-
-
[资讯](1.17) 4款Chrome恶意扩展,影响50多万用户;一加手机的支付系统被黑客入侵,用户的信用卡信息遭泄露
-
发表于: 2018-1-17 10:16
-
4款Chrome恶意扩展,影响50多万用户
来自美国网络安全公司ICEBRG的安全研究人员发现了四款携带恶意代码的Chrome扩展,这些扩展都可以在Chrome 的WeB Store里面可以找到。
研究人员说,攻击者可以利用这四款扩展向受害者的浏览器以javascript的形式发送恶意指令,但是攻击者只能通过点击劫持的方式利用这种漏洞,也就是在后台运行一个网站,然后让用户来点击广告实现攻击。
这四种扩展分别是:Change HTTP Request Header、 Nyoogle - Custom Logo for Google、Lite Bookmarks、和 Stickies - Chrome's Post-it Notes。
其中,截止在撰写本文时,Nyoogle 仍能在Chrome的WeB Store上获取到。
直到ICEBRG 公司检测到这种恶意行为时,已经有超过50万用户正在使用这些扩展,ICEBRG 公司立即通知了荷兰国家网络安全中心(ncscl - nl)、美国计算机应急准备小组(US-CERT)和谷歌安全浏览操作团队。
尽管已经有3个扩展被移除,但是它们现在仍然运行在许多用户的浏览器里。
ICEBRG公司已经发布了关于这起事件的有关细节,他们希望用户能尽快检查并将它们移除掉。
目前还不清楚这四种扩展是否都是属于同一类别的,但ICEBRG表示,这四种扩展的策略、技术和程序(TTPs)都有相似之处。
来源:https://www.bleepingcomputer.com/news/security/over-500-000-users-impacted-by-four-malicious-chrome-extensions/
本文由看雪翻译小组 cherrie 编译
一加手机的支付系统被黑客入侵,用户的信用卡信息遭泄露
对一加手机的用户而言,这是2018年的第一则坏消息:在一加手机官方在线商城购买手机后,大量一加手机用户遭遇信用卡交易欺诈。
事情首次浮出水面,是因为周末有一位一加手机用户在一加支持论坛上发帖称,其两张用于在一加官方商城的信用卡遭遇了欺诈。
该用户写道:“在过去6个月,这两张卡就只在一加的网站上买过东西。”
随后大量用户也在一加网站、Twitter和Reddit论坛上发帖,称自己也遇到相似的情况。大量用户成为信用卡诈骗的受害者。
网络安全公司Fidus在发表的一个博文中称问题出在一加网站的在线支付系统,一加的网站的服务器可能已经被黑客入侵。
整个交易过程由一加控制,那也就意味着用户的的支付信息,和所输入的所有关于信用卡的信息都会经过一加的官方网站。在这个过程中,信息可被黑客劫持。
Fidus公司称:当支付信息被发送给第三方信息提供人时,会出现一个窗口,其中的恶意代码会在数据被加密之前将信用卡信息取走。
此外,Fidus公司称他们的结论并不能判定一加的网站已经被黑客攻击,只能说攻击可能来自一加所使用的一个电子支付平台Magento——这是一个黑客攻击经常发生的地方。
事件发生后,一加官方立刻做出回应,称其从未在一加网站上存储任何用户的信用卡信息,所有的支付活动都通过他的PCI-DSS-compliant支付处理伙伴。
只有允许选项“保存该卡信息以用于接下来的交易”的用户,其信用卡信息才会被存在一加官方服务器上,但是这些信息都有令牌机制保护。
此外,一加还称使用其他第三方服务的用户,如PayPal,均没有收到影响。
一加并没有公布更多细节,但确认该官方网站并没有受到Magento漏洞的影响。因为自2014年起,一加便使用了一个套自定义代码,“所有信用卡支付过程都不会用到Magento的支付系统。”
一加宣称将对此事进行深入调查,建议受到影响的用户与银行联系,退回相关款项。
来源:hackernews
本文由看雪翻译小组 哆啦咪 编译
|
|
|---|---|
|
|
RubyMiner恶意软件 -- 针对Linux和Windows服务器
安全研究人员发现一种新的在线部署的恶意软件--RubyMiner(加密货币挖矿机),它被部署在过时的webserver上。 根据Check Point和Certego发布的研究以及Bleeping Computer从Ixia收到的信息,上周发生的攻击事件发生在1月9日至10日。 攻击者针对Linux和Windows服务器Ixia安全研究员Stefan Tanase告诉Bleeping Computer,RubyMiner小组使用名为p0f的网络服务器指纹识别工具来扫描和识别运行过时软件的Linux和Windows服务器。 一旦识别到未打补丁的服务器,攻击者就可以利用已知的漏洞控制服务器,并用RubyMiner感染它们。 Check Point和Ixia表示他们已经看到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) [1] ◍ PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878) [1, 2, 3, 4] ◍ Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [1] RubyMiner的目标包括Windows和Linux系统。 攻击者将恶意代码隐藏在robots.txt文件中在上周发布的一份报告中,Check Point根据从蜜罐服务器收集的数据,在Linux系统上破解了RubyMiner的感染例程。攻击的过程开始展现出来: ▨利用代码包含一系列shell命令 ▨攻击者清除所有的cron(计划任务)作业 ▨攻击者添加一个小时的cron作业 ▨新的cron作业下载在线托管的脚本 ▨该脚本托管在各个域中的robots.txt文件中 ▨该脚本下载并安装合法的XMRig Monero挖矿应用程序的修改版本。 Check Point安全研究员Lotem Finkelstein告诉Bleeping Computer,他们已经看到攻击者针对Windows IIS服务器,但是还不能获得这个恶意软件的Windows版本的副本。 这种攻击也是不可靠的,因为在之前的恶意软件攻击中,也有一个域名攻击者用来隐藏robots.txt文件(lochjol.com)中的恶意命令1,2。 该恶意软件活动也利用了RubyMiner攻击中部署的Ruby on Rails漏洞,这表明与攻击团体现在很可能正在试图传播RubyMiner。 Monero采矿恶意软件的发展趋势日益明显总体而言,近几个月来传播加密货币挖掘恶意软件的趋势有所增加,尤其是Monero挖矿恶意软件。 除去加密劫持事件-也就是Monero挖矿机--在2017年发现的Monero挖矿恶意软件家族和僵尸网络,包括Digmine,一个未命名的僵尸网络,针对WordPress网页,hexmen,Loapi,Zealot,waterminer,一个未命名的僵尸网络针对IIS 6服务器,codefork,和Bondnet。 2018年刚过两周,我们已经发现针对Linux服务器的pycryptominer和另一组针对Oracle WebLogic服务器。 在上面提到的大多数针对Web服务器的事件中,攻击者都试图利用最新的漏洞攻击,这样的话可以提高感染几率。 rubyminer特有的攻击是因为攻击者使用很老的漏洞,其中大多数安全软件能够探测到,并会通知主服务器。 Finkelstein告诉Bleeping Computer,攻击者可能一直在寻找“被遗忘”的机器,比如“被遗忘的个人电脑和旧版操作系统的服务器”,系统管理员忘记他们还在工作。 Finkelstein 说:“成功感染它们将会确保长时间的成功挖矿。” RubyMiner感染了700台服务器根据RubyMiner恶意软件所部署的自定义XMRig矿工中发现的钱包地址,Check Point将受到RubyMiner感染的服务器数量设置在700个左右,并将攻击者的收益估计为540美元。 许多人会认为,如果他们使用最近的漏洞利用而不是十年的漏洞,那么这个团队会赚更多的钱。例如,一个从2017年10月开始针对Oracle WebLogic服务器攻击的组织获利已经高达226,000美元。 有关RubyMiner攻击的更多信息可在Check Point和Certego的报告中找到。 本文由看雪翻译小组 fyb波编译 |
