EXISC 勒索软件以公司和企业为目标
在调查 VirusTotal 网站上的新提交内容时,我们发现了一个名为 EXISC 的勒索软件程序。它的主要目的是加密数据并要求付款以换取解密数据。 在我们的测试系统上执行 EXISC 样本后,我们观察到它成功加密了文件并在其原始文件名后附加了“.EXISC”扩展名。例如,名为“1.jpg”的文件将转换为“1.jpg.EXISC”,而“2.png”将转换为“2.png.EXISC”,依此类推。 在加密过程之后,EXISC... 阅读更多
用于攻击以色列实体的 Moneybird 勒索软件
伊朗黑客组织 Agrius 也被称为 Pink Sandstorm,前身为 Americium,它开发了一种名为 Moneybird 的新型勒索软件。 CheckPoint 研究人员发现了这种危险的恶意软件,这标志着 Agrius 的策略发生了重大变化,因为他们现在以以色列组织为目标。 Agrius 有对以色列实体进行破坏性数据擦除攻击的历史,通常将它们伪装成勒索软件感染。用 C++ 编程的 Moneybird... 阅读更多
Knuckledzone.com 试图通过广告向您发送垃圾邮件
在调查与可疑广告网络相关的网页时,我们遇到了 knuckledzone.com 并确定它是一个不可信的网站,它采用点击诱饵策略来欺骗访问者订阅其通知。值得注意的是,大多数用户无意中会遇到此类页面。 Knuckledzone.com 利用欺骗性技术显示欺诈性验证码消息,强迫访问者单击“允许”按钮以确认他们的非机器人状态。但是,通过这样做,访问者有意或无意地授予网站显示通知的权限。 通过我们团队的研究,我们发现... 阅读更多
快速汽车选项卡浏览器扩展
在调查 Fast Cars Tab 扩展程序期间,我们发现它通过未经授权更改其设置来控制 Web 浏览器。此扩展程序充当浏览器劫持者,其主要目标是推广名为 fastcarstab.com 的欺骗性搜索引擎。此外,Fast Cars Tab 扩展程序存在收集各种用户数据的潜在风险。 我们的分析表明,Fast Cars Tab 应用程序通过修改默认搜索引擎、主页和新标签页等关键设置来劫持 Web 浏览器。这些设置被更改为... 阅读更多
PowerExchange 恶意软件以阿联酋政府机构为目标
一种名为 PowerExchange 的新型恶意软件已被发现,据信伊朗国家支持的黑客组织 APT34(也称为 Oilrig)使用了该软件。 这种基于 PowerShell 的恶意软件曾用于对阿拉伯联合酋长国政府组织的攻击,并允许攻击者为 Microsoft Exchange 服务器设置后门。它的工作原理是使用 Exchange Web 服务 API 发送电子邮件,将 base64 编码的命令作为附件和“更新 Microsoft... 阅读更多
Buhti 勒索软件针对同时运行 Windows 和 Linux 的受害者
Buhti 是一种针对 Windows 和 Linux 系统的勒索软件。虽然 Buhti 勒索软件有效载荷主要针对 Windows 计算机,并且是先前泄露的 LockBit 3.0 勒索软件的变体,并进行了一些小的调整,但它还有一个专门设计用于攻击 Linux 系统的修改版本,利用了泄露的 Babuk 勒索软件。 当 Buhti 感染系统时,它会加密文件并将其原始文件名替换为一串随机字符。此外,受害者的 ID... 阅读更多
Vatq 勒索软件是最新的 Djvu 变体
在检查新的恶意软件样本期间,我们的团队发现了 Vatq 勒索软件,它属于 Djvu 勒索软件家族。一旦计算机被感染,Vatq 就会继续加密文件并通过添加扩展名“.vatq”来更改文件名。例如,它将“1.jpg”转换为“1.jpg.vatq”,将“2.png”转换为“2.png.vatq”。 此外,Vatq 以名为“_readme.txt”的文本文件的形式创建赎金票据。威胁行为者很可能将 Vatq... 阅读更多
Pioxu.live 试图伪造病毒警告恐慌
Pioxu.live 是我们的研究人员在调查不可信网站时遇到的误导性网页 URL。其目的是通过浏览器通知垃圾邮件促进诈骗和淹没用户。此外,它还能够将访问者重定向到其他可能不可靠或危险的网站。 通常,访问者通过使用流氓广告网络的网站引起的重定向访问 pioxu.live 和类似页面。 请务必注意,这些恶意页面的行为可能会因访问者的 IP 地址或地理位置而异。此信息决定了在这些站点上遇到的具体内容。 在我们的研究过程中,我们发现... 阅读更多
COSMICENERGY 恶意软件针对行业
最近发现了一种恶意软件,专门用于渗透和破坏工业环境中的关键系统。谷歌旗下的威胁情报公司 Mandiant 将这种恶意软件称为 COSMICENERGY,该恶意软件于 2021 年 12 月在 VirusTotal 公共恶意软件扫描实用程序中检测到,由俄罗斯的个人上传。目前,没有证据表明它在野外部署。 COSMICENERGY 的主要目标是通过针对 IEC-104 设备(如远程终端单元... 阅读更多
8Base 勒索软件锁定受害者的文件
8base Ransomware 被归类为一种加密数据的勒索软件。当计算机感染 8base 勒索软件时,受感染系统上的所有文件(包括 .xml、.doc、.png、.pdf、.asp 等)都将被锁定且无法访问。用户无法打开或修改这些文件。 加密文件后,8base Ransomware 会留下痕迹和联系信息,以便受害者寻求帮助。通常,文本文件或图像放置在每个文件夹的底部,作为唯一可读的内容。这些文件中提供的说明提示用户付款以获得... 阅读更多
Browser Cleaner Pro Rogue 浏览器扩展
Browser Cleaner Pro 被宣传为专门设计用于有效消除浏览数据和 cookie 的强大工具。然而,在我们评估这个浏览器扩展的过程中,我们的团队发现它显示了侵入性广告。基于这种行为,我们将 Browser Cleaner Pro 归类为广告软件,即通过广告支持自身的软件。 Browser Cleaner Pro... 阅读更多
Tophome24.com 使用虚假机器人支票推送广告
在我们对 tophome24.com 的分析过程中,我们发现它有意提供不可靠的通知。 Tophome24.com 使用误导性消息来诱使访问者授予接收其通知的权限。我们在审查其他可疑网站时发现了 tophome24.com。 Tophome24.com... 阅读更多
