假冒巴林政府 Android 应用程序窃取数据用于诈骗
发布时间 2024-06-046月2日,许多政府机构都在线提供服务,以方便公民。此外,如果可以通过移动应用程序提供这项服务,将非常方便和便捷。但是,当恶意软件伪装成这些服务时会发生什么?McAfee 移动研究团队发现了一款伪装成巴林政府机构服务的 InfoStealer Android 恶意软件。该恶意软件伪装成巴林的官方应用程序,并宣传用户可以在手机上更新或申请驾驶执照、签证和身份证。被广告欺骗的用户会毫不犹豫地获得这些服务所需的个人信息。它们通过各种方式接触用户,包括 Facebook 和短信。不熟悉这些攻击的用户很容易犯下发送个人信息的错误。巴林有一个政府机构,名为劳动力市场监管局 (LMRA)。该机构在由劳工部长担任主席的董事会指导下,拥有完全的财务和行政独立性。他们提供各种移动服务,大多数应用程序只提供一项服务。然而,这个假冒应用程序却宣传提供多项服务。除了最常见的冒充 LMRA 的假冒应用外,还有各种假冒应用,包括巴林和科威特银行 (BBK)、巴林金融科技公司 BenefitPay,甚至还有假装与比特币或贷款相关的应用。这些应用使用与 LMRA 假冒应用相同的技术来窃取个人信息。
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-bahrain-government-android-app-steals-personal-data-used-for-financial-fraud/
2. SHINYHUNTERS正在出售3000万桑坦德银行客户的数据
6月2日,臭名昭著的威胁行为者 ShinyHunters 正在出售据称从桑坦德银行窃取的大量数据。ShinyHunters 声称窃取了 3000 万客户、员工和银行账户数据。5 月中旬,西班牙金融机构桑坦德银行披露了一起涉及第三方提供商的数据泄露事件,影响了智利、西班牙和乌拉圭的客户。该银行发现第三方提供商托管的其中一个数据库遭到未经授权的访问。该公司宣布立即采取措施控制事件。该公司阻止了对数据库的入侵访问,并建立了额外的欺诈预防控制措施来保护受影响的客户。被盗数据库包含所有现任和部分前任员工的信息。该银行指出,该数据库不存储交易数据、网上银行详细信息、密码或其他允许某人进行交易的数据。该金融机构尚未提供此次事件的技术细节或泄露的数据种类。目前尚不清楚有多少人受到影响。ShinyHunters 声称 Ticketmaster 遭到黑客攻击,并以 50 万美元的价格出售 1.3 TB 的数据,其中包括 5.6 亿客户的完整详细信息。被盗数据包括姓名、电子邮件、地址、电话号码、门票销售和订单详细信息。
https://securityaffairs.com/163956/data-breach/shinyhunters-claims-santander-breach.html
3. CISA 警告称 Linux 特权提升漏洞可能被积极利用
6月2日,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了两个漏洞,其中包括 Linux 内核权限提升漏洞。该高严重性漏洞 ( CVE-2024-1086)于 2024 年 1 月 31 日首次披露,是 netfilter:nf_tables 组件中的释放后使用问题,但最早是在 2014 年 2 月的一次提交中引入的。Netfilter 是 Linux 内核提供的一个框架,允许各种与网络相关的操作,例如数据包过滤、网络地址转换 (NAT) 和数据包修改。该漏洞是由于 'nft_verdict_init()' 函数允许将正值用作钩子判决中的删除错误,从而导致 'nf_hook_slow()' 函数在 NF_DROP 发出类似于 NF_ACCEPT 的删除错误时执行双重释放。利用 CVE-2024-1086 可让具有本地访问权限的攻击者在目标系统上实现权限提升,并可能获得 root 级访问权限。
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-linux-privilege-elevation-flaw/
4. 虚假浏览器更新会传播BitRAT和Lumma Stealer恶意软件
6月3日,虚假的网络浏览器更新被用于传播远程访问木马 (RAT) 和信息窃取恶意软件,例如BitRAT和Lumma Stealer(又名 LummaC2)。当潜在目标访问一个带有陷阱的网站时,攻击链就开始了,该网站包含旨在将用户重定向到虚假浏览器更新页面(“chatgpt-app[.]cloud”)的 JavaScript 代码。重定向的网页嵌入了指向 ZIP 存档文件(“Update.zip”)的下载链接,该文件托管在 Discord 上并自动下载到受害者的设备。值得指出的是,威胁行为者经常使用 Discord 作为攻击媒介, Bitdefender最近的分析发现,在过去六个月中,有超过 50,000 个危险链接传播恶意软件、网络钓鱼活动和垃圾邮件。ZIP 存档文件中存在另一个 JavaScript 文件(“Update.js”),它会触发 PowerShell 脚本的执行,该脚本负责从远程服务器以 PNG 图像文件的形式检索其他有效负载,包括 BitRAT 和 Lumma Stealer。
https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html
5. 警方捣毁盗版电视流媒体网络已经获利570万美元
6月3日,西班牙警方捣毁了一个非法媒体内容传播网络,该网络自 2015 年开始运营以来已获利超过 570 万美元。该调查于 2022 年 11 月开始,当时创意与娱乐联盟 (ACE) 提交了一份投诉,举报两个网页侵犯了知识产权。这些网站托管着非法 IPTV 服务“TVMucho”(也称为“Teeveeing”),据 ACE 称,该服务在 2023 年的访问量超过 400 万次。警方调查后发现,这些网站的所有者背后有一个大规模的 IPTV 行动,为大约 14,000 名用户提供 130 个国际电视频道和数千部电影和电视剧的非法访问权限。该服务的用户根据其订阅等级支付每月 11 至 20.5 美元或每年 97 至 182.5 美元,这使得 IPTV 平台运营商总共获利 570 万美元。
https://www.bleepingcomputer.com/news/legal/police-dismantle-pirated-tv-streaming-network-that-made-57-million/
6. Hugging Face 称黑客从 Spaces 窃取身份验证令牌
6月2日,人工智能平台 Hugging Face 表示其 Spaces 平台遭到入侵,黑客得以获取其成员的身份验证机密。Hugging Face Spaces 是一个由社区用户创建和提交的 AI 应用程序库,允许其他成员演示它们。Hugging Face 表示,他们已经撤销了泄露机密中的身份验证令牌,并通过电子邮件通知了受影响的用户。但是,他们建议所有 Hugging Face Spaces 用户刷新他们的令牌并切换到 细粒度访问令牌,这使得组织可以更严格地控制谁有权访问他们的 AI 模型。该公司正在与外部网络安全专家合作调查此次违规行为,并向执法和数据保护机构报告该事件。
https://www.bleepingcomputer.com/news/security/ai-platform-hugging-face-says-hackers-stole-auth-tokens-from-spaces/
京公网安备11010802024551号