Banshee恶意软件利用XProtect加密逃避检测窃取macOS敏感数据
发布时间 2025-01-131. Banshee恶意软件利用XProtect加密逃避检测窃取macOS敏感数据
1月9日,过去两个月,macOS系统的Banshee信息窃取恶意软件出现了新版本,采用Apple XProtect的字符串加密技术逃避检测。Banshee是一种窃取即服务,网络犯罪分子可以付费获得。其源代码于2024年11月泄露,导致项目关闭,但也为其他开发人员提供了改进机会。新版本通过扰乱字符串并在执行期间解密,以及针对macOS和第三方反恶意软件工具对特定加密技术的低怀疑度,逃避了标准静态检测方法。Banshee主要通过欺骗性的GitHub存储库传播,针对macOS用户,同时也使用Lumma Stealer针对Windows用户。该恶意软件的目标是窃取存储在流行浏览器中的数据,如密码和双因素身份验证扩展,以及收集主机的基本系统和网络信息,并提供欺骗性登录提示以窃取macOS密码。尽管Banshee运营自11月以来停滞,但源代码泄露后,多个网络钓鱼活动仍在传播该恶意软件。
https://www.bleepingcomputer.com/news/security/banshee-stealer-evades-detection-using-apple-xprotect-encryption-algo/
2. STIIIZY大麻药房数据泄露事件,Everest团伙被指为幕后黑手
1月11日,加利福尼亚州的大型大麻药房STIIIZY近期遭遇了一次严重的数据泄露事件,导致从该公司旧金山、阿拉米达和莫德斯托店铺购买产品的顾客个人信息被非法获取。泄露的信息包括身份证、护照、医用大麻卡、照片以及姓名、年龄、地址等个人资料,还有交易历史等敏感信息。STIIIZY在网站上发布了违规通知,并向加州监管机构提交了相关文件。据悉,这次攻击是由一个有组织的网络犯罪集团发起的,他们在2024年10月10日至11月10日期间通过销售点处理服务供应商的系统获取了客户信息。Everest网络犯罪团伙声称对此次攻击负责,并声称窃取了422,075条个人记录。尽管部分客户获得了免费信用监控服务,但服务期限未公开。勒索软件专家指出,Everest团伙以勒索受害者而闻名,他们擅长利用弱凭证、未修补的漏洞和网络钓鱼攻击等手段来获取未经授权的访问权限,并通过加密通信渠道和安全方法来掩盖其活动。
https://therecord.media/marijuana-dispensary-warns-of-data-breach
3. Telefónica内部票务系统遭黑客入侵,2.3GB数据被盗泄露
1月10日,西班牙跨国电信公司Telefónica证实,其内部票务系统遭到黑客入侵,部分数据已在黑客论坛上泄露。Telefónica是西班牙最大的电信公司,以Movistar品牌运营,业务遍及12个国家,拥有超过104,000名员工。攻击者利用泄露的员工凭证入侵了公司的Jira开发和票务服务器,该服务器用于报告和解决内部问题。据称,攻击者抓取了大约2.3 GB的文档、票据和各种数据,虽然一些数据被标记为客户,但可能是以客户名义开具的。Telefónica已采取必要措施阻止任何未经授权的系统访问,并在受影响的账户上重置了密码。此次攻击背后的三人也是最近发起的勒索软件行动“Hellcat Ransomware”的成员,该团伙曾成功入侵施耐德电气公司并窃取40GB数据。攻击者表示,他们在网上泄露数据之前,没有联系Telefónica或试图勒索他们。
https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/
4. 斯洛伐克土地登记处遭受史上最大网络攻击
1月11日,斯洛伐克本周早些时候遭受了历史上最大的网络攻击,目标是负责管理土地和财产数据的斯洛伐克大地测量、制图和地籍局(UGKK)。该局系统被勒索软件攻击后关闭,实体办公室也于周二关闭,攻击者索要数百万欧元的赎金。农业部长表示将通过备份恢复系统,并保证所有权数据没有更改或欺诈性转录的风险,但恢复可能需要数月时间。此次攻击对依赖土地登记数据的行业产生了广泛影响,房地产和抵押贷款市场陷入瘫痪,相关公共服务也无法获得。同时,斯洛伐克和乌克兰之间的紧张局势正在加剧,斯洛伐克民族主义政党呼吁外交部长召见乌克兰大使讨论此事。此次攻击的具体来源尚未确定,但斯洛伐克方面有强烈迹象表明攻击源自乌克兰。
https://therecord.media/slovakia-registry-cyberattack-land-agriculture
5. Proton全球服务中断:Kubernetes迁移与软件更改致负载激增
1月10日,隐私保护服务提供商Proton周四遭遇全球范围的大规模服务中断,此次中断是由于正在进行的基础设施向Kubernetes迁移以及软件更改所引发的初始负载激增所致。事件始于美国东部时间上午10点左右,导致用户无法连接到Proton的VPN、Mail、Calendar、Drive、Pass和Wallet等服务。受影响的用户在尝试连接时会收到错误消息,指出无法加载页面。经过大约两小时的努力,所有服务陆续恢复正常,其中Proton Mail和Calendar是最后恢复的服务。Proton在对事件进行调查后透露,此次中断是由站点可靠性工程团队发现的软件更改所引发的。该更改限制了数据库服务器的新连接数量,导致在连接用户数量急剧增加时出现负载峰值,进而使基础设施超负荷。虽然Proton拥有足够的额外容量来处理新连接,但向Kubernetes的迁移需要同时运行两个并行基础设施,使得平衡负载变得困难。因此,在恢复过程中,用户遇到了性能下降和间歇性服务不可用的情况。
https://www.bleepingcomputer.com/news/technology/proton-worldwide-outage-caused-by-kubernetes-migration-software-change/
6. 网络犯罪分子诱骗用户重新启用iMessage禁用链接实施钓鱼攻击
1月12日,网络犯罪分子近期采用了一种新技巧,通过诱骗用户操作,关闭了Apple iMessage内置的短信网络钓鱼保护功能。随着移动设备在日常生活中的广泛应用,手机号码成为短信网络钓鱼攻击的重点目标。为保护用户,iMessage默认禁用未知发件人消息中的链接。然而,苹果指出,一旦用户回复此类消息或将发件人加入联系人列表,这些链接就会被重新启用。BleepingComputer观察到,近几个月来,短信网络钓鱼攻击数量显著增加,攻击者通过诱导用户回复短信(如回复“Y”)来重新启用链接。此类短信通常伪装成USPS运输问题或未付道路通行费等诱饵,要求用户执行特定操作以激活链接。这种策略利用了用户习惯确认或拒绝短信的心理,使他们成为易受攻击的目标。即使未点击链接,回复行为本身也会暴露用户的易感性,使其面临更大风险。因此,面对链接被禁用或来自未知发件人的要求回复的短信,用户应保持警惕,直接联系相关公司或组织进行验证,而非轻易回复。特别是老年用户,他们往往是此类网络钓鱼信息的主要目标,需谨慎对待,以免泄露个人信息。
https://www.bleepingcomputer.com/news/security/phishing-texts-trick-apple-imessage-users-into-disabling-protection/
京公网安备11010802024551号