安卓银行木马DoubleTrouble升级,威胁欧洲用户安全
发布时间 2025-08-041. 安卓银行木马DoubleTrouble升级,威胁欧洲用户安全
7月31日,安全研究人员发现一款名为“DoubleTrouble”的安卓银行木马完成重大技术升级,其传播手段与攻击能力显著增强,对欧洲用户构成严峻挑战。该木马最初通过仿冒大型银行钓鱼网站传播,如今已扩展至利用Discord平台托管恶意APK文件进行分发,大幅降低了传统安全工具的检测效率。据Zimperium团队分析,当前攻击活动涉及9个最新样本及25个早期变种,其功能迭代速度与隐蔽性引发行业高度关注。新版木马集成多项敏感功能:通过MediaProjection与VirtualDisplay接口实现实时屏幕录制,可绕过多因素认证直接捕获用户操作画面;伪造锁屏界面窃取PIN码、密码及解锁图案;基于无障碍事件的键盘记录功能,能精准捕获用户输入内容。此外,木马还部署定制化钓鱼覆盖层,仿冒银行应用登录界面诱导用户提交凭证,目标涵盖银行APP、密码管理工具及加密货币钱包。窃取数据经编码后传输至远程C2服务器,形成完整数据窃取链条。
https://www.infosecurity-magazine.com/news/android-malware-targets-banks-via/
2. 朝鲜Lazarus Group利用恶意开源软件包实施网络间谍活动
7月31日,据安全厂商Sonatype报告,朝鲜国家支持的Lazarus Group在2025年上半年发起了一场大规模网络间谍行动,通过分发200余个恶意开源软件包(涉及npm和PyPI平台),成功渗透全球开发环境。此次攻击被认定为该组织的“战略转变”,标志着其从传统的机会主义攻击转向长期数据窃取与间谍活动。Sonatype在2025年1月至6月间累计拦截234个独特恶意包,估算潜在受害者达3.6万人。这些软件包通过冒充合法开发库实施诱骗,开发者在未经验证或沙盒测试的情况下直接安装,导致恶意代码经CI/CD自动化流程扩散至生产系统。攻击采用多阶段设计:初期植入程序负责建立持久化后门,后续阶段则专注于窃取敏感数据,包括开发机凭证、云基础设施令牌及源代码存储库访问权限。报告强调,Lazarus的目标已超越单纯窃取凭证,其核心意图在于通过控制开发者环境,进一步渗透企业网络。此次行动特别针对DevOps密集型组织,因其自动化管道易成为恶意依赖项的传播节点。
https://www.infosecurity-magazine.com/news/200-malicious-open-source-lazarus/
3. 加州大学伯克利分校数据库遭泄露
7月31日,作为美国顶尖公立研究型大学,加州大学伯克利分校近日被曝遭遇重大数据泄露事件。一名威胁行为者在网络犯罪论坛公开出售所谓“完整数据库”,声称包含学生数据、研讨会信息、教师详情、用户账户(含用户名、电子邮件及哈希密码)及支付信息等敏感内容,并以SQL和CSV格式提供数据,同时兜售访问该校phpMyAdmin数据库管理面板的权限。为证明真实性,攻击者发布了多张截图,展示其对数据库后端的控制权限,包括含敏感信息的表格及用户账户列表。威胁者提供的截图显示,其成功侵入数据库后端,可查看包含学生、教职员工个人信息的表格,并获取了大量用户账户的哈希密码。此外,攻击者指出,在发帖期间,伯克利分校多个子域名出现服务中断,官方网站亦显示数据库连接错误,进一步佐证了数据泄露的真实性。这些系统异常可能与攻击者的操作直接相关,或反映该校网络安全防护存在重大漏洞。
https://dailydarkweb.net/uc-berkeley-targeted-in-major-data-breach-full-university-database-allegedly-for-sale-online/
4. Akira勒索软件利用SonicWall VPN零日漏洞实施攻击
8月3日,北极狼实验室(Arctic Wolf Labs)研究人员近日发布报告,揭示Akira勒索软件正通过SonicWall SSL VPN设备发起疑似零日漏洞攻击,甚至突破已完全修补、启用多因素认证(MFA)及凭证轮换机制的系统。该攻击活动自2025年7月15日起呈现激增态势,其历史可追溯至2024年10月,引发网络安全领域高度关注。研究指出,尽管未完全排除暴力破解、凭证填充等传统攻击手段的可能性,但多项证据表明SonicWall VPN存在未公开的零日漏洞。部分案例显示,即便设备已完成最新补丁更新、启用基于时间的一次性密码(TOTP)MFA,并在凭证轮换后仍遭入侵。攻击者利用虚拟专用服务器(VPS)托管进行VPN身份验证,与合法用户通过宽带服务商网络登录的行为模式存在显著差异。此外,入侵与数据加密间的短暂时间差,暗示攻击者具备快速横向移动能力。针对这一威胁,北极狼实验室建议组织临时禁用SonicWall SSL VPN服务,直至官方发布有效补丁。
https://securityaffairs.com/180724/cyber-crime/akira-ransomware-targets-sonicwall-vpns-in-likely-zero-day-attacks.html
5. 佛罗里达州监狱数据泄露事件引发家属安全恐慌
8月1日,美国佛罗里达州大沼泽地惩教所(ECI)近期发生一起严重数据泄露事件:一名工作人员误向所有囚犯发送电子邮件,其中包含同狱囚犯访客的联系方式,包括姓名、电子邮件地址及电话号码。这些信息通过监狱内的信息亭和安全平板电脑被囚犯获取,导致大量囚犯家属陷入安全恐慌。多名受影响家属向媒体透露,泄露的联系方式可能被用于勒索或骚扰。例如,简·汤普森担忧道:“若囚犯间发生矛盾,可能通过泄露的电话号码威胁家属支付赎金,否则伤害其被关押的亲属。”帕特里斯·凯利则因曾遭遇跟踪,更担心自己的数字隐私被犯罪分子利用。尽管监狱已通知部分家属数据泄露情况,但佛罗里达州惩教部门未对媒体询问作出回应,进一步加剧了公众的不安。
https://www.theregister.com/2025/08/01/florida_prison_email_blunder/
6. 新型多阶段恶意软件利用Windows快捷方式传播REMCOS后门
8月2日,安全研究人员近日披露了一起新型多阶段恶意软件攻击活动,其通过精心伪装的Windows快捷方式传播危险的REMCOS远程访问木马。该攻击链设计巧妙,利用用户对“无害文件”的信任实现隐蔽入侵,最终赋予攻击者完全控制受感染系统的能力。攻击始于一个看似正常的LNK文件,通常通过电子邮件附件传播,文件名伪装成“ORDINE-DI-ACQUIST-7263535”等商务相关名称以降低用户警惕。当用户点击该文件时,其内置的PowerShell命令会在后台静默执行,绕过传统安全检测机制。PowerShell作为Windows任务自动化工具,在此次攻击中被滥用为恶意载荷下载器:通过从远程服务器获取Base64编码的有效载荷并解码,最终启动一个伪装成“CHROME.PIF”的可执行文件。解码后的载荷最终在系统%ProgramData%目录下创建“Remcos”文件夹,安装REMCOS后门并生成击键日志文件,确保持久化驻留。攻击者可借此实施键盘记录、创建远程Shell、访问文件,甚至控制摄像头和麦克风进行实时监视。
https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/
京公网安备11010802024551号