Imgur 确认 2014 年时泄露了 170 万的用户数据
上周知名图片分享社区 Imgur 表示,他们也成了数据泄露的受害者,在 2014 年时曾有 170 万的用户信息被攻击者窃取。该公司目前已发表公告并通过 email 提醒用户应立即更改密码。
按照 Imgur 首席运营官 Roy Sehgal 的说法,11 月 23 日下午,一位经常处理数据泄露问题的安全研究人员向 Imgur 发送了一封 email,所给数据中包括了 Imgur 的用户信息。
同时 Sehgal 表示,被盗用的帐户信息只包含 email 地址和密码,Imgur 从来没有要求用户提供真实姓名、住址、电话号码等其它个人身份信息。
Sehgal 补充道:“虽然他不便透露 Imgur 的用户数量,但 170 万确实仅占现有用户总数的一小部分。”
“Imgur 存储的密码都是加密过的,但在泄露数据时使用的是较早的 SHA-256 算法,因此存在被暴力破解的风险。” Sehgal 解释。“2014 年后,Imgur 就已经更新了加密用户个人信息的算法,现在使用的是基于 Blowfish 的 Bcrypt 加密方式。”
当然,这只是今年一系列数据泄露事件中最新的一起。9 月份时,Equifax 就披露了影响 1.43 亿美国用户的数据泄露事件。而不久前 Uber 也表示,该公司在 2016 年时曾泄露了 5700 万的用户数据信息,但与 Imgur 不同,Uber 因没有及时公开泄露事件而饱受批评。
原文链接:https://threatpost.com/imgur-confirms-2014-breach-of-1-7-million-user-accounts/129006/
本文由看雪翻译小组 BDomne 编译
近期出现新型 Windows 故障诊断骗局
近期发现一个新型客服支持式骗局,被感染的电脑会出现蓝屏,并显示一个Windows疑难解答窗口,提示该电脑已无法使用且无法修复。然后提醒用户使用PayPal购买一个程序来修复“已检测到的问题”,并解锁屏幕。
windows 疑难解答窗口
安全研究员Pieter Arntz发现这个骗局实为一个破解软件安全程序,会上传屏幕截图、不依赖人工调用所列数字、使用PayPal付款。
破解软件安装程序运行时,会自动从hitechnovation.com网站下载可执行文件并保存在不同的文件夹。然后将其中一个文件配置为Windows service,并自动启动,更改注册表项,禁用多个快捷键。
下载文件如下:
csrvc.exe:该文件被下载至%Temp%\csrvc,配置为Widows service。用来禁用任务管理器、注册表编辑器、可执行文件。
BSOD.exe:该文件被下载至%Temp%\csrvc文件夹,用来显示冒牌蓝屏。
Troubleshoot.exe:该文件被下载至%Temp%\csrvc文件夹,用来显示windows疑难解答窗口。
Scshtrv.exe:该文件被下载至%Temp%\csrvc文件夹,用来将图片上传至远程FTP站点。
adwizz.exe:该文件被下载至C:\Program Files\adwizz文件夹,用来显示banggood.com网站的广告窗口。
文件下载之后,BSOD.exe程序会立即启动并在电脑桌面上显示蓝屏,并声称system32.dll文件已损坏,然后电脑将会不停的发出哔哔声。
随后Troubleshoot.exe 启动,显示一个冒牌windows 疑难解答窗口,并称该电脑.dll registry files丢失,并提示用户解决这个问题。
点击下一步,会假装在扫描电脑,然后称无法解决检测到的问题。
这时候系统会提示用户联系内置聊天程序寻求帮助,或者使用PayPay购买“Windows Defender Essentials”。
内置实时聊天窗口,没有应答。而点击“Windows Defender Essentials”选项会出现一个PayPay购买页面,收费25美元。钱款会通过一个链接,打进lillysoft.it@gmail.com的PayPal账户中。
URL:
https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=DXKLEMZTGTTDY
用户支付成功后,会看到http://hitechnovation.com/thankyou.txt,包含有字符串“thankuhitechnovation”。程序检测到该字符后,会打开一个新窗口假装已修好这些问题,并允许用户关掉该程序。
这很明显是一个屏幕锁,专门为诱骗用户支付25美元,修好所谓的“问题”,然后再移除该程序。虽然使用PayPay支付有点奇怪,因为这样很容易溯源到该软件的开发者。
那如何移除冒牌Windows疑难解答窗口呢?
为了确认用户已通过PayPay付款,这个骗局会查看含有字符串 "thankuhitechnovation"是否被打开。如果打开了,即显示问题已解决,用户即可关闭该程序。
在这个过程中,用户如果成功付款,该程序会引导用户去另一个有他们控制的页面,这个页面包含有上述提到过的字符串,引发关闭程序。
这个表格仅仅是嵌入进一个web 浏览器,我们可以利用这一点,把它导到任意一个含有该字符串的网页,即可关闭该程序。
具体该怎么做呢?
进行到PayPal购买界面的时候,只需按Ctrl+O,打开一个对话窗口并输入想要打开的网址,如“http://hitechnovation.com/thankyou.txt”,或任何包含“thankuhitechnovation”字符的网页即可,该程序就会认为用户已支付,并自动关闭。如图:
此外,改程序还会实时上传用户屏幕截图,并使用硬编码证书将图片上传至182.50.132.48 FTP服务器。
暂时不知道截图的用处,但可能会被用来勒索、身份盗用或检测安全研究员。
IOCs:
哈希值:
adwizz.exe: 5becf86e5ad1703345fa243458f6a3b6189619f87e67ffab6bc874d6bdf7c03f
BSOD.exe: 9a95f7e477cede36981a6a1e01a849d9c6aeac3985ee3a492cf4136bb6dab69c
csrvc.exe: 1b1e48f2ee9940c1965c00ee1226fd7c3b9ee9c179ba29b9aeb586c6211cb223
scshtrv.exe: 0cc8ad791dc4061ce1f492d651ed2a9baeed02413c5940240bf47bb023f509ef
Troubleshoot.exe: f34185d5124690815f089b06cc1629a3d1a42cd7d51aee602823c98e03116a98
网络连接:
http://hitechnovation.com/Extra/Downloads/BSOD.exe
http://hitechnovation.com/Extra/Downloads/csrvc.exe
http://hitechnovation.com/Extra/Downloads/adwizz.exe
http://hitechnovation.com/Extra/Downloads/Troubleshoot.exe
http://hitechnovation.com/extra/downloads/scshtrv.exe
http://hitechnovation.com/Extra/Downloads/Windows%20Chat%20Support.exe
http://hitechnovation.com/thankyou.txt
http://hitechnovation.com/Downloads/DList.txt
http://freegeoip.net/xml
ftp://182.50.132.48
相关文件:
%Temp%\csrvc\BSOD.exe
%Temp%\csrvc\csrvc.exe
%Temp%\csrvc\csrvc.InstallLog
%Temp%\csrvc\csrvc.InstallState
%Temp%\csrvc\scshtrv.exe
%Temp%\csrvc\Troubleshoot.exe
C:\Program Files\adwizz\adwizz.exe
相关注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adwizz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\csrvc
HKLM\SYSTEM\CurrentControlSet\services\csrvc
来源:https://www.bleepingcomputer.com/news/security/fake-windows-troubleshooting-support-scam-uploads-screenshots-and-uses-paypal/
本文由看雪翻译小组 哆啦咪 编译
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课