Security News

网络罪犯使用Spelevo Exploit工具包在假成人网站上分发恶意软件

 Spelevo套件是由远程黑客控制的危险武器之一,目的是创建大量成人相关网站,例如赌博,色情等,并自动将其感染恶意软件。黑客使用几种不同的策略来分发这种有害威胁或病毒。 Spelevo Exploit工具包的一个独特功能是,它的第一次攻击是在今年3月被发现的,直到它们逐渐发展。 恶意成人网站正通过Worldwide Spelevo Exploit工具包攻击进行传播: 一个经验丰富的黑客组织发现,Exploit工具包是有害或危险的全球攻击活动。该恶意软件工具属于hacking hackers组,可以轻松地针对不同环境进行自定义。创建受黑客控制的网站的主要目的是展示成人内容。要传播此类威胁,黑客可以使用社交工程技术: 登陆页面:黑客将创建多个成人主题登陆页面以及合适的内容。单击发布的链接后,它们将重定向到恶意软件文件或脚本。 仿制复制站点:可以在类似的探测网站名称上找到著名的成人站点的伪造副本。黑客的目的是操纵访客误导他们,并以相同的副本呈现他们,而不问问题。当黑客还抄袭文本和设计布局时,就可以有效地执行此技巧。 Spelevo Exploit套件的特制页面将尝试通过Adobe Flash Player和Internet Explorer中的漏洞利用来传播恶意软件。其他类似威胁,例如此漏洞攻击工具包,也将具有备份失败机制,如果未发现漏洞,则将触发该机制。其他恶意有效载荷将被发送给攻击者,即Ursnif银行木马。安全研究人员指出,延迟10秒后,登陆页面不会显示在Goggle主搜索引擎页面上,而是直接将受害者转移到黑客身上。因此,没有有关黑客组的可用信息。

总部位于伦敦的名为Travelex的货币兑换公司受到恶意软件攻击

根据研究人员的说法,Travelex被称为伦敦的货币兑换公司,该公司在12月31日经历了重大的恶意软件攻击。它鼓励并立即关闭其英国网站以及诸如货币订购之类的在线服务。尽管该公司通知该站点由于“计划维护”和“软件病毒”攻击而被关闭,但那些尝试访问该站点的人仍会收到错误消息。 仍然未知哪种类型的恶意软件袭击了Travelex,因为官方Twitter声明并未特别显示任何内容: 关于影响Travelex服务的IT问题的声明 Travelex确认在除夕发现了一种软件病毒,这已经损害了其某些服务。作为预防措施,为了保护数据并防止病毒传播,我们立即将所有系统脱机。  如您所知,Travelex是最大的国际外汇交易公司,成立于1976年,在26个国家/地区拥有1000多家商店和1000台自动提款机,主要地点为火车站,飞机场等。恶意软件攻击的意图取决于可能造成灾难性后果的恶意软件的性质。它还声称该事件没有影响到有关客户的信息。 由于Travelex恶意软件攻击,巴克莱,维珍货币,Tesco银行和其他银行不得不暂停货币兑换服务: 如您所知,Travelex网站处于完整运营状态,员工无法按照Twitter帖子通过此网站或应用程序执行任何类型的在线交易。该公司被迫进行人工操作,通过在英国和其他国家/地区的机场和其他地点的分支机构为客户提供服务。该恶意软件不仅影响公司的核心业务,而且还会影响英国的主要银行,如乐购银行,巴克莱银行,汇丰银行等。他们告知客户,他们将不接受在线订购旅行资金,因此您应该以合作伙伴的Travelex问题为例,前往分支机构。该声明还表明,将不提供特定日期或时间尽快恢复服务。此外,Travelex表示已部署IT专家以及第三方法证专家来调查恶意软件攻击。 怀疑是勒索软件 对于这种情况,许多人感到不满意,因为他们缺乏一般声明以外的事件信息。由于事件,一些客户声称自己是海外标准客户,无法使用他们的资金。此外,他们还不确定存储在公司内部的个人信息,因为多个数据泄露影响了像Equifax或Marriot这样的行业巨头,给客户发出警告。 英国的研究人员Kevin Beaumont发现Travelex的AWS平台Windows服务器以及公开的远程桌面服务未使用网络级身份验证。 RDP一直是主要的勒索软件攻击之一,它允许恶意行为者使用受感染的凭据来手动访问计算机,禁用反恶意软件并注入恶意有效载荷。不幸的是,在2019年发生了如此多的勒索软件攻击之后,博蒙特表示缺乏NLA保护甚至BlueKeep补丁仍然很常见。

俄罗斯成功断开了全球互联网的连接

俄罗斯政府本周一宣布,它已执行了多次测试,在此期间,该国已成功与全球互联网断开连接。测试从上周开始的几天内结束,包括俄罗斯政府机构,本地互联网服务提供商和俄罗斯本地互联网公司。目的是测试在俄罗斯内部被称为RuNet的俄罗斯国家基础设施能否在不访问全球DNS系统和外部互联网的情况下正常工作。 目前,由于尚未向公众发布任何技术数据,因此公众将不得不接受政府的承诺。政府官员提到,已经测试了许多断开连接的情况,包括来自理论上外国势力的恶意网络攻击情况。数字发展,通信和大众传播部副部长阿列克谢·索科洛夫(Alexei Sokolov)稍后表示,这项成功测试的结果将于明年提交给普京总统。索科洛夫进一步恢复了测试的成功,因为 “事实证明,总的来说,当局和电信运营商都准备好有效应对可能的风险和威胁,并确保俄罗斯的互联网和统一电信网络正常运行,” 尽管俄罗斯立法者认为该法律可以更好地保护国家免受来自外国或其他国家的网络攻击,但许多人权专家对此表示了担忧。人权观察社进一步指出, “该法案违反了俄罗斯加入的《公民权利和政治权利国际公约》(ICCPR)和《欧洲人权公约》(ECHR)保护的言论自由和隐私标准。两项条约都允许国家限制保护国家安全的自由,但对此类限制施加了明确的标准。联合国言论自由问题特别报告员在对《公民权利和政治权利国际公约》发表评论时重申,这些限制应“由法律规定,每个人均应明确并可以使用,并且是可预测和透明的。”

Windows 10 File Explorer 问题在假期后得到修复

许多在Windows 10上面临侵入性File Explorer问题的用户都需要等到假期才能在其更新中心看到修补程序。 1909版引入了一些附加功能,例如将Windows Search隔离到文件资源管理器中,并随用户输入而动态提供结果。然而,由于许多用户报告该应用程序冻结,挂起,并且搜索字段变得完全没有响应,因此该新功能并未按预期的那样工作-对于每个人来说。 有关此错误的报告立即累积在社交媒体上,因此微软的高级计划经理Brandon LeBlanc在Twitter上做出了回应。显然,团队认为这不是紧迫的问题,因此他们会在放假后摆脱它。他承诺将对此进行调查,但是用户肯定不会在接下来的几天内看到修复更新。这意味着,如果您要使用新的搜索功能来处理错误,那么重新启动外壳将仍然是您唯一的选择。 在11月发布的Windows 10 Insider内部版本19013的发行说明中,Microsoft声明他们已解决使文件资源管理器的搜索框不可单击的问题。 “我们摆脱了一个错误,使您可以进入无法将焦点设置到File Explorer的搜索框以键入查询的状态。” 在12月发布的Windows 10 Insider内部版本19536的发行说明中,Microsoft还声明,他们可以右键单击搜索字段以删除条目。“我们更新了新的File Explorer搜索体验,使您能够如果您右键单击下拉列表中的条目,则可以通过选项删除以前的搜索。”

Dropbox的零日缺陷暂时得到修复

Dropbox是操作系统上特权最高的帐户,具有零日漏洞,因此,攻击者设法获得了保留给设备的权限。未修补的安全故障会影响标准的Dropbox安装。它连接到作为服务运行的更新程序,并负责使程序保持最新。 Dropbox尚未发布修补此漏洞的新版本,但可以以微补丁的形式免费获得临时解决方案。 据他们说,他们于9月18日通知了Dropbox该问题,并允许90天的时间进行公开闭幕。该公司回应说失败者是已知的,并且修复程序将在十月底之前提供。在Dropbox推出更好的版本之前,可以通过0Patch应用临时解决方案,该平台可在永久,正式修复可用之前为已知问题提供微补丁。 Acros Security公司首席执行官Mitja Kolsek在Twitter上描述了该问题,其背后是0patch,他说本地低特权攻击者可以使用它来替换具有SYSTEM级权限的进程运行的可执行文件。 “在分析问题时,我们认为最可靠的解决方法是简单地从DropBox Updater中切断日志编写代码。这似乎对DropBox的功能或更新过程没有负面影响-只是将日志文件留空,可能使DropBox很难解决用户计算机上的问题。 (显然,不是脆弱的人胜过那个。)-Mitja Kolsek 解码器在本周的博客文章中提供了有关投资该漏洞以升级已受到威胁的主机上的特权的详细信息。由于披露的目的是“共享知识,而不是工具”,因此未提供利用代码。研究人员提到他们曾尝试对应用程序的版本87.4.138进行特权升级,该漏洞是当时的最新产品。此帖子正在撰写中。利用的方法和技术利用了Dropbox更新器,该更新器作为具有两个计划任务的服务安装为服务,这些任务以系统权限运行。