BUF早餐铺 | 强力安卓恶意软件Skygofree分析发布;恶意Chrome扩展程序影响50多万用户;女博士被电信诈骗85万;腾讯帮助警方逮捕绝地求生作弊工具开发者

2018-01-18 229823人围观 ,发现 3 个不明物体 资讯

雪沫乳花浮午盏,蓼茸蒿笋试春盘。人间有味是清欢。

各位 Buffer 早上好,今天是 2018 年 1 月 18 日星期四。今天的 BUF 早餐内容主要有:美国一医院向黑客支付 5.5 万美元赎金;加密货币钱包 BlackWallet 被黑,黑客替换 DNS 服务器窃取 40 万美元;卡巴斯基实验室发布关于强力安卓恶意软件 Skygofree 的分析;四个恶意 Chrome 扩展程序影响到全球 50 多万用户;拉美地区金融机构遭受新版本 KillDisk 恶意软件的攻击;女博士被电信诈骗 85 万,一心搞科研很少看新闻;腾讯帮助警方逮捕了 120 名绝地求生作弊工具开发者。

早餐.jpg

以下请看详细内容:

【国际时事】

美国一医院向黑客支付 5.5 万美元赎金

1 月 11 日星期四,有黑客入侵了美国印第安纳州当地的一家医院网络(Hancock Health),使用 SamSam 勒索软件加密文件,并将相关文件重命名为“I’m sorry”。随后,医院的运营受到影响。 IT 人员介入并暂停了整个网络,要求员工关闭所有计算机,以避免勒索软件传播到其他计算机。在此情况下,医护人员利用笔和纸来代替电脑继续工作,尽力照顾患者。

而在医院方面,尽管文件都有备份,他们还是选择支付了黑客要求的 4 比特币赎金(支付时价值约为 5.5 万美元)。医院表示,从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间。 因此,他们决定支付赎金,以便尽快恢复正常运营。

医院.jpg

本次攻击中使用的 SamSam 勒索软件在两年前就已经出现过。主要通过开放的 RDP 端口传播。不过医院表示,此次被入侵并非是由于员工偶然点击恶意邮件造成的。具体感染原因目前尚不清楚。[来源:bleepingcomputer]

加密货币钱包 BlackWallet 被黑,黑客替换 DNS 服务器窃取 40 万美元

随着加密货币越来越火,针对加密货币钱包的入侵事件也越来越多。近日,有黑客入侵了恒星币(Stellar Lumens / XLM)钱包 Balck Wallet,累计窃取了价值 44.4 万美元的恒星币。

Black Wallet 管理员及创始人确认了这样消息并在 Reddit 上发布了官方声明。声明指出,黑客入侵了 Black Wallet 的主机账户、劫持了 BlackWallet.co 的 DNS,并重定向至与 Black Wallet 相似的虚假网站。如果用户没注意登录了虚假网站,其资金就会被黑客直接获取。此外,黑客还会设置代码,只要有用户登录,就会将用户的 20 个恒星币转移到黑客的账户。

BlackWallet.png

目前,BlackWallet 的作者已经向其 web hosting 公司申请禁用其账号。Black Wallet 的官网也已经下线,显示 403 错误。[TheHackerNews]

【恶意攻击】

卡巴斯基实验室发布关于强力安卓恶意软件 Skygofree 的分析

根据卡巴斯基实验室发布的一份新报告,自 2014 年以来,安卓恶意软件 Skygofree 暗中增长了很多新功能,包括使用设备麦克风进行基于位置的录音、使用 Android Accessibility Services 窃取 WhatsApp 消息,以及将受感染设备连接到受攻击者控制的恶意 Wi-Fi 网络等。数据显示,Skygofree 通过伪造领先的移动网络运营商网页进行分发,大部分网页是 2015 年以来由攻击者注册的,当时也是 Skygofree 最活跃的时段。

SkyGoFree.png

进一步的分析显示,Skygofree 背后可能跟一家意大利 IT 公司有关。在 Skygofree 的代码中,有好几处引用了罗马 IT 公司“Negg”的内容,而“Negg”恰好是一家开发并经营合法黑客工具的公司。

据称,Skygofree 是一个强力、复杂的多阶段间谍软件工具。Skygofree 包含多个 exploit,可提升 root 访问权限,进而在被感染的 Android 设备上执行复杂的有效载荷。利用 Skygofree,攻击者能够通过反向 shell 有效载荷和 C&C 服务器架构远程控制被感染设备。[来源:TheHackerNews]

四个恶意 Chrome 扩展程序影响到全球 50 多万用户

据外媒 SecurityAffairs 报道,目前有 50 多万的用户可能已经受到四种恶意 Chrome 扩展的感染。这些扩展主要用于点击欺诈或黑色搜索引擎优化(SEO),但是某些重要组织的员工也可能受到影响,进而导致攻击者入侵企业网络、获取用户信息。

研究人员注意到从客户工作站到欧洲 VPS 提供商的出站流量出现异常峰值,并发现了一个恶意扩展。对 HTTP 流量的分析显示,该域名是“change-request [。] info”,并且是通过 Chrome 网上应用商店提供的名为“Change HTTP Request Header”(ID “ppmibgfeefcglejjlpeihfdimbkfbbnm”)的 Chrome 扩展程序生成的。

ICEBRG-Malicious-Chrome-Extension-diagram.png

分析发现,该恶意扩展本身不含有恶意代码,但是包含“两个元素”,可被攻击者俄利用、注入并执行任意 JavaScript 代码。值得注意的是,Chrome 扩展不允许从外部源检索 JSON 并执行其包含的 JavaScript 代码,但可通过内容安全策略(CSP)明确要求检索并使用 JSON。一旦启用“unsafe-eval”权限,从外部源检索 JSON,攻击者就可以强制浏览器执行恶意代码。

另外三个扩展的活动与“Change HTTP Request Header”扩展类似,并且使用了相同的 C&C 服务器。它们分别为:Nyoogle – Custom Logo for Google;Lite Bookmarks;Stickies Chrome’s Post-it Notes。[来源:Securityaffairs]

拉美地区金融机构遭受新版本 KillDisk 恶意软件的攻击

趋势科技昨日报道,KillDisk 磁盘擦除恶意软件出现新版本,拉丁美洲金融公司遭受攻击。

KillDisk 最初主要是主要感染后期部署的磁盘擦除恶意软件,可用于破坏入侵证据并隐藏攻击者踪迹。由俄罗斯的网络间谍组织 Telebots 开发和使用。这个团队创造了袭击美国工业设备的 Sandworm 恶意软件,用于攻击乌克兰电网的 BlackEnergy 恶意软件,以及 2017 年 6 月袭击许多公司的 NotPetya 勒索软件。

KillDisk.png

2016 年底,KillDisk 伪装成勒索软件攻击乌克兰银行,其 Linux 变种也在不久之后被发现并用于相同目标。而近日,新版本的  KillDisk 出现,保留了其磁盘擦除特性,并依然伪装成勒索软件,针对拉丁美洲的金融机构发起攻击。一旦 KillDisk 感染计算机,就会自动加载进内存,从磁盘中删除文件并重命名进行伪装。随后,它会重写每个储存设备 MBR 中前 20 个部分,并重写每个固定或可移动内存设备中每个文件的前 2800 个字节,最后开始 15 分钟计时,删除多个重要的操作系统相关进程。系统重启后,如果不修复受损的 MBR 记录,用户就无法使用计算机。[来源:bleepingcomputer]

【国内新闻】

女博士被电信诈骗 85 万,一心搞科研很少看新闻

近日广州一名女博士被电信诈骗85万的事件引发舆论关注,这起案件和此前惊动全国的徐玉玉电信诈骗案套路基本一样。1月6日下午,在广州某高校做科研工作的女博士饶源接到一个陌生电话,对方假冒公检法人员诈称她在北京开的一张银行卡涉嫌洗钱,要求饶源筹集128万元,打入所谓的“国家账户”,待查明真相后返还。而饶源信以为真,连续5天汇款85万元,等到1月11日,再也联系不上对方时, 她才发觉受骗。饶源告诉记者,作为一名科研人员,生活圈子很小,长年都泡在实验室,很少关 注社会上的事情,所以才容易导致上当受骗。

电信诈骗.jpg

近些年来,各地电信诈骗泛滥成灾,几乎每个人都接触过花样繁多的电信诈骗,由于骗子掌握了大量个人信息,内容详实精准,容易取得对方的信任,令人防不胜防。而且,骗子针对各行各业的人士,专门编造了诈骗术,又采取团伙作案分工合作扮演角色,普通人很难轻易分辨真伪。

因此,面对疯狂的电信诈骗,政府应积极进行严厉打击,联合互联网企业、商家、社会组织和广大民众,进行全方位的封堵拦截。同时,对电信诈骗、网络诈骗等犯罪采取重罚,让犯罪分子付出昂贵代价。

[来源:新浪新闻]      

腾讯帮助警方逮捕了 120 名绝地求生作弊工具开发者

近日,腾讯帮助执法部门逮捕了 120 名涉嫌为《绝地求生(PUBG)》开发作弊工具的人,他们开发的作弊工具让使用者获得透视到自动瞄准等不公平的优势。

绝地求生.jpg

PUBG 是目前最受欢迎的网络射击游戏,在全世界有 2700 万玩家,其中超过一半在中国,而中国同时也是作弊工具的最主要来源。腾讯已与游戏开发商 Bluehole 达成协议将这款游戏引入到中国。作弊的流行无疑会影响到游戏的长期潜力,讽刺的是作弊工具的提供者十有八九会通过腾讯的 QQ 来进行交易。[来源:Solidot

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM。

更多精彩
相关推荐

这些评论亮了

  • Magina 回复
    讽刺的是作弊工具的提供者十有八九会通过腾讯的 QQ 来进行交易。
    )20( 亮了
发表评论

已有 3 条评论

取消
Loading...

特别推荐

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php