Vultur 银行恶意软件伪装成 McAfee Security 应用程序
发布时间 2024-04-013月30日,安全研究人员发现了 Android 版 Vultur 银行木马的新版本,其中包括更先进的远程控制功能和改进的规避机制。研究人员于 2021 年 3 月首次记录了该恶意软件,并在 2022 年底发现该恶意软件通过植入应用程序在 Google Play 上传播。2023 年底,移动安全平台 Zimperium 将 Vultur 列入年度十大最活跃银行木马之列,并指出其中 9 个变种针对 15 个国家/地区的 122 个银行应用程序。一种新的、更具规避性的 Vultur 版本通过一种混合攻击传播给受害者,这种攻击依赖于短信钓鱼(短信网络钓鱼)和电话,诱骗目标安装一个版本的 Vultur。伪装成 McAfee Security 应用程序的恶意软件。Vultur 最新的感染链始于受害者收到一条短信,提醒未经授权的交易,并指示拨打提供的号码寻求指导。诈骗者接听电话,说服受害者打开第二条短信发送的链接,该链接指向提供 McAfee Security 应用程序修改版本的网站。
https://www.bleepingcomputer.com/news/security/vultur-banking-malware-for-android-poses-as-mcafee-security-app/
2. PyPI 暂停新用户注册以阻止恶意软件活动
3月28日,PyPI 是 Python 项目的索引,可帮助开发人员查找和安装 Python 包。该存储库拥有数千个可用软件包,对于威胁行为者来说是一个有吸引力的目标,他们经常上传拼写错误或伪造的软件包来危害软件开发人员和潜在的供应链攻击。此类活动迫使 PyPI 管理员今天早些时候宣布暂停所有新用户注册,以减少恶意活动。Checkmarx 的一份报告显示,威胁行为者昨天开始向 PyPI 365 上传具有模仿合法项目名称的软件包。这些软件包的“setup.py”文件中包含恶意代码,该代码在安装时执行,试图从远程服务器检索额外的有效负载。为了逃避检测,恶意代码使用 Fernet 模块进行加密,并在需要时动态构建远程资源的 URL。最终的有效负载是一个具有持久性功能的信息窃取程序,其目标是存储在网络浏览器中的数据,例如登录密码、cookie 和加密货币等。
https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/?&web_view=true
3. 英国塞拉菲尔德核电站因网络安全故障被起诉
3月29日,英国独立核安全监管机构宣布,将起诉管理塞拉菲尔德核电站的公司,指控其“在 2019 年至 2023 年初的四年期间涉嫌信息技术安全犯罪”。目前尚不清楚国有塞拉菲尔德有限公司的高级管理人员是否会面临指控。根据2003 年《核工业安全条例》,被定罪的个人可面临最高两年的监禁。正如英国首席核监察员去年的年度报告所披露的那样,塞拉菲尔德此前因其网络安全缺陷而成为监管机构加强关注的焦点。与此同时,在英国运营数座核电站的法国电力公司也受到了类似措施。正如英国民用核网络安全战略所述,国家网络安全中心 (NCSC) 威胁评估警告称,勒索软件“几乎肯定是最有可能的破坏性威胁”。尽管工业系统设计有多个故障安全装置来防止放射性事故,但对核电站使用的 IT 系统的勒索软件攻击可能会扰乱其运行。塞拉菲尔德的核反应堆于 2003 年关闭,但这个庞大的综合体仍然是欧洲最大的核电站,ONR 将其描述为“世界上最复杂、最危险的核电站之一”。
https://therecord.media/sellafield-site-prosecution-nuclear-facility-cybersecurity
4. 针对印度国防和能源部门的钓鱼攻击
3月29日,EclecticIQ 网络安全研究人员发现了一项名为“Operation FlightNight”的网络间谍活动,目标是印度政府实体和能源公司。攻击者可能是由国家资助的,他们利用开源信息窃取程序 HackBrowserData 的修改版本来窃取敏感数据。EclecticIQ 发现攻击者使用流行的通信平台 Slack 通道作为渗透点。攻击者成功渗透到多个负责通信、IT 和国防的政府机构。此外,私营能源公司也受到损害,有关财务文件、员工信息、甚至石油和天然气钻探活动的详细信息被盗。高达 8.81 GB 的数据被泄露,可能有助于未来的入侵。攻击者使用了一种技巧来让受害者安装恶意软件。他们发送伪装成印度空军邀请的电子邮件。这些电子邮件包含一个 ISO 文件,该文件似乎是无害的存档。当受害者打开ISO文件时,它实际上启动了一个伪装成PDF文档的快捷方式文件(LNK) 。单击 LNK 文件会在不知不觉中激活恶意软件。然后,恶意软件会窃取机密文档、私人电子邮件和缓存的网络浏览器数据。
https://gbhackers.com/weaponized-air-force-invitation-pdf-indian-defense-energy/
5. Linux 漏洞可能导致用户密码泄露和剪贴板劫持
3月28日,研究人员发现Linux 操作系统中的util-linux软件包的wall命令中存在漏洞,可能导致非特权攻击者窃取密码或更改受害者的剪贴板。该安全问题被追踪为CVE-2024-28085,被称为 WallEscape,并且在过去 11 年中一直存在于该软件包的每个版本中,直到最近发布的2.40。尽管该漏洞是攻击者如何欺骗用户提供管理员密码的一个有趣示例,但利用该漏洞可能仅限于某些情况。攻击者需要访问已经有多个用户通过终端同时连接的 Linux 服务器。WallEscape 影响“wall”命令,该命令通常在 Linux 系统中用于向登录到同一系统(例如服务器)的所有用户的终端广播消息。由于在通过命令行参数处理输入时未正确过滤转义序列,因此非特权用户可以使用转义控制字符利用该漏洞在其他用户的终端上创建虚假的 SUDO 提示符,并诱骗他们输入管理员密码。研究人员指出,这两种情况在 Ubuntu 22.04 LTS (Jammy Jellyfish) 和 Debian 12.5 (Bookworm) 上都存在,但在 CentOS 上不存在。
https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/?&web_view=true
6. 马萨诸塞州健康保险公司数据泄露影响 280 万人
3月29日,马萨诸塞州第二大健康保险公司 Point32Health 透露,超过 280 万人的个人信息在2023 年 4 月的勒索软件攻击中被盗。此次攻击影响了与 Point32Health 的哈佛 Pilgrim 医疗保健品牌相关的系统,包括为哈佛 Pilgrim 医疗保健商业和 Medicare Advantage Stride 计划提供服务的系统,以及“用于为会员、账户、经纪人和提供商提供服务”的系统。调查发现,有迹象表明数据在 2023 年 3 月 28 日至 2023 年 4 月 17 日期间从哈佛 Pilgrim 系统中被复制和获取。被盗信息包括姓名、地址、出生日期、电话号码、社会安全号码、健康保险账户信息、财务账户信息、病史、诊断和治疗信息等。
https://www.securityweek.com/massachusetts-health-insurer-data-breach-impacts-2-8-million/
京公网安备11010802024551号