无人察觉：窃取密码的 Linux 木马已偷偷下载 3 年

安全研究人员报告，一个下载网站间隔性地向 Linux 用户提供恶意软件，盗取密码和其他敏感信息长达三年多，直到最后销声匿迹。该网站提供了一个名为 “免费下载管理器“ 的 Linux 软件。从 2020 年开始，该网站有时会将用户重定向到另外一个恶意域名，提供该应用的恶意版本，它会在目标设备上安装后门。该后门会窃取包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及云服务凭证等信息。这个恶意重定向于 2022 年结束，原因不明。

消息来源：Ars Technica

老王点评：与 Windows 相比，Linux 恶意软件很少被发现，这往往让人们更加掉以轻心，现在检查一下你的 Linux 桌面，或许为时不晚。

谷歌称它的搜索引擎是最好的

在周二开庭的谷歌反垄断诉讼案上，司法部和来自美国各州和地区的 52 位总检察长指控谷歌支付数十亿美元，以换取被设置为手机和网络浏览器的默认搜索引擎，从而非法维持其垄断地位。法官称，谷歌至少在 2010 年就已成为垄断企业，如今控制着超过 89% 的在线搜索市场。谷歌的律师表示，人们选择谷歌作为浏览器和智能手机的默认搜索引擎“是因为谷歌为他们带来了价值，而不是因为他们不得不使用谷歌”。并举例，微软在 Windows 上的默认搜索引擎是必应，但用户切换到谷歌是因为它是搜索市场上更好的产品。而且，谷歌的律师表示，Safari 和 Firefox 通过默认搜索引擎交易换取收入分成，帮助了它们的创新。

消息来源：彭博社

老王点评：谷歌是不是最好的，和它是不是非法维持垄断没有关系。让我们看看这起新时代的 IT 巨头垄断案将如何走向。

OpenSSL 1.1.1 已经走到了生命的尽头

OpenSSL 1.1.1 最初于 2018 年作为开源安全通信库的长期支持版本发布。当时，其背后的团队宣称，该版本将至少支持五年，也就是到今年。要想继续获得 OpenSSL 的支持，就必须升级到 OpenSSL 3.0 LTS 或最新的 3.1 版本。但迁移到更高版本的 OpenSSL 会带来风险和危险，一些依赖 OpenSSL 的服务可能会对更新反应迟钝，尤其是那些硬编码 OpenSSL 服务的物联网组件。实际上，企业宁可花钱让 OpenSSL 维护者和作者继续使用发霉的旧代码，比如，可以购买一份针对企业的价值 5 万美元的年度支持合同。

消息来源：The Register

老王点评：作为一个安全基础组件，这么干净利索的停止服务支持，总是有些不负责任。

Linux 发现一个“几乎不能被检测到”的寄生木马

安全研究人员发现了一款名为 “Symbiote”（共生体）的恶意软件。他们称其“几乎不可能被检测到”。它会“寄生感染”系统，感染所有正在运行的进程，并为提供 Rootkit 功能、远程访问等。它最早在 2021 年 11 月被发现，似乎是针对金融部门特别开发的。它不是一个以感染机器的独立可执行文件的形式运行的，而是以一个共享对象库的形式加载到所有正在运行的进程中，并寄生感染机器。它采用了多种规避检测的手段，来隐藏文件、进程和网络流量，甚至能让 BPF 工具也无法发现其网络流量。

消息来源：黑莓

老王点评：其实通过共享对象库寄生的木马并不稀奇，只是这个木马做了更多的隐藏手段，可见现在针对 Linux 的木马也越来越强大隐蔽了。

Ubuntu 正在改进对低成本 RISC-V 主板 VisionFive 的支持

最近 Ubuntu 开发人员一直在努力提高和改善对赛昉科技的 VisionFive 单板机的支持，有望在 Ubuntu 22.10 中看到对这种低于 180 美元的 RISC-V 计算机的良好支持。VisionFive 是为数不多的不超过 200 美元的、能运行完整 Linux 发行版的 RISC-V 主板之一。自 Linux 5.17 内核开始，就对 VisionFive v1 板提供了主线支持。

消息来源：Phoronix

老王点评：目前这个板子还是比较缺货的，希望能在 Ubuntu 等发行版提供更好的支持时能解决供货问题。有对在这个板子上运行 Ubuntu 感兴趣的同学吗？

推特联合创始人宣布 Web3 的竞争对手：Web5

推特联合创始人 Jack Dorsey 认为 Web3 变得和之前的 Web2 一样有问题，对未来抗审查、注重隐私的互联网来说还只是个梦想。现在，他旗下的区块链公司 TBD 创造了一个新名词 Web5，将通过放弃以区块链为中心的方法来实现无审查、以身份为中心的网络体验，从而击败现有的模式。他们所宣称的技术可能和 BT、Tor 类似。目前这个所谓的 Web5 仍处于开源开发阶段，没有正式发布日期。

消息来源：Coindesk

老王点评：生造名词的技术“创新”，并没有什么意义，就像十多年前 Web2 刚刚初露头角时就有人宣称 Web3，但是到现在连 Web3 也并没有真正得到共识和认可。更别说所谓的 Web5，我就想知道，Web4 怎么了，是 4 不吉利么。此外，其视为典范的，无论是 BT 还是 Tor，都太过于激进了。

微软拟用 AI 取代其英国网站新闻编辑队伍

英国《卫报》30 日消息，微软决定用 AI 软件代替自己新闻网站的编辑队伍。据报道，当地时间 28 日，英国新闻协会负责在 MSN 网站及微软 Edge 浏览器上维护其新闻主页的约 27 名编辑，由于微软决定停止用人工选择、编辑和策划其主页上的新闻报道，被告知将在一个月的时间内被解雇。

来源：界面

硬核老王点评：AI “抢夺”人类工作的进程越来越快了，你的工作还好吗？

臭名昭著的 Trickbot 木马更新了一种新的传播方式，使其更难被发现

Trickbot 最初是作为银行木马，于 2016 年首次出现，但在此后的几年里，它被多次被重新使用于其他手段。Trickbot 还可以作为僵尸网络来帮助传播给更多的受害者。EternalBlue，这个为 WannaCry 提供动力的 Windows 漏洞，构成了 Trickbot 传播的关键部分。Trickbot 是模块化的，它的作者可以很容易地添加或删除功能，正是这一点，使得最新的改动可以很容易地实现。现在，当 Trickbot 感染域控制器时，恶意软件会从内存中运行，确保不会在受感染的机器上留下任何人工制品，从而增加了检测难度。

来源：zdnet

硬核老王点评：病毒和木马固然是越来越狡猾，但是最大的根源还是不修补的系统缺陷。

新的 Beta 版树莓派 4 固件支持 USB 引导

于 2019 年 6 月推出的 树莓派 4 拥有的功能亮点之一是 USB 3.0，与以前版本的计算机相比，其可以实现更快的存储速度。不过，与先前的型号不同的是，树莓派 4 不支持 USB 大容量存储启动。此次更新将提供完整的 USB 启动支持，从而完全不需要 microSD 卡。不过由于还是测试版，尚有一些不完善，可等到正式版本发布再使用。

来源：开源中国

硬核老王点评：期待正式版，这样就不用依赖 microSD 卡了。

英国安全研究员 Marcus Hutchins（MalwareTech），2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。

来源：solidot.org

更多资讯

勒索软件攻击致使 The Weather Channel 停播

根据《华尔街日报》报道，周四 The Weather Channel（天气频道）遭勒索软件攻击，导致其一个现场直播的电视节目停播。停播持续大约一个多小时，攻击发生时美国东南部天气十分恶劣。美国联邦调查局告诉《华尔街日报》，勒索软件攻击是问题的根源，该机构正在进行调查。

来源： solidot.org

详情： http://www.dbsec.cn/zx/20190421-2.html

印度支付卡欺诈发案率快速上升 名列全球第二

根据网络安全公司Gemini Advisory发布的网络犯罪统计数据，2018年，超过320万张印度支付卡记录被泄露，并在网上发布供出售，这与去年相比有了很大的飞跃，当时只有80万张印度支付卡的详细信息被发布在网络犯罪论坛上。

来源： cnBeta.COM

详情： http://t.cn/EaActwV

计算机故障被指延误了巴黎圣母院的灭火

巴黎圣母院周一晚上六点左右失火，最有可能的失火原因是电梯的电气短路，但一个计算机 bug 被指耽搁了灭火行动，导致了火势的快速蔓延。法国媒体报道称，在晚上六点后不久火警响起，但计算机 bug 在错误的地点显示了起火的位置。

来源： solidot.org

详情： http://t.cn/EaAcxIJ

薅羊毛薅到犯罪 有人非法套取信用卡积分获利被判刑

获取积分，兑换礼品，这是不少消费者，尤其是年轻群体熟悉的生活方式，有人把这种赚取优惠的行为戏称为“薅羊毛”。但是，“羊毛”薅得太狠，也会违法犯罪，山东、上海等地最近先后有人因为通过虚假交易等方式获取信用卡积分和礼品，被判诈骗罪。

来源： 央广网

详情： http://t.cn/EaAco6w

（信息来源于网络，安华金和搜集整理）

该木马尝试使用出厂默认凭证对不同协议进行身份验证，如果成功则会部署 Mirai 僵尸程序。

攻击者已经开始使用 Windows 和 Android 恶意软件入侵嵌入式设备，这消除了人们广泛持有的想法，认为如果设备不直接暴露在互联网上，那么它们就不那么脆弱。

来自俄罗斯防病毒供应商 Doctor Web 的研究人员最近遇到了一个 Windows 木马程序，它使用暴力方法访问嵌入式设备，并在其上安装 Mirai 恶意软件。

Mirai 是一种用在基于 Linux 的物联网设备的恶意程序，例如路由器、IP 摄像机、数字录像机等。它主要通过使用出厂设备凭据来发动分布式拒绝服务 （DDoS） 攻击并通过 Telnet 传播。

Mirai 的僵尸网络在过去六个月里一直被用来发起最大型的 DDoS 攻击。它的源代码泄漏之后，恶意软件被用来感染超过 50 万台设备。

Doctor Web 发现，一旦在一台 Windows 上安装之后，该新木马会从命令控制服务器下载配置文件。该文件包含一系列 IP 地址，通过多个端口，包括 22（SSH）和 23（Telnet），尝试进行身份验证。

如果身份验证成功，恶意软件将会根据受害系统的类型。执行配置文件中指定的某些命令。在通过 Telnet 访问的 Linux 系统中，木马会下载并执行一个二进制包，然后安装 Mirai 僵尸程序。

如果按照设计或配置，受影响的设备不会从 Internet 直接访问，那么许多物联网供应商会降低漏洞的严重性。这种思维方式假定局域网是信任和安全的环境。

然而事实并非如此，其他威胁如跨站点请求伪造已经出现了多年。但 Doctor Web 发现的新木马似乎是第一个专门设计用于劫持嵌入式或物联网设备的 Windows 恶意软件。

Doctor Web 发现的新木马被称为 Trojan.Mirai.1，从它可以看到，攻击者还可以使用受害的计算机来攻击不能从互联网直接访问的物联网设备。

受感染的智能手机可以以类似的方式使用。卡巴斯基实验室的研究人员已经发现了一个 Android 程序，通过本地网络对路由器执行暴力密码猜测攻击。

（题图: Gerd Altmann / Pixabay）

via: http://www.csoonline.com/article/3168357/security/windows-trojan-hacks-into-embedded-devices-to-install-mirai.html

作者：Lucian Constantin 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 用户又有一个木马需要苦恼了，就像以往一样，这些坏蛋大多部署在被劫持的 Linux 系统上，并在接受到命令后发起 DDoS 攻击。

发现了这件事的 Dr.Web 的安全研究人员说，木马似乎是通过 破壳漏洞 （ Shellshock ） 感染的这些 Linux 机器——现在仍然有很多设备没有补上这个漏洞。

该木马被命名为 Linux.DDoS.93，它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件，并通过它在计算机启动时运行。如果该文件不存在，就会自己创建一个。

当该木马运行起来以后会进行初始化，它会启动两个进程，一个用于与 C&C （控制）服务器通讯，另外一个用于确保木马的父进程一直运行。

该木马启动 25 个子进程进行 DDoS 攻击

当控制该木马网络的攻击者发起攻击命令时，这个木马会启动 25 个子进程来进行 DDoS 攻击。

当前，该木马可以发出 UDP 洪泛（针对随机或特定端口），TCP 洪泛（简单的包，或给每个包随机增加至多 4096 字节的数据）和 HTTP 洪泛（通过 POST、GET 或 HEAD 请求）。

而且，该木马还能自我更新、自我删除、终止自己的进程、ping、从 C&C 服务器下载和运行文件。

当它发现某些名字时会关闭

这个木马还包括一个功能，如果在扫描计算机内存并列出活动的进程时发现如下字符串会关闭自己：

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

这些字符串大多数与信息安全领域有关，似乎是为了防止安全研究人员的反向工程研究，或者是为了避免感染该恶意软件作者自己的机器。

在感染过程中，该木马也会扫描它的旧版本，并会关闭旧版本然后安装一个新的。这意味着这是一个自动更新系统，该木马的最新版本总是会出现在被感染的机器上。

Linux 是过去一个月以来最热门的木马攻击平台，在最近 30 天内，安全研究人员已经发现、分析和曝光了其它五个 Linux 木马： Rex、PNScan、Mirai、 LuaBot 和 Linux.BackDoor.Irc。