新型 Android 恶意软件利用虚拟化来逃避检测

新型Android恶意软件利用虚拟化来逃避检测FjordPhantom是一种新型Android恶意软件，以虚拟化技术为手段，攻击目标是窃取在线银行账户凭据。通过电子邮件、短信和消息应用传播，主要瞄准印度尼西亚、泰国、越南、新加坡和马来西亚的银行应用。该恶意软件采用开源虚拟化解决方案，在设备上创建虚拟容器，以欺骗用户下载看似合法的银行应用，实际上含有在虚拟环境中运行的恶意代码。其特殊之处在于不修改银行应用本身，使得传统的代码篡改检测无法察觉威胁。专家指出，该恶意软件通过挂钩关键API实施攻击，甚至操纵用户界面元素以保持受害者不知情。该恶意软件的挂钩甚至扩展到日志记录。此虚拟化技巧打破了“Android沙盒”安全概念，增加了FjordPhantom未来扩大攻击范围的风险。参考：来源：Viagoddaneel投稿：@ZaiHuaBot频道：@TestFlightCN

MegaCortex勒索软件受害者现在可以免费恢复被盗文件

MegaCortex勒索软件受害者现在可以免费恢复被盗文件当时，苏黎世检察官的一份声明显示，逮捕行动使调查人员恢复了勒索软件团伙使用的多个私钥，这些私钥可以让受害者恢复以前被LockerGaga或MegaCortex恶意软件加密的数据。BitDefender去年发布了一个针对LockerGoga的解密器。现在，这家网络安全公司本周宣布，现在可以使用免费的MegaCortex解密器。该工具可从Bitdefender和NoMoreRansom的解密工具门户下载，该门户有136个免费工具，适用于165个勒索软件变种，包括Babuk、DarkSide、Gandcrab和REvil：https://www.nomoreransom.org/en/decryption-tools.htmlMegaCortex估计已经感染了全球超过1800家公司，包括一些"高知名度"的目标，尽管这个数字可能要高得多。这家网络安全公司说，它在2021年9月发布的Sodinokibi解密器帮助受害者节省了8亿多美元的未付赎金，它预计MegaCortex工具也会有类似效果。MegaCortex首次出现在2019年5月，当时它开始针对已经感染了Emotet和Qakbot等恶意软件的网络，这些恶意软件通常用于窃取数据，但也传递赎金软件的载荷。当年晚些时候，MegaCortex运营商成为第一批从事双重勒索战术的人，他们渗透攻击受害者的敏感数据并对其进行加密。然后，勒索软件行为者威胁要释放被盗数据，除非支付赎金，据说赎金数额从大约2万美元到高达580万美元不等。...PC版：https://www.cnbeta.com.tw/articles/soft/1337933.htm手机版：https://m.cnbeta.com.tw/view/1337933.htm

【MegaCortex 勒索软件受害者现在可以免费恢复被盗文件】

【MegaCortex勒索软件受害者现在可以免费恢复被盗文件】由于新文件解密器的发布，MegaCortex勒索软件的受害者现在可以免费恢复他们的加密文件。免费解密器由网络安全公司Bitdefender和欧盟的NoMoreRansom倡议与苏黎世州警察局、苏黎世检察官办公室和欧洲刑警组织合作构建，欧洲刑警组织在9月宣布逮捕了12名与Dharma、LockerGoga和MegaCortex勒索软件家族。当时，苏黎世检察官的一份声明透露，逮捕行动使调查人员能够恢复勒索软件团伙使用的多个私钥，这些私钥可以让受害者恢复以前用LockerGaga或MegaCortex恶意软件加密的数据。BitDefender去年发布了LockerGoga的解密器。

赎金软件受害者更倾向拒绝付款 使攻击者的获利下降

赎金软件受害者更倾向拒绝付款使攻击者的获利下降该公司指出，其钱包数据并没有提供对勒索软件的全面研究；它不得不为这份报告将2021年的总额从602美元上调。但Chainalysis的数据表明，自其大流行的高峰期以来，支付赎金的行为已经大幅下降。Chainalysis来自勒索软件钱包的数据表明，去年支付给攻击者的款项明显减少--尽管攻击的数量可能没有如此明显地减少。攻击者在恶意软件之间的转换速度更快，更多已知的攻击者将其资金保存在主流加密货币交易所，而不是在赎金软件繁荣时期更受欢迎的非法和资金混合的目的地。这可能看起来是进入成本较高的成熟市场的一个标志。但Chainalysis认为，这比典型的经济现象更有意义。较小的攻击者经常在不同的勒索软件即服务（RaaS）供应商之间切换，对目标进行各种A/B测试。而特定的恶意软件毒株给赎金谈判带来了不同的风险因素。当Conti，一个主要的勒索软件品系被发现与克里姆林宫和俄罗斯联邦安全局（FSB）进行协调时，受害者有另一个理由，容易引发政府追究甚至制裁而不支付。游戏《赛博朋克2077》和《巫师》的制造商CDProjektRed就是典型的持这种论调的坚持者。Conti的领导层随后分裂，并最终在其他一些勒索软件集团内部工作。因此，虽然勒索软件可能看起来像一个有成千上万参与者的巨大市场，但它仍然是一个小的、可追踪的核心行为者群体，可以被监控。网络安全分析公司Coveware也看到了类似的趋势，报告称，受害者的支付率从2019年第一季度的85%下降到2022年第四季度的37%。该公司将此归功于对安全和响应计划的投资，执法部门在追回资金和逮捕行为人方面的改进，以及付款减少将勒索软件攻击者挤出市场的复合效应。大多数情况与Chainalysis的报告一致，但Coveware有几个令人惊讶的统计数据。2022年最后一个季度，赎金的平均和中位数都比前一个季度大幅上升。勒索软件受害者的中位数也在上升，特别是在2022年的最后半年飙升到创纪录的水平。Coveware认为这是对攻击者不付款的另一个结果。以大公司为目标，可以提出更大的预付要求，更多的公司正试图重新勒索受害者--这在以前只有针对小公司的小公司才会这么做。"RaaS集团比他们的前辈更不在乎维护他们的声誉，"Coveware的帖子解释说。"勒索软件的行为者首先是受经济驱动，当经济形势足够严峻时，他们会屈服于欺骗和欺诈的水平，以挽回他们的损失。"...PC版：https://www.cnbeta.com.tw/articles/soft/1341551.htm手机版：https://m.cnbeta.com.tw/view/1341551.htm

安全研究人员发现了一种完全由JavaScript编写的新型勒索软件，使用CryptoJS库去加密受害者电脑上的文件。

安全研究人员发现了一种完全由JavaScript编写的新型勒索软件，使用CryptoJS库去加密受害者电脑上的文件。被称为RAA的勒索软件主要通过电子邮件附件的形式传播，打开附件后受害者只看到一个受损的文件，但其实勒索软件在背后做了很多活，其中包括删除WindowsVolumeShadowCopy防止加密后恢复，以及开机启动，下载额外的恶意程序。目前还没有办法解密文件，安全研究人员建议不要打开附件。http://www.scmagazine.com/new-raa-ransomware-written-in-javascript-discovered/article/504029/

Mac用户成为新型恶意软件变种的目标

RustBucket是一种针对Mac用户的相对较新的恶意软件。它是朝鲜的一个高级持续性威胁（APT）组织BlueNoroff的作品，该组织是该国著名的网络犯罪企业LazarusGroup的一个分支。周二，苹果的安全专家在JamfThreatLabs透露了一种他们认为是来自BlueNoroff的新的后期macOS恶意软件变种的详细信息，该变种与RustBucket密切相关。后期指的是在初始感染发生后，通常涉及数据外泄、建立持久性或在网络内进行横向移动。根据Jamf的说法，BlueNoroff经常以投资者或公司猎头的身份接触潜在受害者。RustBucket通过各种技术来攻击目标，例如钓鱼邮件、恶意网站和驻留下载。一旦被感染，恶意软件会与命令和控制（C2）服务器通信，下载并执行各种有效载荷。然而，最难以捉摸的是它能够完全逃过像VirusTotal这样的杀毒软件扫描器的检测。标签:#Apple#Mac频道:@GodlyNews1投稿:@GodlyNewsBot