启动慢系统卡还是因为它?
5月,互联网平安舆论讲述 一、国际舆情概况根据腾讯反病毒实验室的后台统计,5月份的热门话题分为缺陷、有害样本、攻击、钓鱼、勒索欺诈、IoT平安。其中,钓鱼邮件、银行木马、采矿三个话题较上月有所不同,但本月勒索欺诈话题大幅下降。整体安全话题也略有下降。下图显示了5月份的信息漫衍。
5月份的重大安全事项包括ZenMate VPN浏览器插件有缺陷,影响350万用户;Roaming Mantis恶意软件通过篡改无线路由器DNS感染智能手机;VPNFilter僵尸网络以网络设备为目的,已熏染54个国家约5000台网络设备;新型Monero挖矿木马在Mac端兴起;2018年世界杯主题垃圾邮件来袭;加拿大最大的两家银行表示,近9万名客户的数据被泄露。
二、热门平安事宜概况
以下划分从几了本月几种平安类型的热点事项,占比较大,特色鲜明。
破绽平安
系统缺陷和应用软件缺陷反复出现。用户应注意制造商实时发布的补丁,做好系统升级、软件更新和安全检测软件更新。本月有三个流行的缺陷:ZenMate VPN浏览器插件有缺陷,影响350万用户;Microsoft Teams URL下令注入缺陷;新发现8个CPU新的缺陷,英特尔,ARM等芯片受影响。
? ZenMate VPN 浏览器插件缺陷导致用户真实地址泄露,影响 350万用户
ZenMate拥有跨越4300万用户的公司VPN提供商,它提供各种浏览器扩展来使用它们VPN。本文写作停止时,浏览器扩展用户约350万。Chrome和Firefox的ZenMate VPN客户端信托过时域名zenmate.li,因此,它可以通过新闻通知扩展浏览器API挪用。在没有任何用户交互的情况下,行使此缺陷可以获取用户的所有账户信息,如账户ID,电子邮件地址、身份验证UUID令牌、电子邮件列表、账户类型、订阅信息、用户所在国、平台登录时间、是否可用于登录受害者账户VPN等信息。
?Microsoft Teams URL 命令注入导致远程随机代码披露缺陷(CVE-2018-1000006)
CVE-2018-1000006缺陷允许远程攻击者Microsoft在团队的安装程序上执行随机代码。然而,由于目标用户必须接收恶意页面或打开恶意文件,因此需要用户互动来行使这一缺陷。缺陷存在于msteams URL在处理过程中。具体分析URL在挪用其执行系统之前,该过程没有准确地验证用户提供的字符串。攻击者可以用当前用户的上下文巧妙地执行代码。
?研究人员又发现了8个CPU新缺陷 英特尔,ARM等待芯片受到影响
德国计算机杂志《c't》报告称,研究人员在计算机上CPU在里面找到8个新的缺陷,这些缺陷和Metldown、Spectre有点相似。该杂志还表示,英特尔将公布补丁,修复缺陷,ARM一些芯片也受到影响,至于AMD研究人员正在观察芯片是否也存在同样的问题。《c't》对于未披露信息的来源,研究人员将优先通知响应公司,并在公司发现修复补丁后公开发现。
盛行木马
木马手艺随着杀软检测手段的提升而不停升级,变种的更新也越来越频仍,出奇创新,这就要求用户不只安装杀毒软件,还要关注杀软更新、实时升级病毒库,以到达对病毒的有用提防。本月爆出的新型变种典型的有三类:巴西银行木马通过Microsoft SQL Server举行CNC通讯;Roaming Mantis恶意软件通过篡改无线路由器DNS感染智能手机;Vega Stealer 恶意软件瞄准 Chrome,Firefox 浏览器,窃取浏览器保留的用户凭证和信用卡信息。
?巴西银行木马通过 Microsoft SQL Server 举行 C&C 通讯
研究人员发现了一种使用不寻常命令和控制的银行木马(C&C)研究人员透露,攻击者正在使用该服务器MnuBot恶意软件 - 非法交易主要针对巴西开放银行集会。MnuBot 与大多数RAT它具有相同的效果,允许攻击者远程接触被熏染的机器,包括在受害者的机器上显示各种银行的伪造窗口。远程接触特洛伊(RAT)奇怪的是它不停地走Microsoft SQL数据库服务器查询的命令为攻击者提供了更好的动态设置和反研究效果。如今,大多数恶意软件都是基于某种形式的Web服务器或IRC频道的C&C服务器。MnuBot使用恶意软件Microsoft SQL Server数据库服务器与样品进行通信,并发送被熏染机械的下令。
?Roaming Mantis 恶意软件通过篡改无线路由器 DNS 感染智能手机
前段时间发现了一个Roaming Mantis恶意软件。当时受影响的人主要来自日本、韩国、中国、印度和孟加拉国。然而,一个月后,Roaming Mantis增加了20多种语言,并在世界各地迅速传播。恶意软件使用基于熏制路由器的熏制路由器Android智能手机和平板电脑。然后,它将IOS设备重定向钓鱼网站,并在台式机和笔记本电脑上运行CoinHive挖矿剧本。它是通过DNS这使得目标用户很难发现一些问题。他们强迫损坏的路由器设置,迫使他们使用自己的流氓DNS服务器。这意味着用户无论输入相邻路由器设备的浏览器地址栏中的内容如何,都会被重定位为恶意网站。
?Vega Stealer 恶意软件瞄准 Chrome,Firefox 浏览器窃取浏览器保留的用户凭证和信用卡信息
一个名为Vega Stealer通过发现恶意软件,通过Chrome和Firefox浏览器保留凭证和信用卡信息August Stealer变种。具有父恶意软件功效的子集等功效。除了窃取浏览器数据外,Vega也可以从被熏染的机械中泄漏Word,Excel,PDF和文本文件。Vega中的Chrome窃取浏览器的效果是August Stealer代码的一部分; August还从其他浏览器和应用程序中窃取信息,如Skype和Opera。Vega新的功效包括新的网络通信协和Firefox浏览器窃取效果。
攻击事宜
比肩BlackHat,CSS2018腾讯安全探索论坛为您揭示极客琅琊榜
本月热门攻击:VPNFilter僵尸网络以网络设备为目的,在54个国家熏染了约50万台网络设备;一周内恶意 PHP 剧本熏染了 2400个网站。
?VPNFilter僵尸网络以网络设备为目的,在54个国家熏染了约50万台网络设备
至少54个国家/地区的熏染设备数量不少于5万。VPNFilter影响的已知装备有小型和家庭办公室(SOHO)空间中的Linksys,MikroTik,NETGEAR和TP-Link网络设备和QNAP网络附加存储(NAS)装备。VPNFilter恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议。最后,恶意软件具有损坏性的能力,可以使受熏染的装备不可用,这可以在个体受害者机械上触发或团体触发。
?恶意 一周内PHP 剧本熏染 2400 个网站
Brain Food僵尸网络通过在正当网站托管的网页上销售虚假减肥药和智商增强药。到目前为止,由于有用的超文本预处理器(PHP)剧本(也叫Brain Food),垃圾邮件发送者已经取得了乐成,该剧本已经巧妙地避开了网站检测。在一周的时间内,有2400个网站被熏染推销可疑药片 。Brain Food代码多态,使用多层base64编码混淆。此外,僵尸网络还有一个特点。当一个网站被熏染时,抓取它PHP当代码时,剧本将重新定位到准确的页面。
挖矿事宜
本月数字加密币的挖掘热度仍然没有下降,Mac端、Linux采矿木马的终端也逐渐兴起,这就要求Mac、Linux用户还需要注意系统和软件的实时更新补丁,从正式渠道下载软件,注意CPU使用情况和电池耗电情况,小心采矿木马。本月热门采矿事宜主要包括:新型Monero挖矿木马在Mac端兴起;在Ubuntu Snap Store上找到包罗Bytecoin恶意软件包加密硬币矿工;近400个Drupal现场熏染恶意软件,秘密挖掘加密硬币。
?新型Monero挖矿木马在Mac端兴起
最近,大量Mac用户熏染了一种新型Monero挖掘木马,一个叫mshelper这个过程会消耗很多CPU电力并耗尽他们的电池。该挖矿软件由伪装的Adobe Flash Player安装程序安装,用户从非官方网站下载或特别引诱受害者打开他们的诱饵文木马首先在目的系统上执行时,它将启动两个svchost.exe在这个过程中,一个是执行挖掘义务,另一个是在后台操作,用来感知防病毒的珍爱,停止检测。
?在Ubuntu Snap Store上找到包罗Bytecoin加密硬币矿工的恶意软件包
在官方Ubuntu Snap Store 上托管的Ubuntu Snap Package在源代码中发现了意软件,经分析解释为加密硬币挖掘木马。Bytecoin(BCN)恶意软件中硬编码的加密硬币账户是myfirstferrari@protonmail.com恶意应用程序是2048buntu,它是2024年游戏的合法版本,包括在内Ubuntu Snap统一开发人员上传的另一个应用程序也包括恶意挖掘代码。Ubuntu Snap Store不提供安装计数,因此无法确定受影响的用户数量。
?近400个Drupal现场熏制恶意软件,秘密挖掘加密硬币
5月初,近400个网站遭到恶意攻击,主要是美国政府机构、教育机构和一些科技公司。这些网站都使用了旧版本Drupal内容管理系统被恶意软件行使,关键远程代码执行缺陷(CVE-2018-7600),植入了Coinhive采矿服务熏染的JavaScript代码指向相同的域名(vuuwd.com)和相同的Coinhive此外,采矿服务限制了受害者CPU减少被发现的可能性。
垃圾邮件
随着2018年世界杯的临近,黑客首先以足球为主题分发了大量的垃圾邮件。本月垃圾邮件的热点问题主要是:2018年世界杯主题的垃圾邮件。
?2018世界杯主题的垃圾邮件来了
世界杯门票是黑客发送垃圾邮件的高发期,通知收件人通过官方合作伙伴和赞助商(Visa,可口可乐、微软等)FIFA这些电子邮件通常包括附件,有些电子邮件要求收件人支付部分电子邮件或银行转账费用,主要目的是在线用户数据(包括财务信息等),并提取小额汇款,而附件可能是损害收件人利益的恶意软件。
另一种是为收件人提供干预门票、礼物或赢得比赛。受害者需要在黑客提供的虚假页面上注册并提供电子邮件地址,并将其联系方式发送给组织者。该计划的主要目的是更新电子邮件数据库,以分发更多的垃圾邮件。
数据泄露
本月流行的数据泄露主要包括以下三件事:加拿大最大的两家银行表示,近9万客户的数据被泄露;开普敦一个在线交通平台泄露了近100万用户的私人信息;欧洲北美铁路公司网站被入侵,大量用户的敏感信息被泄露。
?加拿大最大的两家银行披露了近9万名客户的数据
5月底,蒙特利尔银行和加拿大帝国商业银行近9万名客户的数据被网络犯罪分子窃取。两家银行都知道黑客窃取的数据,这意味着他们的检测和预防措施完全失败。黑客试图勒索银行,可能是因为被盗的数据没有黑客想象的那么有价值。没有消息称,是否有客户因信息泄露而遭受损失。
?在开普敦的一个在线交通平台上泄露了近百万用户的私人信息
最近,南非开普敦一个在线交通平台的私人数据库被泄露,包括近100万用户的姓名、身份证号码、电子邮件地址和南非公民描述的明确存储密码。数据泄露的主要原因可能是在线平台对数据安全性的疏忽,其敏感数据的备份似乎保留在可公开访问的目录中。
?欧洲北美铁路公司网站被入侵,大量用户的敏感信息被泄露
欧洲北美铁路公司(RENA)与客户见面,他们发现证据解释说,黑客未经授权接收了用于预订机票的电子商务网站,并可能窃取大量敏感数据——客户姓名、性别、地址、电话号码、电子邮件地址、信用卡/借记卡号码、支付卡到期日期等,并解释了黑客入侵RENA系统已经近三个月了。这可能是因为RENA内部员工密码泄露导致黑客进入系统,或其电子网站有未修复的缺陷,导致黑客远程行使并入侵其网络。
618年中大促血狐病毒