新型Crocodilus恶意软件窃取Android用户加密钱包密钥
发布时间 2025-03-311. 新型Crocodilus恶意软件窃取Android用户加密钱包密钥
3月30日,新发现的Android银行恶意软件"Crocodilus"通过整合社会工程学攻击与高级渗透技术,展现出对加密货币钱包及金融账户的严重威胁。该恶意软件利用专有植入器绕过Android 13及以上版本的安全机制,通过恶意网站、社交欺诈或第三方应用商店实施初始感染。其攻击链的核心在于诱导用户泄露加密钱包的"种子短语",攻击者通过伪造系统警告界面,催促用户在12小时内备份钱包密钥,实则利用辅助功能服务记录用户输入信息,进而完全控制数字资产。技术分析显示,Crocodilus具备完整的RAT(远程访问木马)功能,可实施23项设备控制指令,包括拦截短信、篡改认证器截图窃取双因素令牌、覆盖屏幕界面盗取银行凭证等。其特殊能力在于激活黑屏静默模式隐藏攻击行为,同时滥用辅助功能服务突破无障碍权限限制。当前攻击目标集中于土耳其和西班牙的金融用户,但模块化设计暗示其具备快速扩展攻击面的潜力。安全专家建议用户应严格遵循官方应用商店下载原则,保持Play Protect实时防护,并对要求提供敏感信息的异常系统提示保持警惕。
https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/
2. Oracle Health旧服务器遭入侵致美多家医院患者数据泄露
3月28日,知名医疗信息化服务商Oracle Health(前身为Cerner)确认其遗留服务器遭未授权访问,导致多家美国医疗机构患者数据泄露。据调查,攻击者利用泄露的客户凭证于2025年1月入侵未迁移至Oracle Cloud的旧版Cerner服务器,窃取了可能包含电子健康记录(EHR)的敏感信息。尽管Oracle在私密通知中仅表述为"部分数据受影响",但多个消息源证实患者信息确已被盗。此次事件暴露Oracle在危机处理中的透明度不足:受影响医院收到的通知采用普通白纸而非官方信笺,且公司未公开承认安全违规。更引发关注的是,威胁行为者"安德鲁"通过明网网站实施勒索,要求数百万美元加密货币以阻止数据公开,其攻击手法与已知勒索团伙无关联。医疗机构被迫自行评估是否违反HIPAA法规并承担患者通知责任,而Oracle仅提供有限协助模板和费用补偿。技术细节显示,攻击者将盗取数据转移至远程服务器,其作案手法与近期Oracle Cloud联合单点登录(SSO)服务器遭入侵事件存在潜在关联。此前威胁者曾宣称窃取600万条LDAP认证数据,尽管Oracle官方否认,但客户验证样本证实数据有效性。安全专家指出,Oracle在处理两起事件中的信息封闭策略,可能加剧医疗客户在合规应对和患者信任重建中的困境。
https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/
3. Grandoreiro木马再发全球钓鱼攻击,伪装税务窃取金融数据
3月28日,网络安全公司Forcepoint近期发布的威胁情报显示,长期活跃的Grandoreiro银行木马正通过新型网络钓鱼攻势对全球金融系统构成严重威胁。该恶意软件自2016年首次现身巴西后,逐步将攻击范围扩展至墨西哥、葡萄牙、西班牙等拉美及欧洲国家,并在2024年进一步将目标锁定亚洲金融机构,形成覆盖1700家银行及276个加密钱包的全球攻击网络。值得关注的是,Grandoreiro采用"恶意软件即服务"(MaaS)商业模式运营,其背后的Tetrade犯罪集团即便在2021年与2024年多次执法打击中成员遭捕,仍持续更新攻击手法。最新攻击活动利用OVHcloud基础设施伪装税务罚款通知,通过Mediafire平台分发的PDF文档加载恶意载荷,受害者收到的混淆型Visual Basic脚本与虚假Delphi可执行文件,可窃取账户凭证并通过加密压缩文件规避安全检测。技术层面,该木马展现出高度模块化的攻击特征:执行后不仅窃取用户凭证,还会扫描比特币钱包路径并与攻击者控制的contaboserver[.]net子域名建立C&C通信,通过频繁更换子域名域名来逃避追踪。Forcepoint特别强调,攻击者正利用合法托管服务Contabo的信誉实施犯罪,凸显了网络犯罪链条中基础设施滥用的新趋势。
https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/
4. Twitter(X)涉嫌内部人员操作导致28亿个人资料数据泄露
3月29日,社交媒体平台X(原Twitter)遭遇史上最大规模用户数据泄露事件,涉及高达28亿用户信息,但该公司至今未作官方回应。安全社区Breach Forums上,用户ThinkingOne发布声明称,此次泄露源于X公司裁员期间某员工的不满行为,并提供了包含400GB原始数据的证据。此次事件与2023年泄露形成鲜明对比。2023年事件涉及2.09亿用户,主要暴露电子邮件、用户名等公开信息,X公司当时以"无敏感数据"为由淡化影响。而2025年泄露虽不含电子邮件,却包含用户ID、账户创建日期、地理位置、推文历史等动态元数据,实质构建了用户行为的全维度画像。值得注意的是,ThinkingOne将两次泄露数据合并生成34GB数据集,导致公众误判2025年泄露包含邮件信息。实际上,邮件数据仅来自2023年事件。这种混淆操作放大了事件影响,引发对数据完整性的质疑。关于28亿用户的异常数字,安全专家指出可能存在多重统计偏差:包含已删除账户、机器人账号、API服务账号等非真实用户实体,或是历史数据叠加导致重复计数。此外,ThinkingOne的数据来源仍存疑,其身份更偏向数据分析师而非传统黑客,其获取途径可能涉及内部泄密或复杂的数据聚合。
https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/
5. 山姆会员店调查Clop勒索软件,零日漏洞威胁数据安全
3月28日,沃尔玛旗下仓储零售巨头山姆会员商店(Sam's Club)正面临Clop勒索软件团伙的入侵指控,该组织已在其暗网泄密平台发布相关条目。作为全美拥有600余家门店、海外覆盖中墨两国的仓储连锁企业,山姆拥有230万员工及843亿美元年营业额,其信息资产价值使其成为网络犯罪的高价值目标。山姆发言人证实已启动安全事件调查,强调"客户数据安全是首要关切"。尽管企业未披露技术细节,但Clop团伙的指控模式显示其惯用零日漏洞实施供应链攻击——今年初该团伙已利用Cleo文件传输软件的未披露漏洞(CVE-2024-50623)实施大规模数据窃取,导致西部联盟银行等4000余家机构中招。值得关注的是,Clop此次攻击与去年针对Accellion FTA等文件传输系统的零日漏洞利用如出一辙,反映出其对关键基础设施的精准打击策略。而山姆并非首次遭遇安全危机:2020年曾发生凭证填充攻击,迫使企业重置数万客户密码,当时公司强调系外部钓鱼活动所致而非系统被突破。当前调查焦点在于确认Clop是否成功渗透山姆系统,以及是否利用Cleo漏洞实施攻击。鉴于山姆会员数据包含消费记录等敏感信息,潜在泄露风险可能引发大规模欺诈及合规风险。
https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/
6. Morphing Meerkat钓鱼即服务利用DoH与MX记录规避检测
3月28日,网络犯罪领域近期浮现的"Morphing Meerkat"钓鱼即服务(PhaaS)平台,展现出高度精密的攻击技术链。该组织自2020年起持续活跃,通过DNS over HTTPS(DoH)加密协议与DNS邮件交换(MX)记录查询构建动态攻击基础设施,成功规避传统安全监测。研究显示,该团伙运营着包含114个品牌仿冒模板的钓鱼工具包,利用iomart和HostPapa的SMTP服务分发多语言钓鱼邮件。攻击邮件采用"账户停用"等紧急主题,配合发件人地址伪造技术,诱导受害者点击恶意链接。后续攻击链经过精心设计的开放重定向路径,涉及被入侵的WordPress站点、虚假域名及免费托管服务,最终通过Google/Cloudflare的DoH服务加载钓鱼页面。技术突破体现在其双重规避策略:一方面,DoH加密查询使DNS流量分析失效;另一方面,实时解析受害者邮箱域的MX记录,动态生成与其邮件服务商匹配的钓鱼页面。攻击者甚至设置"密码错误"虚假提示,诱骗用户重复提交凭证,并通过AJAX请求与PHP脚本即时回传数据,辅以Telegram机器人实现实时数据转发。防御分析指出,企业应加强DNS层管控,限制非业务相关的DoH通信,阻断与广告技术、文件共享等高风险基础设施的交互。
https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/
京公网安备11010802024551号