国际资讯

研究人员：每200个Google搜索建议中就有一个被污染

来自美国三所大学的研究团队发现，每200个谷歌搜索自动补全建议中就有一个被污染，被用于误导用户到虚假网站或者推广恶意软件和其他恶意内容。

这是最新类型的黑帽搜索引擎优化（BHSEO）技术之一。

研究团队表示，他们发现了几家提供此类服务的公司，这些公司通常涉及两个阶段 – 污染自动填充建议，然后污染搜索结果列表。

数十种在线服务

研究人员说：“我们发现操纵搜索建议已经成为一项蓬勃发展的业务，一些公司提供数十种服务。”一些服务使用特殊的工具来自动化不同IP地址的无头浏览器中的搜索查询，而一些服务使用人工操作。根据下表的报价，附加价格从每天1美元到20美元不等。

通过Sacabuche技术识别污染搜索建议

研究人员使用名为Sacabuche（Search AutoComplete Abuse Checking，搜索自动完成滥用检查）的技术，这种技术会通过1.17亿搜索建议建议数据库识别污染的搜索自动填充建议。

研究团队表示：“我们惊讶地发现，这种新的威胁普遍存在，对当今的互联网产生了巨大的影响。”“具体一点，包括谷歌，必应和雅虎在内的主流搜索引擎发现了超过383000个被操纵的搜索建议。”他们说。 “特别是，我们发现至少有0.48％的谷歌自动完成结果受到污染。”

该团队还在用户点击自动填充建议时识别出搜索结果列表中的超过3000个有问题的网站，这意味着此黑帽SEO战略的第二阶段与第一阶段一样成功。

由于移动设备的普及，搜索结果污染必将变得流行

随着移动互联网用户数量的不断增长，这种技术必将变得非常流行。搜索自动填充建议在移动搜索中起着至关重要的作用，用户通常依靠这些建议而不是输入完整查询。

所有具有搜索自动完成功能的搜索引擎都容易受到此类攻击，而不仅仅是Google，Bing或Yahoo。列表中的搜索引擎还包括百度和Yandex搜索引擎。

参考链接：http://www.freebuf.com/news/165840.html

Windows远程协助中存在严重漏洞 可导致敏感文件被盗

你是不是经常会得到这样一些警告，比如，不管出于什么原因，都不要和不受信任的人共享电脑远程访问权限？但实际上，你甚至不应该接受别人邀请你访问他的电脑的请求。

Windows 远程协助（快速助手）中出现一个严重漏洞，影响所有的 Windows 版本，包括 Windows 10、8.1、RT8.1 和7，并且能导致远程攻击者窃取目标设备的敏感文件。

Windows 快速助手是一款内置工具，允许受用户信任的人接管其电脑（或者允许用户远程控制他人电脑）使得从世界任何地方都能远程帮助用户修复问题。

快速助手功能依靠远程桌面协议 (RDP) 来建立共享权限的双方的安全连接。然而，趋势科技公司 ZDI 团队的研究员 Nabeel Ahmed 发现并向微软报告了一个存在于快速助手中的漏洞 (CVE-2018-0878)，该漏洞可导致攻击者获取进一步攻陷受害者系统的信息。微软已经在本周发布的“补丁星期二”中修复该漏洞，问题在于 Windows 快速助手处理 XML 外部实体 (XXE) 的方法。

该漏洞影响微软 Windows Server 2016、Windows Server 2012 和 R2、Windows Server 2008 和 R2 SP1、Windows 10（32位和64位）、Windows 8.1（32位和64位）和 RT 8.1 以及 Windows 7（32位和64位）。

由于该漏洞的补丁已发布，因此研究人员已公布相关技术详情和 PoC 利用代码。

要利用存在于 MSXML3 解析器中的这个漏洞，黑客需要使用“带外数据检索”技术，主动请受害者通过 Windows 快速助手访问黑客的电脑。

设置好快速助手后，该功能会提供两种选择：邀请别人帮助以及为别人提供帮助。如果选择“邀请别人帮助”，那么该功能会帮助用户生成一个邀请文件“invitation.msrcincident”，该文件中包含具有很多参数的 XML 数据和供认证使用的值。由于这款解析器无法正确验证内容，因此攻击者只能将特别编制的包含恶意 payload 的快速助手邀请文件发送给受害者，诱骗目标计算机将存储在未知位置的具体文件内容提交给由攻击者控制的远程服务器。

参考链接：https://www.anquanke.com/post/id/101797

Facebook用户信息外泄恐罚2兆美元 扎克伯格身家一夕蒸发逾49亿

全球最大社群网站Facebook惊传超过5000万用户个人信息外泄，引发市场对安全性的疑虑再起，甚至恐面临2兆美元的罚款，使得Facebook周一股价重挫近7%创下近4年以来最大跌幅，推累美股3大指数全面收低，市值蒸发超过340亿美元。

据报道，资料分析业者剑桥分析公司（Cambridge Analytica）在2014至2015年间在Facebook推出一款心理测验，在未经同意下盗用高达5000万用户的个人信息，对此Facebook也关闭该公司的账号权限停用。报道指出，拥有20亿用户的Facebook掀起史上最大个人信息外泄风波，可能违反2011年与美国联邦贸易委员会（FTC）协议，一旦查出违反协议，外泄个人信息一件最高可罚4万美元，因此若有5000万用户个人信息外泄，最高可罚2兆美元。

Facebook面临史上最大规模个人信息外泄案，使得股价终场重挫6.8%，创下近4年来最大单日跌幅，市值蒸发340亿美元，该公司创办人扎克伯格（Mark Zuckerberg）也跟着缩水49亿美元。Facebook股价暴跌引发科技股卖压沉重，美股也难逃一劫，3大指数同步大跌，其中标普500指数终场下挫39.09点，收在2712.92点，那斯达克指数尾盘也跌137.74点，收报7344.24点，双双创下2月8日以来最大跌幅，道琼工业指数终场大跌335.60点，以24610.91点作收。

参考链接：http://www.youxia.org/2018/03/37201.html

黑客事件

向黑客洗钱说不，Coincheck下架三种加密货币

背景知识：三种货币都具匿名性高的特点，易被用于洗钱活动。 据日本时报，加密交易所Coincheck将停止处理门罗币、零币(Zcash)、达世币(Dash)三种加密货币，以期打击洗钱活动。

据日本时报，加密交易所Coincheck将停止处理门罗币、零币(Zcash)、达世币(Dash)三种加密货币，以期打击洗钱活动。

Coincheck此举或与今年1月的新经币(NEM)被盗案有关。今年1月，黑客将Coincheck上价值 5.47 亿美元的新经币(NEM)洗劫一空。有网络安全专家表示，黑客在暗网上建立了一个交易虚拟货币的网站，并于2月7日开始兑换被盗的新经币。这意味着，被盗的新经币被兑换成法币之后再也无法被追踪，从事洗钱活动的犯罪分子也无法被抓到。

此次下架的三种货币都具匿名性高的特点，在区块链中其收款方无法被识别，因此较为容易被用于洗钱活动。比如，门罗币的交易使用任意生成的一次性地址，无法被其他人连接到。此前就有新闻指出，朝鲜黑客以恶意程序挖掘、盗取门罗币，用于逃避国际制裁，接收外国资金。

消息人士称，Coincheck正在考虑从用户处购买这三种加密货币，这些用户同意以固定价格出售。

Coincheck曾于去年9月向日本金融厅(FSA)提交加密货币交易所牌照申请，但申请一直未获批准。日本时报指出，部分原因是Coincheck需要处理那些所有者为匿名状态的数字货币。

新经币被盗案发生后，Coincheck暂停了加密货币的交易业务。上周一，交易所恢复了除这三种货币之外的加密货币的交易，并于上周二完成了对被盗用户的赔偿。

参考链接：https://www.t00ls.net/articles-44781.html

英国数百万彩票玩家账户遭窃，1050万玩家要求修改密码

据外媒报道，英国国家六合彩管理公司“卡美洛”(Camelot) 建议数百万国家彩票玩家修改其账户密码，因为他们发现了一项涉及彩票账户的可疑活动。目前 Camelot 已约有 150 个玩家帐户（总共 1050 万个注册帐户）遭到未经授权的登录，导致玩家信息被外部查看，其中包括姓名以及国家彩票帐户中的金额。

虽然 Camelot 坚持认为其核心系统或数据库没有遭受未经授权的访问，不会影响到彩票抽奖以及奖品，但还是建议其彩票玩家尽早修改密码。

Camelot 发言人称，此次事件可能是由于“ 凭据填充 ”造成的，也就是说彩票玩家之前在其他地方被窃取了详细信息，以至于该信息在网络犯罪分子之间共享。Camelot 承诺不会在玩家的帐户上显示完整的借记卡或银行帐户的详细信息，并且表示目前受到影响的账户已经被暂停。

参考链接：https://www.easyaq.com/news/1727171569.shtml

伊朗黑客组织 TEMP.Zagros 转变攻击战术，针对亚洲和中东地区开展大规模网络钓鱼攻势

近日，FireEye 发布安全分析报告称，一个名为 TEMP.Zagros（又被称为 MuddyWater）的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中，该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档，与以往不同的是，该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行，恶意文档将会安装一个 POWERSTATS 后门。

TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件，例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时，FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外，研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串，这些字符串被留作虚假标志使得查询归属变得更加困难。

参考链接：http://hackernews.cc/archives/21724

（来源：云天安全搜集整理互联网安全资讯）