SuperCard X利用NFC中继攻击瞄准Android设备
发布时间 2025-04-211. SuperCard X利用NFC中继攻击瞄准Android设备
4月19日,新型恶意软件即服务(MaaS)平台“SuperCard X”已现身,该平台针对Android设备,通过NFC中继攻击实施销售点及ATM交易欺诈,利用泄露的支付卡数据非法获利。此平台代码与开源项目NFCGate及其恶意变种NGate存在相似性,后者自去年起在欧洲频繁发动攻击。SuperCard X通过Telegram频道进行推广,并为“客户”提供直接支持。移动安全公司Cleafy在意大利监测到利用此恶意软件的攻击活动,这些攻击涉及多个样本,显示其联盟会员可根据地域或特定需求定制版本。攻击流程始于受害者收到冒充银行的虚假信息,随后骗子通过社交工程手段诱骗受害者提供卡号和PIN码,并诱导其安装伪装成安全或验证工具的恶意应用“Reader”。安装后,该应用仅请求访问NFC模块的权限,进而窃取支付卡数据。攻击者利用窃取的数据在Android设备上模拟受害者的卡,进行非接触式支付和ATM取款。值得注意的是,SuperCard X目前尚未被VirusTotal上的任何防病毒引擎标记,且由于不包含危险权限请求和攻击性功能,能够规避启发式扫描的检测。
https://www.bleepingcomputer.com/news/security/supercard-x-android-malware-use-stolen-cards-in-nfc-relay-attacks/
2. Erlang/OTP SSH严重漏洞现已公开,请立即修补
4月19日,近日,针对Erlang/OTP SSH的一个严重漏洞(CVE-2025-32433)的公开攻击已浮出水面,该漏洞允许未经身份验证的攻击者在受影响设备上远程执行代码,德国波鸿鲁尔大学研究人员于周三披露了此漏洞,并警告所有运行该守护进程的设备均存在风险。漏洞源于SSH协议消息处理中的一个缺陷,使得攻击者能在身份验证前发送连接协议消息。尽管该漏洞已在25.3.2.10和26.2.4版本中修复,但由于Erlang/OTP常用于电信基础设施、数据库和高可用性系统,设备更新可能并不容易。然而,情况更为紧迫的是,多名网络安全研究人员已私下创建了可在易受攻击设备上实现远程代码执行的漏洞,其中包括Zero Day Initiative的Peter Girnus和Horizon3的研究人员,他们均表示该漏洞极易被利用。不久后,ProDefense在GitHub上发布了PoC漏洞,并在Pastebin上匿名发布了另一个漏洞,两者均在社交媒体上迅速传播。鉴于SSH是最常用的远程访问管理协议,且电信公司频繁成为国家级APT攻击的目标,研究人员强烈建议所有运行Erlang OTP SSH的设备在受到威胁者攻击之前立即升级。
https://www.bleepingcomputer.com/news/security/public-exploits-released-for-critical-erlang-otp-ssh-flaw-patch-now/
3. Kairos组织泄露巴尔的摩市检察官办公室数据
4月19日,近日,一起涉及马里兰州巴尔的摩市检察官办公室的数据泄露事件引发关注。名为Kairos的组织于2025年3月31日将stattorney[.]org添加到其泄密网站,并声称获取了325GB文件,包括犯罪受害者和犯罪者的敏感信息。尽管DataBreaches多次询问,但州检察官办公室始终未就数据泄露事件作出回应,其网站上亦无相关披露。据Kairos称,他们通常给予目标7天时间联系,否则将在网站上发布倒计时。在本案中,Kairos在将州政府机构列入泄密网站约5天后,收到州检察官办公室的信件,要求不要发布任何信息,随后双方开始谈判。然而,谈判短暂且未果,州检察官办公室要求提供所有下载文件的清单,并选择5个文件进行提交,之后谈判结束。DataBreaches对数据集的检查证实了Kairos的说法,他们下载了大量刑事案件文件,包括罪犯和受害者的个人信息,其中许多记录涉及青少年,并提供了他们的犯罪、安置、治疗和职业再培训等细节。此外,DataBreaches还发现了关于警员调查的报告,以及包含巴尔的摩警察局6350多名警员姓名、职级和疑似个人电话号码的电子表格。
https://databreaches.net/2025/04/19/baltimore-city-states-attorneys-office-hacked-data-leaked/
4. 华硕路由器AiCloud功能现严重身份验证绕过漏洞
4月18日,华硕近日发出安全警告,指出启用AiCloud功能的路由器存在严重身份验证绕过漏洞(CVE-2025-2492,CVSS v4评分:9.2)。该漏洞允许远程攻击者无需身份验证,通过特制请求在设备上执行未经授权的功能,风险极高。华硕公告指出,部分路由器固件系列存在不当的身份验证控制,该漏洞可能由精心设计的请求触发,进而导致未经授权的功能执行。AiCloud作为华硕路由器内置的基于云的远程访问功能,可将路由器转变为微型私有云服务器,允许用户远程访问文件、流媒体、同步文件及共享文件。然而,此漏洞影响广泛,已针对多个固件分支发布修复程序,包括3.0.0.4_382系列等。为保障安全,华硕建议用户立即升级到最新固件版本,可在供应商的支持门户或产品查找页面获取。同时,用户应使用不同密码保护无线网络和路由器管理页面,确保密码至少10个字符长且包含字母、数字和符号。对于受影响的停产产品用户,建议完全禁用AiCloud并关闭相关服务的互联网访问。
https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/
5. Chrome扩展程序恶意功能网络,600万用户受影响
4月18日,Secure Annex研究员John Tuckner发现一个由58个Chrome扩展程序组成的恶意网络,总安装量达600万次。这些扩展程序伪装成隐私或实用工具,如优惠券查找器、广告拦截器等,甚至有些声称能保护用户免受其他恶意扩展程序侵害,但均获得过于宽泛的权限,并包含隐藏的潜在恶意功能,如访问Cookie和令牌、监视用户行为、运行远程代码以及检索其他敏感数据。这些扩展程序大多未公开,无法通过Chrome网上应用店或搜索引擎找到,只能通过恶意链接传播。研究人员指出,此类扩展程序存在巨大安全隐患,部分已被谷歌评为“推荐”却无法被发现,容易误导用户。Tuckner最初通过拼写错误的域名识别出35个未公开的疑似恶意扩展程序,后在Obsidian Security的帮助下更新了列表。据报道,谷歌已知晓这项研究,并已下架部分可疑扩展程序,但并非全部。报告提供了完整的入侵指标列表,并警告称,过于宽泛和侵入性的权限、域名拼写错误以及大量经过严重混淆的代码,都是扩展程序可能存在恶意行为的迹象。
https://cybernews.com/security/network-of-chrome-extensions-contain-secret-code-to-track-users/
6. 新型Gorilla Android恶意软件拦截OTP短信
4月19日,网络安全领域出现一种名为“Gorilla”的复杂新型Android恶意软件,其目标直指包含一次性密码(OTP)的短信拦截。该恶意软件在后台悄然运行,借助Android权限系统窃取受感染设备上的敏感信息。初步分析显示,Gorilla主要瞄准银行客户及Yandex等热门服务用户,对窃取的短信进行细致分类,以便攻击者轻松利用。Gorilla利用关键的Android权限访问SIM卡信息及设备电话号码,并通过WebSocket协议与C2基础设施建立持久连接,实现实时通信与数据泄露。为逃避检测,该恶意软件采用不寻常技术,避免使用可能引起怀疑的 API,转而查询启动器意图以收集已安装应用程序信息。C2面板揭示了Gorilla的复杂操作,窃取的短信被有条不紊地组织在“银行”和“Yandex”等标签下,显示出其针对金融信息和热门服务的精准打击。该恶意软件通过一系列后台服务持续运行,利用startForeground API及FOREGROUND_SERVICE权限显示通知,掩盖其恶意活动。技术分析显示,Gorilla的命令结构包含三种主要操作类型,其中“send_sms”命令尤为关键,允许攻击者从受感染设备发送自定义短信。
https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/
京公网安备11010802024551号