据Bleeping Computer 9月12日消息,网络黑客正利用新型浏览器网络钓鱼技术——Browser In The Bopwser(BITB),在游戏平台Steam窃取用户账户。
BITB是一种正逐步流行的攻击手法,主要是在活动窗口中创建伪造的登录页面,通常为用户所要登录服务的弹出页。
今年3月,Bleeping Computer 曾报道过由安全研究员mr.d0x创建的这种新网络钓鱼工具包,该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。
9月12日,由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程,并出售这些账户的访问权限。这些目标账户通常价值不菲,大多在 100000 美元到 300000 美元之间。
以锦标赛为诱饵
钓鱼的第一步,是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请,受害者若点击邀请中的链接,就会被带往一个赞助和举办电子竞技比赛组织的网站,该网站实质上是一个钓鱼站点,受害者会被要求使用Steam账号登录加入团队,但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口,而是在当前页面中创建的虚假窗口,因此很难将其识别为网络钓鱼攻击。
显示为游戏锦标赛平台的钓鱼页面
钓鱼登录页面甚至支持27个国家的语言,能自动从受害者的浏览器偏好中检测语言设置并加载相应的语言。一旦受害者输入他们的Steam账户凭证,一个新产生的表单会提示输入 2FA 代码,如果身份验证成功,用户将被重定向到 C2 指定的 URL,通常会是一个合法地址,以最大限度地减少受害者意识到这是网络钓鱼的可能性。
此时,受害者的凭证已被盗并已发送给攻击者。在类似的攻击中,攻击者为尽快控制窃取的 Steam 帐户,会立即更改密码和电子邮件地址,使受害者很难重新索回账户。
如何发现BITB攻击?
在所有BITB网络钓鱼案例中,网络钓鱼窗口中的 URL 都是合法的,其本质是一个渲染窗口,而非浏览器窗口。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭,因此很难将其识别为这是一个在浏览器中生成的虚假浏览器窗口。
由于该技术需要 JavaScript,因此阻止 JS 脚本是有效的预防措施之一,但这一操作有时会妨碍许多正常网站的一些功能。最主要的是应当警惕在Steam等平台上收到的陌生消息,避免点击未知的链接。
如何进行ARP攻击?
ARP定义ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。 遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。 比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。 如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS- DOS窗口下运行命令arp -d后,又可恢复上网。 ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。 该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。 如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 ARP攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 工具可以用 网络执法管 。 其他你就自行研究吧。
dog.exe是什么进程?
木马程序.
截获时间:2009-09-30
该文件为木马程序!建议立即使用贝壳木马专杀工具进行清除!
(.)是一款木马程序。 木马程序是指潜伏在电脑中,受外部用户控制以窃取本机信息或者控制权的程序。
木马程序的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向黑客泄露用户的信息,而黑客工具则有一个可视的界面,能对用户的电脑进行远程控制。木马程序、黑客工具往往是成对出现的,即木马程序负责侵入用户的电脑,而黑客工具则会通过该木马程序来进行控制。其中以灰鸽子最为出名什么病毒的危害性最大
一、ANI病毒病毒名称病毒中文名:ANI病毒病毒类型:蠕虫危险级别:★★影响平台:Windows 2000/XP/2003/Vista描述: 以.b为例,“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。 “ANI毒”变种b运行后,自我复制到系统目录下。 修改注册表,实现开机自启动。 感染正常的可执行文件和本地网页文件,并下载大量木马程序。 感染本地磁盘和网络共享目录下的多种类型的网页文件(包括*,*,*,*,*,*),植入利用ANI文件处理漏洞的恶意代码。 自我复制到各逻辑盘根目录下,并创建自动播放配置文件。 双击盘符即可激活病毒,造成再次感染。 修改hosts文件,屏蔽多个网址,这些网址大多是以前用来传播其它病毒的站点。 另外,“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。 二、U盘寄生虫病毒名称:Checker/Autorun病毒中文名:U盘寄生虫病毒类型:蠕虫危险级别:★★影响平台:Win 9X/ME/NT/2000/XP/2003描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。 “U盘寄生虫”是针对这样的自动播放文件的蠕虫病毒。 文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。 三、熊猫烧香病毒名称:Worm/Viking病毒中文名:熊猫烧香病毒类型:蠕虫危险级别:★★★影响平台:Win 9X/ME/NT/2000/XP/2003描述:以Worm/“威金”变种qo(熊猫烧香脚本病毒)为例,该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页,该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架,框架内包含恶意网址引用 ,这样,当用户打开该网页之后,如果IE浏览器没有打上补丁,IE就会自动下载并且执行恶意网址中的病毒体,此时用户电脑就会成为一个新的病毒传播源,进而感染局域网中的其他用户计算机。 四、“ARP”类病毒病毒名称:“ARP”类病毒病毒中文名:“ARP”类病毒病毒类型:木马危险级别:★★★影响平台:Win 9X/ME/NT/2000/XP/2003描述:通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 五、代理木马病毒名称:Trojan/Agent病毒中文名:代理木马病毒类型:广告程序危险级别:★★影响平台:Win 9X/ME/NT/2000/XP/2003描述:以“代理木马”变种crd为例, Trojan/是一个盗取用户机密信息的木马程序。 “代理木马”变种crd运行后,自我复制到系统目录下,文件名随机生成。 修改注册表,实现开机自启。 从指定站点下载其它木马,侦听黑客指令,盗取用户机密信息。 六、网游大盗病毒名称:Trojan/病毒中文名:网游大盗病毒类型:木马危险级别:★影响平台:Win 9X/ME/NT/2000/XP/2003描述:以Trojan/为例,“网游大盗”变种hvs是一个木马程序,专门盗取网络游戏玩家的帐号、密码、装备等。 七、鞋匠病毒名称:Adware/Clicker病毒中文名:鞋匠病毒类型:广告程序危险级别:★影响平台:Win 9X/ME/NT/2000/XP/2003描述:以Adware/为例,“鞋匠”变种je是一个广告程序,可弹出大量广告信息,并在被感染计算机上下载其它病毒。 “鞋匠”变种je运行后,在Windows目录下创建病毒文件。 修改注册表,实现开机自启。 自我注册为服务,服务的名称随机生成。 侦听黑客指令,连接指定站点,弹出大量广告条幅,用户一旦点击带毒广告,立即在用户计算机上安装其它病毒。 八、广告泡泡病毒名称:Adware/Boran病毒中文名:广告泡泡病毒类型:广告程序危险级别:★★影响平台:Win 9X/ME/NT/2000/XP/2003描述:以 Adware/Boran.e为例,“广告泡泡”变种e是一个广告程序,采用RootKit等底层技术编写,一旦安装,很难卸载彻底。 该程序会在C:\Program Files\MMSAssist下释放出病毒文件。 在后台定时弹出广告窗口,占用系统资源,干扰用户操作。 九、埃德罗病毒名称:TrojanDownloader病毒中文名:埃德罗病毒类型:广告程序危险级别:★影响平台:Win 2000/XP/2003描述: Adware/“埃德罗”变种ad是一个广告程序,在被感染计算机上强制安装广告。 十、IstBar脚本病毒名称病毒中文名:IstBar脚本病毒类型:木马下载器危险级别:★★影响平台:Win 9X/ME/NT/2000/XP/2003描述.t“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。 “IstBar脚本”变种t运行后,在用户的计算机中强行安装IstBar工具条,造成用户系统变慢,自动弹出广告,强行锁定用户的IE首页等等。
发表评论