1 XLoader新变种与FakeSpy存在多重关联性
研究人员发现XLoader新变种(XLoader6.0)分别伪装Android安全应用程序和iOS配置文件来感染Android、iPhone和iPad设备。攻击者仿冒日本移动电话运营商的网站,诱骗用户下载假的安全Android应用程序包(APK),而对于访问该恶意网站iOS设备用户将被重定向另一个恶意网站,诱骗用户安装恶意配置文件,同时显示为Apple网络钓鱼网站。XLoader 6.0使用社交媒体平台Twitter用户配置文件来隐藏其真正的C&C。研究人员还发现另一个XLoader变种(XLoader7.0)冒充为针对韩国用户的应用程序,并利用社交媒体平台Instagram和Tumblr来隐藏其C&C。XLoader 6.0和FakeSpy使用类似部署技术,包括虚假的日本网站、通过查看可下载文件的命名方法、虚假网站的域结构以及隐藏C&C等细节,可以清楚地看出二者关联性。
https://blog.trendmicro.com/tren ... w-links-to-fakespy/
2 安全厂商发布Mira勒索软件分析与解密工具
研究人员对名为Mira的勒索软件进行了具体分析,并发布其解密工具。Mira将解密加密文件所需的所有信息附加到加密文件本身,具体加密过程为首先初始化Rfc2898DeriveBytes类的新实例来生成密钥,Rfc2898DeriveBytes类接受密码、混淆值(salt)和迭代计数。密码使用机器名称、操作系统版本、处理器个数生成,salt用随机数发生器(RNG)进行混淆。然后继续使用Rijndael算法来加密,文件末尾附加一个“header”结构,其包括混淆密码hash值,此外迭代计数被硬编码到该分析样本中。研究人员通过获得以上所需信息,创建了解密工具。
https://labsblog.f-secure.com/20 ... nsomware-decryptor/
3 安全厂商发布Aurora勒索软件家族解密工具
Aurora是一个勒索软件家族,也可被称为"Zorro", "Desu", or "AnimusLocker"。Aurora使用XTEA和RSA加密文件,已知的扩展包括 ".Aurora", ".aurora", ".animus", ".ONI", ".Nano", and ".cryptoid"。Emsisoft发布了针对该勒索软件的解密工具,并发布详细的使用指南。
https://decrypter.emsisoft.com/aurora
emsisoft_howto_aurora.pdf
(310.29 KB, 下载次数: 54)
4 新勒索软件vxCrypter加密时可删除重复文件
研究人员发现了一个基于.NET的新勒索软件vxCrypter,vxCrypter是第一个整理受感染计算机,删除存在的待加密重复文件的勒索软件。该勒索软件基于旧勒索软件vxLock,目前正在开发当中。研究人员分析发现vxCrypter会跟踪它加密的每个文件的SHA256哈希值,如果遇到相同SHA256哈希值的文件,它将删除该文件而不是加密。但以上做法也只是对部分扩展名文件,对于扩展名为“.exe”、“.dll”等将不进行删除。
https://www.bleepingcomputer.com ... te-duplicate-files/
5 纽约奥尔巴尼市计算机系统遭勒索软件攻击
纽约奥尔巴尼市在上周末遭到勒索软件攻击,其市政计算机系统感染了恶意软件。奥尔巴尼市市长表示在勒索软件攻击期间,除了导致市政电脑停止工作,没有任何属于政府工作人员或居民的个人信息受到损害。黑客访问计算机且拒绝释放控制,除非支付赎金。截至文章发布时受影响电脑仍未恢复。
https://www.usnews.com/news/best ... overnment-computers
6 Closure库更改致Google搜索引入XSS漏洞
安全研究人员在Google搜索中发现了一个XSS漏洞,该漏洞于2018年9月26日在开源JavaScript库中的一个非正确操作产生,具体为使用名为Closure的库未能正确地清理用户输入。Closure是一个由Google设计的广泛的JavaScript库,用于复杂和可扩展的Web应用程序。恶意行为者可以利用该漏洞进行网络钓鱼和其它类型的攻击。研究人员表示该漏洞可能会影响使用Closure库的其它Google产品。
https://www.securityweek.com/jav ... -flaw-google-search
|