MQsTTang 后门针对物联网设备利用系统漏洞
MQTTang Backdoor 是一种特洛伊木马威胁,它以物联网 (IoT) 设备为目标,并使用 MQTT(消息队列遥测传输)协议作为与其命令和控制 (C&C) 服务器进行通信的方式。它于 2018 年由帕洛阿尔托网络全球威胁情报团队 Unit 42 的研究人员首次发现。 MQTTang Backdoor 是一种复杂的恶意软件,它使用多阶段感染过程来逃避检测和破坏 IoT 设备。第一阶段涉及扫描互联网以查找使用 MQTT... 阅读更多
锁定:Goaq 勒索软件以及如何保护自己
在分析来自在线威胁数据库的恶意软件样本时,我们确定了 Goaq,它是 Djvu 勒索软件家族的一员。 Goaq 通过加密文件并将“.goaq”扩展名添加到加密文件名来运行。它还会生成一个名为“_readme.txt”的赎金票据。 例如,“1.jpg”经过Goaq加密后会重命名为“1.jpg.goaq”,“2.png”会重命名为“2.png.goaq”。值得注意的是,Goaq 可以与其他恶意软件(如 RedLine 或... 阅读更多
ActivityCache 加入 AdLoad 广告软件家族
在我们调查新威胁数据库提交的过程中,我们的研究团队偶然发现了 ActivityCache 应用程序。检查此软件后,我们得出结论认为它是广告软件,属于 AdLoad 恶意软件家族。 广告软件是指由广告支持的软件,旨在在访问的网站或其他界面上显示广告。这些广告可能宣传诈骗、不可靠或有害的软件,甚至是恶意软件。一些广告还可以在点击时执行隐蔽的下载或安装。... 阅读更多
永远不要忘记标签扰乱您的浏览器设置
在调查 Never Forget Tab 浏览器扩展时,我们发现它是一个浏览器劫持者,它推广两个虚假的搜索引擎,即 find.eonenavigate.com 和 neverforgettab.com。此扩展程序通过更改默认搜索引擎、主页和新标签页来修改 Web 浏览器的设置。但是,警告用户不要依赖 Never Forget Tab 应用程序及其相关的搜索引擎。... 阅读更多
谷歌勒索软件与谷歌无关
我们对提交给在线威胁数据库的恶意软件样本的分析揭示了一种名为 Google 的新型勒索软件。该勒索软件是 Chaos 勒索软件家族的一部分,其主要目的是加密文件。谷歌勒索软件还会在加密文件后释放一个名为“read_it.txt”的勒索字条。 为了修改文件名,谷歌勒索软件将扩展名“.google”添加到原始文件扩展名的末尾。例如,如果文件名为“1.jpg”,Google... 阅读更多
由讲波兰语的人操作的 SkullLocker 勒索软件
我们遇到了另一个名为 SkullLocker 的 Chaos 勒索软件的新变种。这种特殊类型的勒索软件会加密文件并为文件名添加“.skull”扩展名。此外,它还会创建一个用波兰语编写的名为“read_it.txt”的赎金票据,通知受害者他们的文件已被 SkullLocker 勒索软件加密。 要重新获得对文件的访问权限,受害者必须在 72... 阅读更多
MetAI 助手广告软件存在安全风险
在我们检查欺诈网站的过程中,我们偶然发现了一个宣传包含 MetAI 助手浏览器扩展的安装程序的网页,该扩展被宣传为在 Facebook 平台上使用 OpenAI(可能是 OpenAI 的 ChatGPT 聊天机器人)的工具。但是,我们对该扩展程序的分析表明它作为广告软件运行,这意味着它会显示广告并收集敏感信息。... 阅读更多
通过 Discord 分发的 PureCrypter 恶意软件
安全公司 Menlo Labs 已发出警告,称一名威胁行为者正在使用 PureCrypter 下载器向亚太和北美地区的政府实体分发各种形式的恶意软件。 作为这些攻击的一部分,攻击者使用 Discord 进行分发,同时征用了一个非营利组织的域作为命令和控制 (C&C) 服务器来托管辅助有效负载。目标受害者受到一系列威胁,包括 Redline Stealer、AgentTesla、Eternity、Blackmoon 和... 阅读更多
Goba 勒索软件将劫持你的文件
我们的恶意软件专家团队遇到了 Goba,这是一种勒索软件,它使用加密技术通过向加密文件名添加“.goba”扩展名来限制对文件的访问。 该勒索软件属于 Djvu 勒索软件家族,可能与其他恶意软件(如 RedLine 或 Vidar)一起传播。加密文件后,Goba 会生成一个名为“_readme.txt”的赎金票据,解释情况并要求付款以换取解密软件和用于恢复文件的唯一密钥。解密工具的费用为 980 美元,但如果受害者在 72... 阅读更多
Qwik 搜索劫持浏览器设置
在检查可疑网站时,我们的团队发现了 Qwik Search 浏览器扩展程序,该扩展程序声称可以通过提供对流行搜索引擎的轻松访问来增强在线搜索体验。然而,在分析扩展后,我们发现它是一个浏览器劫持者。 Qwik Search 修改浏览器设置,用虚假搜索引擎 search.qwik-search.com 替换主页、默认搜索引擎和新选项卡或窗口 URL。 安装后,Qwik Search 会强制用户使用... 阅读更多
“帐户关闭”电子邮件诈骗寻找新的受害者
在我们检查“帐户关闭”电子邮件后,我们确定这是一封垃圾邮件和网络钓鱼诈骗。该电子邮件谎称收件人的电子邮件帐户已根据他们的要求设置为关闭。它还包括一个指向虚假电子邮件登录页面的链接,该页面记录了输入的所有密码。 这封垃圾邮件的主题是“帐户关闭 [收件人的电子邮件地址]”,指示收件人单击“取消请求 »”按钮以防止帐户被删除。然而,这些信息完全是捏造的,点击按钮会导致重定向到钓鱼网站。... 阅读更多
Roid 勒索软件是另一个 Djvu 变体
Roid 是属于 Djvu 勒索软件家族的一种勒索软件。 此勒索软件加密文件,使其内容不可读且无用。加密后,文件名将被更改为添加“.Roid”扩展名,该扩展名附加到原始扩展名。例如,名为“document.doc”的文件将变为“document.doc.roid”。 Roid 是一种典型的勒索软件变体,针对多种文件类型,包括媒体文件、文档、存档和可执行文件。但是,为确保系统能够继续运行,Windows 文件未加密。 Roid... 阅读更多
