今天的安全早报包括:Bad Rabbit 或与 NotPetya 有关;百慕大法律公司Appleby承认泄露大量信息;Google Play Protect 对安卓病毒的检测能力不佳;“打包党”威胁愈加严重,甚至可以操控用户手机;美国也发现了少部分 Bad Rabbit 受害者;黑客劫持了 CoinHive 的 DNS ,利用上千网站进行挖矿。
【国际时事】
安全公司表示,这次的 Bad Rabbit 或与 NotPetya 有关
已经有很多安全公司确认,昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。
到目前为止,已经有 Bitdefender,思科Talos,ESET,IB组,Intezer实验室,卡巴斯基实验室,Malwarebytes 和安全研究员 Bart Parys 都已经发布相关报告揭示二者之间的联系。
思科的研究人员表示:“Bad Rabbit 和 NotPetya 是有相似之处的,因为它们都是在 Petya 的基础上演进的,但代码的主要部分已经被重写了。”
今年六月,ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。其背后的团队从 2007 年以来就一直活跃着,并且使用很多的假名掩盖自己,如Sandworm,BlackEnergy 和最近的 TeleBots ,还有很少人知道的 Electrum,TEMP.Noble 和 Quedagh 。
美国也发现了少部分 Bad Rabbit 受害者
昨天,FreeBuf 报道了 Bad Rabbit 在东欧的肆虐情况。它和 NotPetya / Petya 这样的勒索软件类似,会对受害者文件进行加密,对整个系统进行加密。并在电脑开机时显示勒索信息。
今天又有报道指出,病毒蔓延到了一些俄罗斯银行。
尽管黑客这次的主要目标并不是美国和其他西方国家,但根据 Avast 所说,他们已经在美国发现了 Bad Rabbit 感染用户。
以下是勒索软件的分布情况。
| 国家 | 受害者比例 |
|---|---|
| 俄罗斯 | 71% |
| 乌克兰 | 14% |
| 保加利亚 | 8% |
| 土耳其 | 2% |
| 美国 | 1% |
黑客劫持了 CoinHive 的 DNS ,利用上千网站进行挖矿
近日,Coinhive 被劫持了。
Coinhive 向别的网站站长提供 JavaScript 脚本,可以使用网站浏览者的 CPU 进行挖矿。
据报道,有黑客入侵了 Coinhive 的 CloudFlare 帐户,修改了网站的 DNS,并将 Coinhive 官方的 javascript 代码替换成恶意版本,分发给上千的网站。
https://coin-hive[.]com/lib/coinhive.min.js
这次的 Coinhive 账户密码是在 2014 年的 Kickstarter 事件泄露出来的。很明显 CoinHive 并没有修改密码, 这也给了黑客可乘之机。
Coinhive 在一篇博文中写道:
10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改。coinhive.min.js 也已经重新定向到别的第三方服务器文件。
我们在安全上做的功课还是挺多的,所有的服务都使用了两步验证,所有的密码都是不同的,但我们还是忘记修改两年前的 Cloudflare 账户密码了。
Appleby,百慕大法律公司,昨日承认可能泄露大量信息
Appleby 是一家百慕大法律公司,专门为富人处理资产上的相关事务。昨天承认了去年发生过安全泄露事件。
公司表示,他们正在准备对外国媒体进行详细说明。
这次泄漏事件的来源是巴拿马的一家律师事务所 Mossack Fonseca。他们与记者分享了超过 2.6TB 的电子邮件 214488 名客户的内部文件,最早的一些文件可以追溯到 70 年代。
此次事件曝光了近一千一百万份资料,记者表示这些文件直至今日还在曝光中,甚至有记者因此失去了生命。
Appleby在一份声明中表示:“我们确实发生了信息泄露事件,我们不否认这一点,也已经做了应对措施来处理此事,并向相关部门进行了通报。”该公司还说,媒体对此事的报道是不妥的,也是非常让我们失望的,他们在报道文章中大量使用了通过非法渠道获得的泄露信息。
Google Play Protect 对安卓病毒的检测能力不佳
上个月,德国软件测试实验室 laboratory AV 测试了20款安卓杀毒产品。近日,在对谷歌进行测试之后,显示的结果并不是很理想。
谷歌的 Play Protect system,可以防御安卓手机中的恶意应用程序,但在这次的测试中并没有比其他厂商好很多。
当使用较新的恶意软件样本进行测试时,谷歌只识别出了 20 个样本中的 6 个,而另外的产品做的就好很多了,检测率高达 99%,谷歌自家的 Play Protect 只有 65.8% 的检测率。
而对于老旧的病毒测试样本,谷歌的表现也不是很好,只识别出了 20 个中的 13 个,而其他产品的检测率是 93%以上,谷歌只有 79.2%。
【国内资讯】
“打包党”威胁愈加严重,甚至可以操控用户手机
国内媒体根据前从业者透露的消息再次报道了应用打包党。所谓的打包党是指将互联网上热门的应用拆包,插入一些自己想要分发的东西再重新拼装,最后把这些“二次打包” 的软件重新发布,以此牟利。前从业者称,有一些圈内 “大神” 并不会满足捆绑几个 APP,赚应用厂商那点推广费用,更多的是向用户的话费、用户信息甚至支付软件下手。
有一款备忘录 APP,里面捆绑了一个程序,在用户通话的过程中会自动记录下通话录音,并且连同用户的通信记录一同发送给开发者。另外,还有一些伪装的不良社交 APP,在灰产操作下也是野草丛生,实现的功能也和这类似。最终用户信息会被高价售卖,因为里面包含了详细信息有用户名称甚至是常用昵称。”不过,这还不是最恐怖的。还有一种 APP 可以在用户联网的情况下,远程操控用户的手机。
[solidot]
转载至freebuf网站:freebuf
认证信息