首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 外文翻译
    3. 发新帖
[资讯](12.1)Imgur 确认 2014 年时泄露了 170 万的用户数据;近期出现新型 Windows 故障诊断骗局
发表于: 2017-12-1 09:57 3818

[资讯](12.1)Imgur 确认 2014 年时泄露了 170 万的用户数据;近期出现新型 Windows 故障诊断骗局

CCkicker 活跃值
2017-12-1 09:57
3818

Imgur 确认 2014 年时泄露了 170 万的用户数据

0.jpg

 

上周知名图片分享社区 Imgur 表示,他们也成了数据泄露的受害者,在 2014 年时曾有 170 万的用户信息被攻击者窃取。该公司目前已发表公告并通过 email 提醒用户应立即更改密码。

 

按照 Imgur 首席运营官 Roy Sehgal 的说法,11 月 23 日下午,一位经常处理数据泄露问题的安全研究人员向 Imgur 发送了一封 email,所给数据中包括了 Imgur 的用户信息。

 

同时 Sehgal 表示,被盗用的帐户信息只包含 email 地址和密码,Imgur 从来没有要求用户提供真实姓名、住址、电话号码等其它个人身份信息。

 

1.JPG

 

Sehgal 补充道:“虽然他不便透露 Imgur 的用户数量,但 170 万确实仅占现有用户总数的一小部分。”

 

“Imgur 存储的密码都是加密过的,但在泄露数据时使用的是较早的 SHA-256 算法,因此存在被暴力破解的风险。” Sehgal 解释。“2014 年后,Imgur 就已经更新了加密用户个人信息的算法,现在使用的是基于 Blowfish 的 Bcrypt 加密方式。”

 

当然,这只是今年一系列数据泄露事件中最新的一起。9 月份时,Equifax 就披露了影响 1.43 亿美国用户的数据泄露事件。而不久前 Uber 也表示,该公司在 2016 年时曾泄露了 5700 万的用户数据信息,但与 Imgur 不同,Uber 因没有及时公开泄露事件而饱受批评。

 

原文链接:ea1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9s2u0W2j5i4c8H3L8%4y4@1i4K6u0W2j5$3!0E0i4K6u0r3K9h3#2Y4N6i4u0Q4x3X3c8U0L8$3&6X3K9i4u0E0M7#2)9J5k6o6t1H3x3e0c8Q4x3X3c8T1M7X3g2S2j5$3S2Q4x3X3c8G2k6W2)9J5k6o6q4Q4x3X3b7%4i4K6u0V1L8h3W2D9L8r3W2G2L8W2)9J5k6s2g2K6k6i4u0Q4x3X3c8S2j5$3y4G2N6h3&6@1M7#2)9J5c8U0p5J5z5e0l9H3y4W2)9J5c8R3`.`.

 

本文由看雪翻译小组 BDomne 编译

近期出现新型 Windows 故障诊断骗局

近期发现一个新型客服支持式骗局,被感染的电脑会出现蓝屏,并显示一个Windows疑难解答窗口,提示该电脑已无法使用且无法修复。然后提醒用户使用PayPal购买一个程序来修复“已检测到的问题”,并解锁屏幕。

 

 

windows 疑难解答窗口

 

安全研究员Pieter Arntz发现这个骗局实为一个破解软件安全程序,会上传屏幕截图、不依赖人工调用所列数字、使用PayPal付款。

 

破解软件安装程序运行时,会自动从hitechnovation.com网站下载可执行文件并保存在不同的文件夹。然后将其中一个文件配置为Windows service,并自动启动,更改注册表项,禁用多个快捷键。

 

下载文件如下:

 

csrvc.exe:该文件被下载至%Temp%\csrvc,配置为Widows service。用来禁用任务管理器、注册表编辑器、可执行文件。

 

BSOD.exe:该文件被下载至%Temp%\csrvc文件夹,用来显示冒牌蓝屏。

 

Troubleshoot.exe:该文件被下载至%Temp%\csrvc文件夹,用来显示windows疑难解答窗口。

 

Scshtrv.exe:该文件被下载至%Temp%\csrvc文件夹,用来将图片上传至远程FTP站点。

 

adwizz.exe:该文件被下载至C:\Program Files\adwizz文件夹,用来显示banggood.com网站的广告窗口。

 

文件下载之后,BSOD.exe程序会立即启动并在电脑桌面上显示蓝屏,并声称system32.dll文件已损坏,然后电脑将会不停的发出哔哔声。

 

随后Troubleshoot.exe 启动,显示一个冒牌windows 疑难解答窗口,并称该电脑.dll registry files丢失,并提示用户解决这个问题。

 

点击下一步,会假装在扫描电脑,然后称无法解决检测到的问题。

 

这时候系统会提示用户联系内置聊天程序寻求帮助,或者使用PayPay购买“Windows Defender Essentials”。

 

内置实时聊天窗口,没有应答。而点击“Windows Defender Essentials”选项会出现一个PayPay购买页面,收费25美元。钱款会通过一个链接,打进lillysoft.it@gmail.com的PayPal账户中。

 

URL:

0f4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2H3j5i4W2H3j5h3I4Q4x3X3g2U0L8$3#2Q4x3V1k6U0k6$3W2Q4x3X3c8T1K9h3&6Q4x3V1k6%4k6h3u0K6j5%4u0Q4x3@1k6U0L8h3c8Q4x3@1c8Q4y4h3k6K6i4K6u0V1P5r3y4D9K9h3y4C8i4K6t1$3j5h3#2H3i4K6y4n7K9r3!0K6N6r3g2V1i4K6g2X3j5Y4g2@1N6r3!0F1i4K6g2X3K9h3c8Q4x3@1c8p5h3p5E0x3c8f1#2K9g2p5N6f1g2p5c8k6

 

用户支付成功后,会看到0ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2S2L8X3E0&6L8%4g2Q4x3X3g2@1P5s2c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5y4Q4z5o6g2Q4c8e0g2Q4z5e0m8Q4b7f1u0Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0g2Q4b7f1c8Q4z5e0N6Q4c8e0N6Q4b7f1y4Q4b7e0k6Q4c8e0c8Q4b7U0S2Q4b7U0u0Q4c8e0u0Q4z5o6m8Q4z5f1y4@1K9r3q4F1K9%4g2Z5K9i4c8W2j5$3S2F1L8%4k6S2N6r3W2G2L8W2!0q4x3W2)9^5x3q4)9&6c8q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8W2!0q4y4W2!0m8x3#2)9^5x3q4!0q4y4W2!0n7y4g2)9^5b7W2!0q4y4g2)9^5z5q4!0n7x3q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4g2!0m8c8q4)9&6y4#2!0q4y4#2!0m8b7#2!0m8y4W2!0q4y4g2)9&6x3q4)9^5c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7#2)9&6b7g2!0q4y4W2)9^5z5g2)9&6x3#2!0q4y4g2!0n7b7#2)9^5x3q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4#2!0m8b7g2)9&6y4#2!0q4y4g2)9^5c8W2!0m8x3#2!0q4y4g2)9^5x3g2)9^5y4#2!0q4z5q4!0m8x3#2)9^5y4g2!0q4y4g2!0n7y4#2!0n7x3W2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4g2!0n7c8q4!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7b7g2)9&6b7W2!0q4z5g2)9&6y4#2!0m8c8g2!0q4z5g2!0m8x3W2)9&6z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0n7z5g2!0n7y4W2!0q4y4g2)9^5y4g2)9^5x3g2!0q4z5q4!0m8c8g2!0n7z5q4!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4g2)9^5y4g2!0n7x3#2!0q4y4W2)9^5c8g2)9^5z5g2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

 

这很明显是一个屏幕锁,专门为诱骗用户支付25美元,修好所谓的“问题”,然后再移除该程序。虽然使用PayPay支付有点奇怪,因为这样很容易溯源到该软件的开发者。

那如何移除冒牌Windows疑难解答窗口呢?

为了确认用户已通过PayPay付款,这个骗局会查看含有字符串 "thankuhitechnovation"是否被打开。如果打开了,即显示问题已解决,用户即可关闭该程序。

 

在这个过程中,用户如果成功付款,该程序会引导用户去另一个有他们控制的页面,这个页面包含有上述提到过的字符串,引发关闭程序。

 

这个表格仅仅是嵌入进一个web 浏览器,我们可以利用这一点,把它导到任意一个含有该字符串的网页,即可关闭该程序。

 

具体该怎么做呢?

 

进行到PayPal购买界面的时候,只需按Ctrl+O,打开一个对话窗口并输入想要打开的网址,如“ffaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2S2L8X3E0&6L8%4g2Q4x3X3g2@1P5s2c8Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0k6Q4c8e0c8Q4b7V1u0Q4b7V1u0Q4c8e0c8Q4b7V1c8Q4z5e0g2Q4c8e0g2Q4z5p5y4Q4z5o6g2Q4c8e0g2Q4z5e0m8Q4b7f1u0Q4c8e0u0Q4z5o6m8Q4z5f1y4@1K9r3q4F1K9%4g2Z5K9i4c8W2j5$3S2F1L8%4k6S2N6r3W2G2L8W2!0q4x3W2)9^5x3q4)9&6c8q4!0q4y4g2!0m8c8q4)9&6y4#2!0q4y4#2!0m8b7#2!0m8y4W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4y4g2)9^5c8q4!0n7x3#2!0q4y4g2)9^5c8W2!0m8c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8W2!0q4y4g2!0n7x3q4!0n7x3g2!0q4y4q4!0n7b7#2)9&6b7g2!0q4z5q4!0m8c8g2!0m8y4q4!0q4y4q4!0n7z5q4!0n7b7g2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4g2!0n7y4#2!0n7x3W2!0q4y4W2)9&6y4q4!0m8c8W2!0q4y4q4!0n7b7W2)9&6z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0n7z5g2!0n7y4W2!0q4z5q4)9^5y4#2!0m8b7g2!0q4y4g2)9^5b7g2!0m8z5q4!0q4y4g2)9^5y4g2!0n7x3#2!0q4z5g2)9&6y4#2!0m8c8q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4g2)9&6b7W2!0n7c8g2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

 

此外,改程序还会实时上传用户屏幕截图,并使用硬编码证书将图片上传至182.50.132.48 FTP服务器。

 

暂时不知道截图的用处,但可能会被用来勒索、身份盗用或检测安全研究员。

 

IOCs:

 

哈希值:

adwizz.exe: 5becf86e5ad1703345fa243458f6a3b6189619f87e67ffab6bc874d6bdf7c03f
BSOD.exe: 9a95f7e477cede36981a6a1e01a849d9c6aeac3985ee3a492cf4136bb6dab69c
csrvc.exe: 1b1e48f2ee9940c1965c00ee1226fd7c3b9ee9c179ba29b9aeb586c6211cb223
scshtrv.exe: 0cc8ad791dc4061ce1f492d651ed2a9baeed02413c5940240bf47bb023f509ef
Troubleshoot.exe: f34185d5124690815f089b06cc1629a3d1a42cd7d51aee602823c98e03116a98

网络连接:

cb1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8i4S2@1M7X3q4Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6n7f1@1!0p5i4K6u0W2k6i4S2W2
41eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8i4S2@1M7X3q4Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6U0M7%4u0$3j5#2)9J5k6h3g2^5k6b7`.`.
373K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8i4S2@1M7X3q4Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6S2k6s2N6A6P5Y4A6Q4x3X3g2W2P5r3f1`.
18cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8i4S2@1M7X3q4Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6f1M7X3!0#2j5X3I4W2M7$3S2G2L8%4c8Q4x3X3g2W2P5r3f1`.
7aeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3k6i4S2@1M7X3q4Q4x3V1k6V1L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6K6j5%4y4Z5N6s2u0$3i4K6u0W2k6i4S2W2
d4fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8i4S2@1M7X3q4Q4x3V1k6p5L8%4N6F1L8r3!0S2k6s2y4Q4x3V1k6i4K9h3&6V1L8%4N6K6i4K6t1#2x3U0m8o6K9r3q4@1i4K6t1#2x3U0m8e0N6i4m8H3L8%4u0@1i4K6u0W2k6i4S2W2
d82K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2S2L8X3E0&6L8%4g2Q4x3X3g2@1P5s2b7`.
597K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6N6r3g2U0K9r3&6G2N6X3q4@1K9h3!0F1i4K6u0W2j5$3!0E0i4K6u0r3c8r3!0%4L8X3I4G2j5h3c8K6i4K6u0r3c8p5I4A6M7%4c8Q4x3X3g2@1P5s2b7`.
017K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6J5k6h3g2Y4k6h3!0A6M7q4)9J5k6h3&6W2N6q4)9J5c8Y4S2E0L8l9`.`.
ftp://182.50.132.48

相关文件:

%Temp%\csrvc\BSOD.exe
%Temp%\csrvc\csrvc.exe
%Temp%\csrvc\csrvc.InstallLog
%Temp%\csrvc\csrvc.InstallState
%Temp%\csrvc\scshtrv.exe
%Temp%\csrvc\Troubleshoot.exe
C:\Program Files\adwizz\adwizz.exe

相关注册表项:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adwizz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\csrvc
HKLM\SYSTEM\CurrentControlSet\services\csrvc

来源:636K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3k6X3q4C8k6g2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3c8@1M7X3!0#2j5X3I4W2M7$3S2G2L8%4c8A6L8X3N6Q4x3X3c8K6N6i4m8H3L8%4u0@1i4K6u0V1M7$3y4S2L8g2)9J5k6s2g2H3L8r3!0S2k6s2y4Q4x3X3c8K6j5%4u0W2k6h3&6K6K9r3!0@1M7#2)9J5k6r3q4F1k6q4)9J5k6s2g2K6k6i4y4Q4x3X3c8H3j5i4W2H3j5h3I4Q4x3V1j5`.
本文由看雪翻译小组 哆啦咪 编译


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
fyb波
雪    币: 3302
活跃值: (1143)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
2

用户关闭浏览器后,Cryptojacking脚本仍在运行

至少一个网站的管理员已经发现,即使在用户关闭了主浏览器窗口之后,通过隐藏在用户的Windows任务栏下的小窗口,仍可发现继续运行在浏览器内的挖矿脚本。

 

Malwarebytes研究人员杰罗姆·塞古拉(Jerome Segura)发现,不法分子利用一种被称为弹出式(pop-under)的手段,这样能够产生一个独立于主浏览器的新窗口。

网站运营商将新窗口隐藏在Windows任务栏下

网站所有者还能通过JavaScript代码在用户电脑上调整窗口的大小和位置。

 

塞古拉(一个门户网站)使用下面的公式动态计算这个新窗口的位置:

水平位置=(当前屏幕宽度) - 100px
垂直位置=(当前屏幕高度) - 40px

对于大多数用户来说,这只会在Windows任务栏下显示一个小窗口。然后,这个隐藏的窗口就会加载一段JavaScript代码。这段代码是Coinhive 内置在浏览器中的一个挖矿脚本,它可以利用用户的CPU资源来挖掘Monero加密货币。

新窗口难找,但容易关闭

如果用户的操作系统界面使用了透明度接口的话,就只有在Windows任务管理器中才能找到该进程。此外,脚本与其他大多数挖矿程序不同,它没有利用用户的全部CPU功率,而是将其活动限制在一个较低的值,期望不会使用户计算机变得卡顿。

 

根据Segura的说法,如果用户发现哪里不对劲的话,他们可以使用Windows任务管理器来强制终止与此窗口相关联的流氓浏览器进程,或者调整Windows任务栏的大小并强制显示该窗口。

 

 

某网站上发现该攻击方法

在写这篇文章的时候,这种技术似乎只适用于Chrome浏览器,并且在一个色情网站上发现了这种手法。

 

Malwarebytes在本月早些时候发布的一份报告中表示,他们的安全产品每天阻止800万次的加密服务请求,并且大多数安全产品和浏览器广告拦截插件都能屏蔽到内置于浏览器中的挖矿机。

 

自9月中旬Coinhive出现了相关服务以来,Bleeping Computer 已经发现很多这种类型的攻击事件

 

而早在2010年初,当比特币矿业刚刚开始盈利时,美国当局就介入关闭了一项名为Tidbit的类似服务:

        内置于浏览器中的(比特币)挖矿服务被美国当局关闭:[f0eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1i4K6u0W2j5$3!0Q4x3V1j5@1g2$3c8T1f1X3&6t1M7$3#2^5i4K6g2p5i4K6t1^5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1i4K6u0W2j5$3!0Q4x3V1j5@1g2$3c8T1f1X3&6t1M7$3#2^5i4K6t1&6

来源:bleepingcomputer

 

本文由看雪翻译小组 fyb波编译

2017-12-1 16:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回