕目标。

    许多早期的 ChatGPT 用户已经发出警告,该应用程序在去年 12 月推出后的几天内迅速传播开来,它可以编写能够监视用户键盘敲击或创建勒索软件的恶意软件。

    网络情报公司 Hold Security 的创始人亚历克斯霍尔登说,他看到约会诈骗者也开始使用 ChatGPT,因为他们试图创造令人信服的角色。 他说:“他们计划创建聊天机器人来模仿大多数女孩,以便在聊天中走得更远。” “他们正试图将闲聊自动化。”

    虽然 ChatGPT 编码的工具看起来“非常基础”,但 Check Point 表示,更多“老练”的黑客找到一种将 AI 转化为他们优势的方法只是时间问题。OpenAI 的工具将能够构建更基本但同样有效的恶意软件来降低新手进入非法市场的门槛。

    —— 福布斯

  • Linux恶意软件Shikitega

    研究人员发现一种新的Linux恶意软件,具有较强的隐蔽性和十分强大的功能

    研究人员上周公布了一种新的Linux恶意软件,它在感染传统服务器和小型物联网设备方面的隐蔽性和复杂性值得注意。

    发现它的AT&T外星人实验室研究人员将其称为Shikitega,该恶意软件通过使用多态编码的多阶段感染链进行传播。它还滥用合法的云服务来承载命令和控制服务器。这些东西使得检测非常困难。

    病毒的 Main dropper 很小,是一个只有 376 字节的可执行文件。

    远程命令和附加文件会在内存中自动执行,而无需保存到磁盘。通过防病毒保护进行检测变得困难,这进一步增加了隐蔽性。

    Shikitega 利用了两个关键的权限升级漏洞,这些漏洞提供了完全的 root 访问权限。一个名为 CVE-2021-4034 且俗称PwnKit的 bug在 Linux 内核中潜伏了 12 年,直到今年年初才被发现。另一个漏洞被跟踪为CVE-2021-3493,并于 2021 年 4 月曝光。

    —— arsTechnica

  • Linux恶意软件Shikitega

    研究人员发现一种新的Linux恶意软件,具有较强的隐蔽性和十分强大的功能

    研究人员上周公布了一种新的Linux恶意软件,它在感染传统服务器和小型物联网设备方面的隐蔽性和复杂性值得注意。

    发现它的AT&T外星人实验室研究人员将其称为Shikitega,该恶意软件通过使用多态编码的多阶段感染链进行传播。它还滥用合法的云服务来承载命令和控制服务器。这些东西使得检测非常困难。

    病毒的 Main dropper 很小,是一个只有 376 字节的可执行文件。

    远程命令和附加文件会在内存中自动执行,而无需保存到磁盘。通过防病毒保护进行检测变得困难,这进一步增加了隐蔽性。

    Shikitega 利用了两个关键的权限升级漏洞,这些漏洞提供了完全的 root 访问权限。一个名为 CVE-2021-4034 且俗称PwnKit的 bug在 Linux 内核中潜伏了 12 年,直到今年年初才被发现。另一个漏洞被跟踪为CVE-2021-3493,并于 2021 年 4 月曝光。

    —— arsTechnica

  • 网络犯罪利用Telegram机器人执行恶意软件计划

    网络犯罪分子正在利用Telegram内的自动化功能,如机器人执行恶意软件计划

    Intel 471观察到网络犯罪分子利用这些信息应用来传播他们自己的恶意软件的几种不同方式。主要是与信息窃取者一起使用,网络犯罪分子已经找到方法,利用这些平台来托管、分发和执行各种功能,最终使他们能够从毫无戒心的用户那里窃取证书或其他信息。

    Intel 471研究人员发现了几个可供自由下载的信息窃取器,它们的功能依赖于Discord或Telegram。…

    此前,Intel 471观察到网络犯罪地下服务的上升,这些服务允许攻击者利用Telegram机器人,努力拦截一次性密码(OTP)令牌。恶意行为者继续建立这些服务,在各种网络犯罪论坛上出售对它们的访问。

    Intel 471研究人员在4月份观察到的一个机器人,被称为Astro OTP,允许运营商获得OTP和短信息服务(SMS)验证码。据称,运营商可以通过Telegram界面执行简单的命令直接控制该机器人。

    访问该机器人的费用非常便宜,25美元可以买到一天的订阅,300美元可以买到终身订阅。

    —— Intel 471

  • 树莓罗宾蠕虫病毒被发现

    微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张

    微软表示,最近一种Windows蠕虫病毒已经在不同行业部门的数百个组织的网络中被发现。

    该恶意软件被称为树莓罗宾(Raspberry Robin),通过受感染的USB设备传播,它在2021年9月首次被红色金丝雀情报分析员发现。

    网络安全公司Sekoia也在11月初观察到它使用QNAP NAS设备作为指挥和控制服务器(C2)服务器,而微软表示,它发现了与2019年创建的这个蠕虫有关的恶意工件。…

    尽管微软观察到该恶意软件连接到Tor网络上的地址,但黑客尚未利用开始它们。…

    微软在一份与微软终端防御系统用户共享的私人威胁情报公告中分享了这一信息,并被BleepingComputer看到。

    “树莓罗宾使用msiexec.exe来尝试外部网络通信,以达到C2目的的恶意域名。”

    发现Raspberry Robin的安全研究人员尚未将该恶意软件归于某一个黑客组织,并仍在努力寻找其操作者的最终目标。

    然而,鉴于攻击者可以在受害者的网络中下载和部署额外的恶意软件,并在任何时候提升他们的权限,微软已经将这一活动标记为高风险。

    —— bleepingcomputer