首頁 > 安全研究 > 安全通報 > 安全簡訊

Bahamut團伙利用假冒的VPN應用竊取Android用戶信息

發布時間 2022-11-25
1、Bahamut團伙利用假冒的VPN應用竊取Android用戶信息

11月23日,ESET披露了由APT組織Bahamut發起針對Android用戶的攻擊活動。該活動自2022年1月以來一直活躍,Bahamut重新打包了適用于Android的SoftVPN和OpenVPN應用,添加了具有間諜功能的惡意代碼。因此,該應用仍會提供VPN功能,同時還可以從移動設備中竊取信息。為了掩飾攻擊活動并提高可信度,Bahamut使用了SecureVPN(一個合法的VPN服務)的名字,并創建了一個假網站[thesecurevpn]來分發惡意應用。

https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/

2、超過50個偽造的MSI Afterburner官網分發挖礦軟件

據11月23日報道,Cyble的研究人員發現了幾個針對MSI Afterburner軟件的釣魚活動,旨在分發挖礦惡意軟件。在過去三個月中,有超過50個冒充MSI Afterburner官網的釣魚網站,會分發XMR(Monero)礦工與竊取信息的惡意軟件。具體來說,當目標執行偽造的MSI Afterburner安裝文件(MSIAfterburnerSetup.msi)時,除了會安裝合法的Afterburner程序,還會悄悄地安裝并運行惡意軟件RedLine和XMR挖礦程序。不幸的是,該活動幾乎所有的組件都沒有被殺毒軟件檢測到。

https://blog.cyble.com/2022/11/23/fake-msi-afterburner-sites-delivering-coin-miner/

3、IBM發現勒索軟件RansomExx的新變體已用Rust重寫

IBM在11月22日稱其發現了RansomExx勒索軟件的一個新變體,該變體已用Rust語言重寫。用Rust開發的惡意軟件通常會有較低的AV檢測率,這可能是它使用該語言的主要原因。新變體的功能與其C++的版本類似,將要加密的目標目錄列表作為命令行參數傳遞,然后使用AES-256加密文件,并使用RSA來保護加密密鑰,所有大于或等于40字節的文件都被加密。目前,在60多家AV提供商中只有14家檢測到了新樣本。

https://securityintelligence.com/posts/ransomexx-upgrades-rust/

4、Smith Family約8萬捐贈者的詳細信息可能已泄露

據媒體11月22日報道,澳大利亞慈善機構Smith Family透露其遭到黑客攻擊,約8萬捐贈者的詳細信息可能已被訪問。泄露信息涉及姓名、地址、電話號碼、郵件地址和捐贈記錄,以及部分支付卡的而信息。該機構的聲明表示,黑客企圖盜取資金但是沒有成功,他們已通知受影響的捐贈者,目前沒有任何人的信息被濫用。

https://www.abc.net.au/news/2022-11-22/smith-family-charity-cyber-crime-hackers-donor-details/101683860

5、偽裝成新聞調查的惡意word文檔竊取目標的信息

據ASEC 11月25日報道,近期一個與朝鮮相關的惡意Word文件一直在使用FTP泄露用戶憑據。該Word文檔的文件名為“CNA[Q].doc”,偽裝成CNA新加坡電視節目采訪。該文件受密碼保護,與密碼一起作為郵件附件分發。文件中包含惡意VBA宏,通過Document_Open()函數使惡意宏自動執行。它可以使用FTP泄露用戶的信息、創建LNK文件、更改MS Office安全設置和記錄鍵盤。

https://asec.ahnlab.com/en/42529/

6、Group-IB發布竊取信息的惡意軟件分發活動的分析報告

11月23日,Group-IB發布報告稱已確定34個俄羅斯黑客團伙在以竊取即服務模式(SaaS)分發竊取信息的惡意軟件。攻擊者主要使用Racoon和Redline竊取程序,來收集Steam和Roblox游戲帳戶的密碼,亞馬遜和PayPal的憑據,以及用戶的支付記錄和加密錢包信息。2022年的前7個月,攻擊者共感染超過89萬臺設備,竊取超過5000萬個密碼,主要針對美國、巴西、印度、德國和印度尼西亞,惡意活動涉及111個國家/地區。

https://www.group-ib.com/media-center/press-releases/professional-stealers/
上一篇 下一篇