隐藏在WireLurker苹果恶意软件背后的iOS漏洞”曝光”

就在昨天,有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞,该恶意软件将iOS移动设备作为攻击目标,通过USB连接Mac OS X系统和Windows系统设备进行感染。 这一漏洞被称为”Masque“,它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是,尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备,但就在昨天,来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而,要想通过短信或电邮感染设备,前提条件是攻击者必须要让受害者点击下载恶意应用的链接。 有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞# 从技术上讲,Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用,且不会出现任何通知。从某种程度上看,之所以所存在这一漏洞,很大原因是因为当应用开发商没有向App Store上载应用时,iOS企业无法对给定应用的数字证明进行反复检查,进而也无法确定应用的真实身份。 因此在这样的情况下,iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同,WireLurker可以感染那些没有越狱的设备。 #WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL — Kaspersky Lab (@kaspersky)

就在昨天,有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞,该恶意软件将iOS移动设备作为攻击目标,通过USB连接Mac OS X系统和Windows系统设备进行感染。

这一漏洞被称为”Masque“,它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是,尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备,但就在昨天,来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而,要想通过短信或电邮感染设备,前提条件是攻击者必须要让受害者点击下载恶意应用的链接。

有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞#

从技术上讲,Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用,且不会出现任何通知。从某种程度上看,之所以所存在这一漏洞,很大原因是因为当应用开发商没有向App Store上载应用时,iOS企业无法对给定应用的数字证明进行反复检查,进而也无法确定应用的真实身份。

因此在这样的情况下,iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同,WireLurker可以感染那些没有越狱的设备。

— Kaspersky Lab (@kaspersky) November 6, 2014

FireEye公司表示WireLurker是唯一将Masque漏洞定为目标的互联网攻击,这似乎早已在网络犯罪分子圈中流传开来。但依然还未出现任何解决Masque bug的补丁。为了自身的信誉,苹果方面正在加紧工作,力图使WireLurker恶意软件所利用的证书全部失效。

对于Mac OS X设备的反恶意软件保护需求并未夸大。

就在网络安全公司Palo Alto Networks在上周发布对WireLurker的调查结果后不久,开发该恶意软件的小组随即关闭了他们的业务。然而就在不久以前,该恶意软件在iOS设备上兴风作浪,旨在感染Windows和Mac设备后潜伏下来,直至受感染用户将iPhone手机或iPod连接到自己的个人计算机上。

一旦连接成功,恶意软件随即会自动在已连接的iOS设备上搜索一些的流行应用。如果设备安装了这些应用,WireLurker则会卸载这些应用,随后使用含有木马病毒的伪造应用替换。目前尚不清楚WireLurker最终会搜寻到哪些数据。

只有从中国的麦芽地第三方应用市场下载应用的用户才可能受到WireLurker的影响。Palo Alto研究人员表示已在麦芽地苹果网发现有467款受到感染的OS X应用,截止10月16日,这些应用的总下载量达到35万次,总下载用户数超过10万人。

“对于Mac OS X设备的反恶意软件保护需求并未夸大。”卡巴斯基全球研究与分析团队在一份Securelist报告中解释道。”WireLurker 不仅能感染Mac OS X设备,还展示了病毒感染是如何从你的Mac电脑转移到你的iPhone手机。”好消息是:目前有众多解决方案可解决这一难题,包括我们自己的卡巴斯基安全软件for Mac。”

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

提示