【安全頭條】安卓密碼竊取惡意軟件感染10萬谷歌Play用戶
1.安卓密碼竊取惡意軟件
感染10萬谷歌Play用戶
竊取 Facebook 憑據的惡意 Android 應用程序已通過 Google Play 商店安裝超過 100,000 次,該應用程序仍可供下載。Android 惡意軟件偽裝成一個名為“Craftsart Cartoon Photo Tools”的卡通化應用程序,允許用戶上傳圖像并將其轉換為卡通渲染。根據 Jamf 安全研究員 Michal Raj?an 的說法,當用戶輸入他們的憑據時,該應用程序會將其發送到位于 zutuu[.]info [VirusTotal] 的命令和控制服務器,然后攻擊者可以收集這些信息。除了 C2 服務器之外,惡意 Android 應用程序還將連接到 [www.dozenorms]club URL [VirusTotal],進一步的數據被發送到該地址。這過去曾被用于推廣其他惡意FaceStealer Android APP。
這些應用程序在遠程服務器上執行圖像更改并應用過濾器,而不是在本地設備上,用戶的數據被上傳到遠程位置,并且有被無限期保存、與他人共享、轉售等方面的風險。[點擊“閱讀原文”查看詳情]
2.BitRAT惡意軟件
作為Windows 10
許可證激活器傳播
BitRAT 是一種強大的遠程訪問木馬,在網絡犯罪論壇和暗網市場上以低至 20 美元(終身訪問)的價格出售給任何想要它的網絡犯罪分子。因此,每個買家都遵循自己的惡意軟件分發方法,包括網絡釣魚、水坑或木馬軟件。Webhards 是在韓國流行的在線存儲服務,通過社交媒體平臺或 Discord 上發布的直接下載鏈接吸引了大量訪問者。BitRAT 被宣傳為一種功能強大、價格低廉且用途廣泛的惡意軟件,可以從主機中竊取大量有價值的信息、執行 DDoS 攻擊、繞過 UAC 等。
BitRAT 支持通用鍵盤記錄、剪貼板監控、網絡攝像頭訪問、錄音、來自網絡瀏覽器的憑據盜竊和 XMRig 硬幣挖掘功能。
此外,它還通過 SOCKS4 和 SOCKS5 (UDP) 提供對 Windows 系統、隱藏虛擬網絡計算 (hVNC) 和反向代理的遠程控制。那些無力購買 Windows 許可證的人應該考慮替代選項,例如接受免費版本的限制,監控來自可信賴平臺的特別優惠,或使用 Linux。[點擊“閱讀原文”查看詳情]
3.毒蛇惡意軟件活動
濫用Chocolatey Windows
軟件包管理器
Chocolatey 是 Windows 的開源包管理器,允許用戶通過command line安裝和管理超過 9,000 個應用程序和任何附屬項。在 Proofpoint 發現的一項新的網絡釣魚活動中,威脅參與者使用由帶有宏的 Microsoft Word 文檔、Chocolatey 包管理器和隱寫圖像組成的復雜感染鏈來感染設備,同時繞過檢測。Proofpoint 表示,后門可以執行攻擊發送的任何命令,允許威脅參與者下載更多惡意軟件、打開反向 shell 并獲得對設備的完全訪問權限。
除了自定義后門 (Serpent) 和 Chocolatey 的濫用之外,Proofpoint 還注意到使用 schtrasks.exe 執行簽名二進制代理的新應用,本質上是一種新的檢測繞過技術。這些要素表明,這些威脅行為者是一個新的群體,其特點是高度復雜和能力強,并且與其他已知行為者沒有聯系。Proofpoint 無法檢測到任何可用于將活動歸因于特定威脅行為者的內容,這從側面展現了該群體的整體操作安全性。[點擊“閱讀原文”查看詳情]
4.微軟正在調查黑客
攻擊源代碼存儲庫的指控
微軟表示,他們正在調查有關 Lapsus$ 數據勒索黑客組織違反其內部 Azure DevOps 源代碼存儲庫并竊取數據的指控。與我們今天讀到的許多勒索組織不同,Lapsus$ 不會在受害者的設備上部署勒索軟件。
相反,他們以大公司的源代碼存儲庫為目標,竊取他們的專有數據,然后試圖以數百萬美元的價格將這些數據贖回公司。當 Lapsus$ 入侵 NVIDIA 并發布他們的數據時,它還包括代碼簽名證書,其他威脅參與者迅速使用這些證書簽署他們的惡意軟件。使用 NVIDIA 的代碼簽名證書可能會導致防病毒引擎信任可執行文件,而不會將其檢測為惡意文件。微軟此前曾表示,他們有一項開發政策,禁止將 API 密鑰、憑據或訪問令牌等“秘密”包含在其源代碼存儲庫中。即使是這樣,也不意味著源代碼中不包含其他有價值的數據,例如私有加密密鑰或其他專有工具。
目前尚不清楚這些存儲庫中包含什么,但就像以前的受害者所做的那樣,Lapsus$ 泄露他們聲稱獲得的被盜數據只是時間問題。[點擊“閱讀原文”查看詳情]
5.Windows零日漏洞授予
管理員權限再次
獲得非官方補丁
微軟幾個月來一直未能完全解決的 Windows 本地權限提升零日漏洞允許用戶在 Windows 10、Windows 11 和 Windows Server 中獲得管理權限。根據 0patch 團隊的說法,該團隊一直在非正式地為已停產的 Windows 版本和一些微軟不會解決的漏洞提供修復,該漏洞仍然是一個零日漏洞。事實上,微軟的補丁未能修復該漏洞,并打破了 0patch 之前的非官方補丁。
微軟還通過 2022 年 1 月的“周二補丁日”發布的第二個安全更新來應對這種繞過,為繞過提供了一個新的跟蹤 ID,即 CVE-2022-21919,并將其標記為已修復。在針對研究人員的第二次繞過補丁測試時,0patch 發現他們對“profext.dll”DLL 的補丁仍然可以保護用戶免受新的利用方法的侵害,從而使這些系統保持安全。
然而,微軟的第二次修復嘗試替換了“profext.dll”文件,導致應用了 2022 年 1 月 Windows 更新的每個人都刪除了非官方修復。0patch 現在已將該修復程序移植到 2022 年 3 月的“周二補丁日”更新中,并免費提供給所有注冊用戶。[點擊“閱讀原文”查看詳情]
