研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。
云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 365和Google Workspace账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。
研究人员说,到目前为止,攻击者发送的邮件数量已经达到了27,660个,该攻击活动通知受害者有一个来自WhatsApp聊天应用程序的 “新的私人语音邮件”,并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。
Armorblox研究人员在帖子中写道,这种攻击采用了一系列的技术,并且成功避开了传统的电子邮件安全软件,成功打消了用户的所有顾虑。
攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造WhatsApp合法品牌,利用合法的域名来发送电子邮件。
它是如何运作的
在此次攻击活动中,受害者会收到一封标题为 “新来的语音信息” 的电子邮件,其中的电子邮件正文标题也和该标题一样。邮件正文还伪造了一条来自WhatsApp的安全信息,并告诉受害者他或她收到了一个新的私人语音邮件,其中还包括了一个 “播放” 按钮,据称他们可以收听该信息。
他们说,电子邮件发件人的域名是”mailman.cbddmo.ru”,Amorblox的研究人员将其链接到了莫斯科地区道路安全中心的网页上,这是一个合法的网站,这样可以使得电子邮件能够通过微软和谷歌的认证检查。然而,他们也承认,攻击者也有可能利用了这个组织的废弃的或旧的域名来发送恶意邮件。
根据该帖子,如果收件人点击了电子邮件的 “播放 “链接,他或她就会被重定向到一个试图安装JS/Kryptik木马的页面,该HTML页面中嵌入了恶意的经过混淆的javaScript代码,并将浏览器重定向到一个恶意的URL。
一旦受害者进入了恶意的页面,就会有确认受害者不是机器人的验证组件。然后,如果受害者在页面弹出的通知上点击了 “允许”,浏览器广告服务就会将恶意的有效载荷安装到Windows上,并使其能够绕过用户账户控制。
一旦恶意软件被安装,它就可以窃取敏感信息,比如存储在浏览器内的凭证。
以毫无戒心的消费者为攻击目标
一位安全专家指出,虽然此次活动的攻击重点似乎只是消费者而非企业,但如果受害者被攻击并安装了恶意软件,它也可能会对企业的网络构成威胁。
基于加密的数据安全解决方案公司Sotero的安全专家在给媒体的一封电子邮件中写道,这些技术的复杂性和精密性使得普通的消费者很难发现这些恶意的攻击企图。你有可能只是看到了一条信息,一旦通过该链接下载了恶意软件并同时进行激活,他们可能就会对商业信息进行窃取。
另一位安全专家也指出,针对消费者进行攻击是网络犯罪分子常用的招数,因为人们似乎对电子通信比现实生活中的通信更容易放松警惕。安全公司KnowBe4的安全研究人员在给媒体的电子邮件中写道,如果普通人非常熟悉那些声称是信息发送的媒体平台,他们往往会上当受骗。
他说,当人们在生活中看到一件事情时,大多数人都会看出有人在试图欺骗他们,他举了一个例子,比如说在纽约市的街头商人试图向路人推销假的名牌手表或手提包。大多数人都会知道它们是假的,然后继续走开。
然而,许多人可能不会发现一封声称是来自流行的应用程序或其他社交媒体平台的语音邮件是进行诈骗的,并且还会按照邮件上的指使来做。
安全专家认为,现在的用户普遍会使用电子邮件进行通信,我们不仅要在组织内部进行安全教育,还需要对每个人进行更多的安全教育,这样才能发现和识别更多的社会工程学骗局。
本文翻译自:
有个进程叫conime.exe是什么进程啊??
- - 进程信息进程文件: conime 或者 进程名称: conime描述是输入法编辑器相关程序。 注意同时可能是一个bfghost1.0远程控制后门程序。 此程序允许攻击者访问你的计算机,窃取密码和个人数据。 建议立即删除此进程。 出品者: 微软属于: Microsoft系统进程: 否后台程序: 否使用网络: 否硬件相关: 否常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 4间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 进程说明是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号! 同时可能是一个bfghost1.0远程控制后门程序。 此程序允许攻击者访问你的计算机,窃取密码和个人数据。 建议立即删除此进程。 ”以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行之后会出现。 但是并不是的子进程,它的的父进程ID并没有在任务管理器中显示。 conime经常会被病毒利用感染,建议删除。 可以用冰遁或手动删除(删除前要结束进程)
怎么杀啊。。。木马:Trojan.Generic |。。
,计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。 病毒在电脑的后台运行,并发送给病毒制造者。 这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。 杀不死?跟我做:1、关闭系统还原;2、升级杀毒软件;3、重启按动F8,进入安全模式;4、打开杀毒软件,全盘查杀病毒;结束后,正常重启,就好了。
任务管理器里的各个进程是什么意思??
是任务管理器进程,当你打开任务管理器时创建。 是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。 微软Windows操作系统自带的程序。 它用于处理微软Windows网络连接共享和网络连接防火墙。 这个程序对你系统的正常运行是非常重要的。 是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。 删除该程序会导致Windows图形界面无法适用。 注意也有可能是和.b@mm病毒。 该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。 该病毒会在受害者机器上建立SMTP服务。 该病毒允许攻击者访问你的计算机、窃取密码和个人数据。 该进程的安全等级是建议删除。 <是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序,属于QQ 2004不可或缺的底层核心模块。 但个人感觉可以关闭掉是Microsoft Internet Explorer的主程序。 就是上网的浏览器。 是一个系统进程,用于微软Windows系统的安全机制。 它用于本地安全和登陆策略。 注意也有可能是、.b、Webus.B、MyDoom.L、、创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。 是微软Windows操作系统的一部分。 用于管理启动和停止服务。 该进程也会处理在计算机启动和关机时运行的服务。 这个程序对你系统的正常运行是非常重要的。 注意:services也可能是.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。 该木马允许攻击者访问你的计算机,窃取密码和个人数据。 该进程的安全等级是建议立即删除。 是微软客户端/服务端运行时子系统。 该进程管理Windows图形相关任务。 这个程序对你系统的正常运行是非常重要的。 注意也有可能是@mm、 Trojan、.a等病毒创建的。 该病毒通过Email邮件进行传播,当你打开附件时,即被感染。 该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。 该病毒允许攻击者访问你的计算机,窃取木马和个人数据。 这个进程的安全等级是建议立即进行删除。 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。 提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。 输入法需要使用是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。 如果此服务被停用,本地计算机上的打印将不可用。 该进程属 Windows 系统服务。 如果不使用打印机,推荐关闭这个服务,关闭方法:打开控制面板--管理工具--服务,找到Print Spooler服务,将其设为手动并停止,以后开机就不会启动了。 这个方法可以也用在其他服务上。 说到这里,总结一下,如果不使用打印机,把Print Spooler关闭,其他的可以保留,特别是那几个系统进程,不推荐关闭。 另外,如果想省内存,可以把控制面板--管理工具--服务里面不需要的服务给关闭掉,至于哪些需要关闭,可以自己查查相关资料
发表评论