微闻

标签: 恶意软件

  • GitHub 评论滥用导致恶意软件分发

    GitHub 评论滥用导致恶意软件分发

    代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

    在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联:
    https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name}
    在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。

    —— Bleepingcomputer

  • 美国联邦贸易委员会必须解决Android TV电视盒预装恶意软件问题

    电子前哨基金会敦促美国联邦贸易委员会解决 Android TV 电视盒预装恶意软件的问题

    电子前哨基金会 (EFF) 在本周二致联邦贸易委员会 (FTC) 委员的一封信中敦促,FTC 必须采取行动,阻止亚马逊、速卖通等经销商销售搭载 AllWinner 和 RockChip 芯片制造的 Android TV 电视盒和移动设备。这些设备在到达消费者之前就已被预装了恶意软件。

    这些被感染的设备一连接到互联网,就会立即开始与僵尸网络的命令和控制服务器进行通信。网络犯罪分子广泛利用这些网络通过制造虚假广告点击来赚取广告费。

    该恶意软件还允许网络犯罪分子向他人出售买家的互联网连接作为代理,这意味着任何不法行为都将看起来像是来自买家,可能使他们面临重大法律风险。

    尽管有关这些受感染设备已经广为报道,但亚马逊、速卖通等零售商仍在销售它们。EFF 敦促 FTC 迅速采取行动,对销售这些产品的经销商实施制裁,让其将这些产品撤出市场。

    —— 电子前哨基金会

  • 美国FBI和欧洲合作伙伴摧毁全球恶意软件网络

    美国 FBI 和欧洲合作伙伴摧毁了全球网络犯罪的主要恶意软件网络

    美国官员周二表示,FBI及其欧洲合作伙伴已经渗透并控制了一个大型的全球恶意软件网络,该网络在 15 年多的时间里用于实施一系列网络犯罪,包括造成严重后果的勒索软件攻击。

    然后,他们从数千台受感染的计算机中远程删除了名为 Qakbot 的恶意软件代理。

    网络安全专家表示,他们对迅速地摧毁该网络印象深刻,但警告说对网络犯罪的任何打击都是可能只是暂时的。

    美国洛杉矶的联邦检察官马丁·埃斯特拉达在周二宣布这次行动时说:“几乎所有经济领域都受到了Qakbot 的侵害。”他表示,仅在18个月内,这个犯罪网络就促成了约40起勒索软件攻击,调查人员称,这些攻击为 Qakbot 的管理者带来了大约5800万美元的收入。

    —— 美联社

  • 卡德贝针对中国香港的攻击活动

    微软签名密钥不断被劫持,赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动

    8月22日,赛门铁克披露了Carderbee针对中国香港的攻击活动。研究人员于4月发现了Carderbee的第一个活动迹象,但攻击活动或可以追溯到2021年9月。

    攻击者使用合法的Cobra DocGuard软件执行供应链攻击,目的是在目标计算机上安装后门Korplug(又名PlugX)。Cobra DocGuard Client 是一家名为亿赛通的中国公司开发的软件,用于保护、加密和解密的软件。

    攻击活动还使用了合法的Microsoft证书签名的恶意软件。该活动的大多数目标位于中国香港,也有一部分位于亚洲的其它地区。研究人员表示,关于Carderbee活动仍有一些未解之谜,比如确切的目标范围仍不清楚。

    —— 启明星辰、Arstechnica、赛门铁克

  • 谷歌回应电视盒子被预装恶意软件

    谷歌回应在亚马逊、数卖通上销售的流行电视盒子被预装恶意软件的事。

    我们非常重视Android TV OS生态系统中用户设备的安全和隐私。因此,我们与合作伙伴紧密合作,确保Android TV OS设备遵守严格的安全和隐私政策,并经过广泛测试,以确保质量和用户安全。这些设备是Play Protect认证的,配备了内置的谷歌恶意软件保护,可保护您的设备、应用程序和数据安全。

    最近我们收到了一些关于使用Android Open Source Project构建,并被营销为安卓电视操作系统设备的电视盒子的问题。其中一些电视盒子可能还配备了谷歌应用程序和Play商店,但这些应用程序和商店并没有得到谷歌的授权,这意味着这些设备没有通过Play Protect认证。

    为帮助您确认设备是否搭载 Android TV 操作系统和通过 Play Protect 认证,我们的Android TV 网站提供了最新的合作伙伴列表。您还可以采取这些步骤来检查您的设备是否通过了 Play Protect 认证。 如果您的设备没有通过Play Protect认证,我们建议您联系您的设备制造商,并要求提供经过完全测试、通过Play Protect认证的设备。

    —— Google

  • 恶意软件预装的流行Android电视盒

    在东欧国家广受好评的中国电视盒被发现预装了恶意软件

    目前在亚马逊 上销售的几种流行的 Android 电视盒包含开箱即用的恶意软件,可以执行一系列恶意活动。这是由独立安全研究人员报告的。

    中国公司 AllWinner 和 RockChip 可能不为公众所知,但他们的产品在亚马逊和全球速卖通上有很高的评价和数千条正面评价。

    然而,研究人员发现,这些特定的机顶盒通常与预装的恶意软件一起出售,这些恶意软件可以将它们连接到僵尸网络,这是一个受感染设备的网络,可用于挖掘加密货币、窃取数据或组织对其他设备的 DDoS 攻击。站点和服务器。

    Milisic在GitHub上发布的 一项调查 显示,他购买的 T95 机顶盒型号是一个大型僵尸网络的一部分,该网络由世界各地家庭和办公室中数千个其他受感染机顶盒组成。

    EFF 的安全研究员 Bill Budington在从亚马逊购买了受感染的设备后,独立证实了 Milisic 的发现。其他几种 AllWinner 和 RockChip 型号也包含预装恶意软件,包括 AllWinner T95Max、RockChip X12 Plus 和 RockChip X88 Pro 10。

    有趣的是,这些型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在全球速卖通上大量销售。目前尚不清楚谁负责安装恶意软件,制造商或亚马逊上的特定卖家,但订购类似的机顶盒供个人使用时应格外小心。

    —— Security Lab

  • 恶意软件感染数百万 Android 设备

    研究人员表示,数百万部手机在出厂时就已经感染了恶意软件

    BLACK HAT ASIA 的Trend Micro 研究人员表示,Black Hat Asia 不法分子甚至在设备出厂前就用恶意固件感染了全球数百万台 Android。

    这种硬件主要是廉价的 Android 移动设备,尽管智能手表、电视和其他东西也包含在其中。

    这些小工具的制造外包给原始设备制造商 (OEM)。研究人员表示,这种外包使得生产链中的某个人(例如固件供应商)有可能在产品发货时用恶意代码感染产品。

    该恶意软件的目的是窃取信息或从收集或提供的信息中获利。

    该恶意软件将设备变成代理,用于窃取和出售 SMS 消息、接管社交媒体和在线消息帐户,并通过广告和点击欺诈作为获利机会。

    一种代理插件,允许犯罪分子一次最多出租设备约五分钟。例如,那些租用设备控制权的人可以获得有关击键、地理位置、IP 地址等的数据。

    通过遥测数据,研究人员估计全球至少存在数百万台受感染设备,但主要集中在东南亚和东欧。研究人员表示,犯罪分子自己报告的统计数据约为 890 万。

    —— The Register

  • 谷歌将拼多多APP从Play应用商店下架并标记为恶意软件

    谷歌宣布将拼多多APP从Play应用商店下架,并标记为恶意软件

    周一,谷歌宣布已将中国电子商务巨头开发的几款应用程序标记为恶意软件,提醒安装了这些应用程序的用户,并暂停了该公司的官方应用程序。

    在过去的几周里,多名中国安全研究人员指责拼多多——一家拥有近 8 亿活跃用户的新兴电子商务巨头为 Android 开发的应用程序包含旨在监控用户的恶意软件。

    谷歌发言人埃德·费尔南德斯 (Ed Fernandez) 表示,“通过 Google Play Protect 强制执行此应用程序的非 Play 版本,发现这些版本包含恶意软件”,指的是不在 Google Play 上的应用程序。

    实际上,谷歌已经设置了其 Android 安全机制 Google Play Protect,以阻止用户安装这些恶意应用程序,并警告那些已经安装了这些恶意应用程序的用户,提示他们卸载这些应用程序。

    费尔南德斯补充说,谷歌已暂停拼多多在 Play 商店的官方应用程序,“出于安全考虑,我们将继续调查。”

    一位要求匿名的安全研究人员向 TechCrunch 通报了针对这些应用程序的指控,并表示他们也对这些应用程序进行了分析,发现这些应用程序正在利用几个零日漏洞来攻击他们的用户。

    —— TechCrunch

  • 网络犯罪分子利用ChatGPT编写恶意软件

    安全专家警告:网络犯罪分子正利用 ChatGPT 编写恶意软件并策划创造约会聊天机器人用以诈骗

    网络安全研究人员周五警告说,网络犯罪分子已经开始使用 OpenAI 的人工智能聊天机器人 ChatGPT 来快速构建黑客工具。 一位监控犯罪论坛的专家告诉福布斯,诈骗者还在测试 ChatGPT 构建其他聊天机器人的能力,这些聊天机器人旨在冒充年轻女性来诱捕目标。

    许多早期的 ChatGPT 用户已经发出警告,该应用程序在去年 12 月推出后的几天内迅速传播开来,它可以编写能够监视用户键盘敲击或创建勒索软件的恶意软件。

    网络情报公司 Hold Security 的创始人亚历克斯霍尔登说,他看到约会诈骗者也开始使用 ChatGPT,因为他们试图创造令人信服的角色。 他说:“他们计划创建聊天机器人来模仿大多数女孩,以便在聊天中走得更远。” “他们正试图将闲聊自动化。”

    虽然 ChatGPT 编码的工具看起来“非常基础”,但 Check Point 表示,更多“老练”的黑客找到一种将 AI 转化为他们优势的方法只是时间问题。OpenAI 的工具将能够构建更基本但同样有效的恶意软件来降低新手进入非法市场的门槛。

    —— 福布斯

  • Linux恶意软件Shikitega

    研究人员发现一种新的Linux恶意软件,具有较强的隐蔽性和十分强大的功能

    研究人员上周公布了一种新的Linux恶意软件,它在感染传统服务器和小型物联网设备方面的隐蔽性和复杂性值得注意。

    发现它的AT&T外星人实验室研究人员将其称为Shikitega,该恶意软件通过使用多态编码的多阶段感染链进行传播。它还滥用合法的云服务来承载命令和控制服务器。这些东西使得检测非常困难。

    病毒的 Main dropper 很小,是一个只有 376 字节的可执行文件。

    远程命令和附加文件会在内存中自动执行,而无需保存到磁盘。通过防病毒保护进行检测变得困难,这进一步增加了隐蔽性。

    Shikitega 利用了两个关键的权限升级漏洞,这些漏洞提供了完全的 root 访问权限。一个名为 CVE-2021-4034 且俗称PwnKit的 bug在 Linux 内核中潜伏了 12 年,直到今年年初才被发现。另一个漏洞被跟踪为CVE-2021-3493,并于 2021 年 4 月曝光。

    —— arsTechnica