与 APT 相关的 WhiskerSpy 后门
研究人员发现了一个新的后门,该后门与他们之前研究过的高级持续威胁组织 Earth Kitsune 相关联。自 2019 年以来,Earth Kitsune 一直在向对朝鲜感兴趣的目标分发自行开发的后门程序。在之前的案例中,研究人员发现该组织使用水坑策略来破坏与朝鲜相关的网站并注入浏览器漏洞。然而,在他们最近的攻击中,该组织采用了社会工程策略而不是浏览器漏洞利用。 2022... 阅读更多
什么是 APT14CHIR 勒索软件?
APT14CHIR 是我们的团队在分析提交给在线威胁数据库的样本时发现的一种勒索软件。勒索软件的主要目标是加密文件并通过用随机字符替换原始文件名并附加“.APT14CHIR”扩展名来重命名它们。例如,“1.jpg”可能会变成“45bHrwLR0CmRGayY.APT14CHIR”。 APT14CHIR 的勒索字条位于名为“PLEASE READ.txt”的文件中,表明攻击者已使用 AES... 阅读更多
如何避免 Getshowads.com 广告
我们对 getshowads.com 的调查表明,该网站是采用欺骗手段诱使用户允许浏览器通知的欺骗性网站之一。这些通知不仅烦人和具有侵扰性,而且还可以充当向毫无戒心的用户提供恶意内容的渠道。因此,建议用户阻止 getshowads.com 发送通知。 为了引诱访问者同意接收通知,getshowads.com... 阅读更多
Sync.1rx.io - 导致重定向的潜在有害程序
如果您的浏览器被反复重定向到 Sync.1rx.io 站点,则您的设备可能安装了流氓浏览器扩展程序或可能不需要的程序。 Sync.1rx.io 是一个显示不良 chrome 扩展、虚假软件更新、成人网站、在线网络游戏、调查和不良程序广告的网站。 Sync.1rx.io... 阅读更多
什么是 DarkBit 勒索软件?
在调查新的恶意软件变种时,我们的团队发现了 DarkBit——一种通过加密数据并要求赎金进行解密的勒索软件。启动 DarkBit 样本后,它会立即开始加密文件并使用随机字符串和“.Darkbit”扩展名重命名它们。 加密过程完成后,DarkBit 会创建一个名为“RECOVERY_DARKBIT.txt”的勒索字条,并将其留在桌面上。与其他赎金票据不同,DarkBit... 阅读更多
Beep 恶意软件非常难以检测
称为 Beep 的软件是一种恶意程序,旨在窃取敏感信息并引起一系列感染。虽然仍处于开发阶段,但 Beep 具有高度的规避性,并使用各种方法来避免检测和防止分析。这些技术包括反检测和反分析功能,以规避安全软件、防止调试以及检测它何时在虚拟机或沙盒环境中启动。 Beep 由三个主要元素组成,包括滴管、注入器和有效载荷。滴管创建一个新的注册表项,每 13 分钟启动一次 PowerShell... 阅读更多
Baal 勒索软件是一个新的混沌克隆
在检查提交给在线威胁分析数据库的新威胁时,我们的团队发现了基于 Chaos 勒索软件的 Baal 恶意软件。我们在我们的测试系统上执行了 Baal 勒索软件的样本执行,导致文件加密和名称更改。修改了原来的名称,增加了一个随机生成的四字符扩展名,例如,最初名为“1.jpg”的文件显示为“1.jpg.vkwp”,等等。... 阅读更多
MortalKombat 勒索软件与 Xorist 有联系
从 2022 年 12 月开始,Cisco Talos 的研究人员一直在监视一个未知实体,该实体一直在使用两种最近发现的恶意软件——MortalKombat 勒索软件和 Laplas Clipper 恶意软件的 GO 变体——从受害者那里窃取加密货币。 人们看到攻击者使用运行 RDP 爬虫并促进 MortalKombat 勒索软件的下载服务器在端口 3389... 阅读更多
VenusStealer 恶意软件
VenusStealer 是一种从计算机窃取敏感信息的恶意软件。 它专门针对浏览器数据、Facebook 数据和其他个人信息。它是用 Python 编写的,能够泄露信用卡详细信息和密码等数据,攻击者可以将其用于各种目的。例如,被盗的 Facebook 数据可用于冒充受害者、访问个人信息、发送垃圾邮件或恶意软件、进行未经授权的购买等。... 阅读更多
Doownl0ad3s.com 浏览器劫持者
如果您发现您的浏览器经常将您重定向到 Doownl0ad3s.com 网站,则您的设备很可能感染了恶意程序或不需要的浏览器扩展程序。 Doownl0ad3s.com 网站因将用户重定向到不需要的在线游戏、虚假软件更新、成人网站、不需要的程序、调查和其他 Chrome... 阅读更多
瓶子浏览器扩展
Bottle 是一种流氓浏览器扩展程序,它通过将广告注入您访问的网站并重定向您的浏览器搜索查询来破坏您的网络浏览体验。 当 Bottle 感染您的计算机时,它可能会导致各种问题,例如安装 Bottle 程序或浏览器扩展、在意想不到的地方出现不需要的广告、将网站链接重定向到不同的站点以及不需要的浏览器搜索重定向通过阴暗的搜索引擎查询。 通常,用户会在知情或不知情的情况下安装 Bottle... 阅读更多
Hhoo 勒索软件加入 Djvu 克隆主机
我们的团队在分析提交给在线威胁分析数据库的恶意软件样本时,发现了属于 Djvu 家族的勒索软件新变种 Hhoo。 Hhoo 加密文件并通过向原始文件名添加新扩展名 (.hhoo) 来修改文件名。例如,“1.jpg”会变成“1.jpg.hhoo”,“2.png”会变成“2.png.hhoo”,等等。此外,Hhoo 会生成一个名为“_readme.txt”的赎金票据。请务必注意,与 Djvu... 阅读更多
