CrossBarking攻击:Opera浏览器私有API遭劫持
发布时间 2024-11-011. CrossBarking攻击:Opera浏览器私有API遭劫持
10月30日,研究人员发现了一种新的浏览器攻击方式,通过利用现已修复的漏洞,将自定义代码注入受害者的 Opera 浏览器,从而控制其“私有”应用程序编程接口 (API),这些 API 通常仅为最受信任的网站保留。这些私有 API 可为开发人员提供特殊权限,但也可能被黑客利用,以获得对浏览器的全权控制,包括更改设置、劫持账户、禁用安全扩展等。为了展示这种攻击方式,Guardio 研究人员开发了一个恶意的 Chrome 扩展程序,该扩展程序被设计为在具有私有 API 访问权限的网站环境中运行恶意代码。他们通过该扩展程序,将恶意代码注入到 Opera 浏览器中,并利用 settingsPrivate API 更改了受害者的域名系统 (DNS) 设置,从而全面查看和操纵其浏览活动。为了解决这个问题,Opera 采用了 Chrome 中已经实现的一种快速解决方案:阻止任何扩展程序在具有私有 API 访问权限的域上运行脚本的能力。
https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users
2. 网络钓鱼电子邮件瞄准学生贷款持有人
10月30日,近4300万美国人背负着平均每人37,000美元的学生贷款债务。拜登总统曾提出一项旨在免除部分借款人债务的计划,但该计划面临重重障碍。在此背景下,网络犯罪分子趁机针对学生贷款持有人发起网络钓鱼攻击。Harmony Email & Collaboration的网络安全部门发现,这类攻击在过去两周内激增,且攻击者使用了特殊的文本混淆技术,如Unicode从左到右标记 (LRM) 和软连字符,以规避自然语言处理检测器的检测。这些邮件内容看似紧急且可信,实则旨在诱骗受害者泄露敏感信息。此类攻击不仅威胁个人信息安全,还可能对企业构成风险。员工若在公司设备上处理这些邮件,可能导致恶意软件入侵公司系统,进而引发数据泄露或业务信息外泄。因此,企业需采取切实可行的措施来防范此类攻击,包括提高员工安全意识、利用先进的电子邮件过滤和安全工具、实施多因素身份验证以及制定完善的事件响应计划。
https://blog.checkpoint.com/harmony-email/7500-phishing-emails-use-interesting-obfuscation-method-to-target-student-loan-holders/
3. LottieFiles npm包现恶意代码,用户需紧急升级
10月31日,LottieFiles 昨日宣布,其 npm 包中的特定版本,即 Lottie Web Player(“lottie-player”)的 2.0.5、2.0.6 和 2.0.7 版本,被发现携带恶意代码。这些版本会提示用户连接加密货币钱包,意图清空钱包中的资产。发现问题后,LottieFiles 迅速发布了纯净的 2.0.8 版本,建议用户尽快升级以避免风险。同时,LottieFiles 指出,通过第三方 CDN 使用该库且未固定版本的用户会自动收到受损版本,但随着安全版本的发布,这些用户将自动收到修复。对于无法升级的用户,LottieFiles 建议向最终用户通报风险,并警告他们有关欺诈性加密货币钱包连接请求,或继续使用未受影响的 2.0.4 版本。此外,LottieFiles 发布公告称,此次事件仅影响其 npm 包,不影响其 SaaS 服务,并确认其他开源库、代码和存储库均未受影响。该平台已剥夺篡改版本上传者的 npm 帐户访问权限,并撤销相关令牌,同时继续对此次入侵事件进行内部调查。目前尚不清楚该事件是否有受害者以及具体损失金额。
https://www.bleepingcomputer.com/news/security/lottiefiles-hit-in-npm-supply-chain-attack-targeting-users-crypto/
4. PTZOptics摄像机现零日漏洞,黑客试图利用发起攻击
10月31日,黑客正在利用PTZOptics云台变焦实时流媒体摄像机中的两个新发现的零日漏洞CVE-2024-8956和CVE-2024-8957。这些漏洞于2024年4月被GreyNoise的Sift工具在其蜜罐网络上检测到。CVE-2024-8956涉及摄像机“lighthttpd”网络服务器中的弱身份验证问题,允许未经授权的用户访问CGI API,暴露敏感信息。而CVE-2024-8957则是由于“ntp_client”二进制文件中的输入清理不足,允许远程代码执行。这两个漏洞可能导致摄像头被完全接管、感染恶意软件、攻击同一网络的其他设备或中断视频流。尽管初始攻击活动在发现后不久消失,但6月出现了使用wget下载shell脚本进行反向访问的尝试。GreyNoise已向受影响供应商进行负责任的披露,PTZOptics等厂商已发布安全更新,但部分旧型号和新发现的受影响型号尚未收到补丁。GreyNoise认为可能有更广泛的设备受到影响,建议用户咨询设备供应商了解最新固件更新情况。
https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/
5. 疑似乌克兰网络攻击导致特维尔停车系统瘫痪
10月31日,俄罗斯西北部城市特维尔的居民因政府所称的数字停车支付系统“技术故障”而得以免费停车近两天。然而,一个名为“乌克兰网络联盟”的黑客组织声称这可能是针对该市管理网络的网络攻击所致,并声称摧毁了数十台虚拟机、备份存储、网站、电子邮件和数百个工作站。特维尔市政府最初未对此发表评论,但随后发表声明称网站和在线停车支付平台正在进行技术维修。当地居民在尝试付款时遇到错误消息或应用程序加载失败。市政府官员后来宣布停车付费服务已恢复,但未确认是否发生了网络攻击。这并非亲乌克兰黑客首次声称对俄罗斯服务发起攻击,此前也有类似事件被归咎为“技术故障”。乌克兰网络联盟是一个亲乌克兰网络活动人士团体,自俄罗斯入侵乌克兰以来积极参与反俄斗争,并曾声称入侵俄罗斯国家信用卡支付系统等行动。
https://therecord.media/ukraine-cyberattack-russia-parking-tver
6. Phish n' Ships网络钓鱼活动感染千家网店
10月31日,一项名为“Phish n' Ships”的网络钓鱼活动自2019年起,已感染超过一千家合法在线商店,通过推广虚假商品列表欺诈数十万消费者,造成数千万美元损失。该活动利用漏洞、错误配置或受损管理员凭据入侵网站,上传恶意脚本和虚假产品列表,利用SEO优化吸引受害者。受害者点击链接后被重定向至假商店,经历虚假结账流程并输入个人信息和信用卡详情,但购买的物品从未送达。Satori威胁情报团队发现所有假商店连接至一个由14个IP地址组成的网络,并滥用多家支付提供商套现。HUMAN及其合作伙伴已协调回应,通知受影响组织并向Google报告虚假列表,大多数恶意搜索结果已被清理,但威胁行为者可能会尝试建立新的欺诈网络。建议消费者留意不寻常重定向,确认商店网址,并报告欺诈性收费。
https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/
京公网安备11010802024551号