SpyLoan恶意软件再袭:15款新应用Google Play下载超800万次
发布时间 2024-12-021. SpyLoan恶意软件再袭:15款新应用Google Play下载超800万次
11月30日,Google Play 上发现了一组新的15个SpyLoan Android恶意软件应用程序,这些应用主要针对南美、东南亚和非洲的用户,安装量已超过800万次。这些应用程序由“应用程序防御联盟”成员迈克菲发现并报告,随后已被从Android官方应用商店中删除。SpyLoan应用程序以金融工具为幌子,通过快速审批流程向用户提供欺骗性且通常虚假的贷款条款。一旦受害者安装了这些应用,他们就会被要求提交敏感的身份证明文件、员工信息和银行账户数据,并通过一次性密码进行验证。此外,这些应用还会滥用设备权限收集大量敏感数据,包括联系人列表、短信、相机、通话记录和位置等,用于后续的勒索过程。尽管Google的应用审核机制可以屏蔽违反Play Store条款的软件,但SpyLoan应用仍然能够漏网。为了防范这种风险,用户应仔细阅读用户评论、检查开发者的声誉、限制安装时授予应用程序的权限,并确保设备上的Google Play Protect处于活动状态。
https://www.bleepingcomputer.com/news/security/spyloan-android-malware-on-google-play-installed-8-million-times/
2. 博洛尼亚足球俱乐部遭RansomHub勒索软件攻击
11月30日,意大利职业足球俱乐部博洛尼亚最近成为了RansomHub网络犯罪团伙的勒索软件攻击目标。据该团伙在暗网上的帖子,他们声称已经窃取并发布了博洛尼亚的大量数据,包括主教练文森佐·意大利诺的雇佣合同,其中详细列出了他的薪酬和奖金信息。此外,还声称窃取了前助理教练的护照扫描件、一线队球员的护照、合同和个人数据,以及俱乐部的财务状况明细和医疗数据等。RansomHub在其数据泄露网站上表示,博洛尼亚因网络安全性不足而遭到攻击,所有数据均被盗。俱乐部随后发表声明证实了勒索软件攻击的存在,并表示数据可能会被公开。RansomHub给了博洛尼亚三天时间来满足未公开的要求,否则所有数据将于11月29日中午放置在其数据泄露网站上。尽管博洛尼亚等俱乐部此前也曾遭受过网络攻击,但此次事件再次提醒了职业足球俱乐部加强网络安全防护的重要性。
https://www.theregister.com/2024/11/30/bologna_fc_ransomhub/
3. Rockstar 2FA:新型网络钓鱼平台窃取Microsoft 365凭据
11月29日,名为“Rockstar 2FA”的新型网络钓鱼即服务(PhaaS)平台已经出现,专为实施大规模中间人(AiTM)攻击而设计,旨在窃取Microsoft 365凭据。该平台通过拦截有效的会话cookie,允许攻击者绕过目标帐户的多重身份验证(MFA)保护。受害者被诱导到仿冒的Microsoft 365登录页面,输入凭据后,AiTM服务器将其转发至Microsoft的合法服务完成验证,并在返回时捕获cookie。Rockstar 2FA实际上是DadSec和Phoenix工具包的更新版,自2024年8月以来在网络犯罪社区中大受欢迎,两周售价200美元,API访问续订180美元。该服务在Telegram等平台推广,具备多项功能,如支持多个平台、逃避检测、受害者筛查、自动FUD附件和链接、用户友好的管理面板等。自2024年5月以来,已建立5000多个网络钓鱼域,滥用合法电子邮件营销平台或入侵账户传播恶意信息,使用二维码、合法缩短服务链接和PDF附件等逃避阻止方法。尽管执法部门已采取行动打击PhaaS平台,但Rockstar 2FA的出现和普及表明,只要网络犯罪分子能以低成本获取这些工具,大规模有效网络钓鱼行动的风险仍将持续存在。
https://www.bleepingcomputer.com/news/security/new-rockstar-2fa-phishing-service-targets-microsoft-365-accounts/
4. 虚假博彩应用利用AI声音窃取敏感数据
11月29日,网络犯罪分子正利用带有AI生成声音的虚假博彩应用程序和广告,通过社交媒体平台引诱用户下载欺诈性应用,从而窃取个人信息和金钱。据网络安全公司Group-IB发现,已有超过500条虚假广告和1377个恶意网站被识别,主要针对埃及、中东、欧洲和亚洲用户。这些诈骗者使用AI生成多语言声音,增加骗局的可信度,导致受害者遭受重大经济损失,部分损失超过10,000美元。用户应避免从非官方来源下载应用,警惕不可信的优惠,并采取强有力的安全措施,如使用密码和双因素身份验证,以防范此类网络诈骗。此外,虚假评论和推荐也是这些骗局的关键促成因素,用户应保持警惕,了解最新的在线诈骗和网络钓鱼技术,确保个人信息安全。
https://hackread.com/fake-betting-apps-ai-generated-voices-steal-data/
5. NHS儿童医院遭INC Ransom勒索软件团伙攻击
11月29日,英国国家医疗服务体系(NHS)的利物浦阿尔德海儿童医院和利物浦心胸医院NHS基金会似乎正遭受INC Ransom勒索软件团伙的攻击,该团伙威胁要泄露其所窃取的数据。据称,这些数据包括患者和捐赠者的全名、地址、捐赠金额、医疗报告和财务文件等,时间跨度从2018年至2024年。医院已发表声明,正在与合作伙伴核实数据并了解潜在影响,同时与国家犯罪局合作保护系统。与此同时,地理位置相邻的威勒尔NHS信托机构也遭遇了网络攻击,但两次袭击似乎没有关联。尽管NHS组织受到袭击的情况并不罕见,但两次袭击在同一周内相隔不远,实属奇怪。阿尔德·黑伊医院表示,其服务正常运行,没有受到影响。INC Ransom团伙曾袭击过苏格兰NHS系统,并窃取了15万人的数据,此次袭击手法类似,可能是为了施加压力以满足勒索要求。
https://www.theregister.com/2024/11/29/inc_ransom_alder_hey_childrens_hospital/
6. 俄罗斯执法部门已逮捕并起诉网络犯罪分子Wazawaka
11月29日,俄罗斯执法部门已逮捕并起诉臭名昭著的勒索软件开发者米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev),他也被称为Wazawaka、Uhodiransomwar、m1x和Boriselcin。他被指控开发恶意软件并参与多个黑客组织。据俄罗斯内务部声明,调查人员已收集到足够证据,并将其移送至加里宁格勒市中央地方法院进行审理。网络政策专家奥列格·沙基洛夫发现,马特维耶夫计划使用勒索软件加密商业组织的数据以收取解密赎金。去年5月,美国司法部也对马特维耶夫提出指控,指控他参与了Hive和LockBit勒索软件行动。此外,他还被认为是Ramp黑客论坛的创建者和管理员,以及Babuk勒索软件行动的最初管理员。美国财政部外国资产控制办公室也对马特维耶夫实施了制裁,美国国务院悬赏1000万美元征集有关他的信息。马特维耶夫在网上非常活跃,经常与网络安全研究人员和专业人士交谈,并公开讨论他的网络犯罪活动。在受到美国制裁后,他甚至在推特上嘲讽美国执法部门,并发布了一张通缉海报的照片。
https://www.bleepingcomputer.com/news/security/russia-arrests-cybercriminal-wazawaka-for-ties-with-ransomware-gangs/
京公网安备11010802024551号