首頁 > 安全研究 > 安全通報 > 安全簡訊

Vultur 銀行惡意軟件偽裝成 McAfee Security 應用程序

發布時間 2024-04-01
1. Vultur 銀行惡意軟件偽裝成 McAfee Security 應用程序


3月30日,安全研究人員發現了 Android 版 Vultur 銀行木馬的新版本,其中包括更先進的遠程控制功能和改進的規避機制。研究人員于 2021 年 3 月首次記錄了該惡意軟件,并在 2022 年底發現該惡意軟件通過植入應用程序在 Google Play 上傳播。2023 年底,移動安全平臺 Zimperium 將 Vultur 列入年度十大最活躍銀行木馬之列,并指出其中 9 個變種針對 15 個國家/地區的 122 個銀行應用程序。一種新的、更具規避性的 Vultur 版本通過一種混合攻擊傳播給受害者,這種攻擊依賴于短信釣魚(短信網絡釣魚)和電話,誘騙目標安裝一個版本的 Vultur。偽裝成 McAfee Security 應用程序的惡意軟件。Vultur 最新的感染鏈始于受害者收到一條短信,提醒未經授權的交易,并指示撥打提供的號碼尋求指導。詐騙者接聽電話,說服受害者打開第二條短信發送的鏈接,該鏈接指向提供 McAfee Security 應用程序修改版本的網站。


https://www.bleepingcomputer.com/news/security/vultur-banking-malware-for-android-poses-as-mcafee-security-app/


2. PyPI 暫停新用戶注冊以阻止惡意軟件活動


3月28日,PyPI 是 Python 項目的索引,可幫助開發人員查找和安裝 Python 包。該存儲庫擁有數千個可用軟件包,對于威脅行為者來說是一個有吸引力的目標,他們經常上傳拼寫錯誤或偽造的軟件包來危害軟件開發人員和潛在的供應鏈攻擊。此類活動迫使 PyPI 管理員今天早些時候宣布暫停所有新用戶注冊,以減少惡意活動。Checkmarx 的一份報告顯示,威脅行為者昨天開始向 PyPI 365 上傳具有模仿合法項目名稱的軟件包。這些軟件包的“setup.py”文件中包含惡意代碼,該代碼在安裝時執行,試圖從遠程服務器檢索額外的有效負載。為了逃避檢測,惡意代碼使用 Fernet 模塊進行加密,并在需要時動態構建遠程資源的 URL。最終的有效負載是一個具有持久性功能的信息竊取程序,其目標是存儲在網絡瀏覽器中的數據,例如登錄密碼、cookie 和加密貨幣等。


https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/?&web_view=true


3. 英國塞拉菲爾德核電站因網絡安全故障被起訴


3月29日,英國獨立核安全監管機構宣布,將起訴管理塞拉菲爾德核電站的公司,指控其“在 2019 年至 2023 年初的四年期間涉嫌信息技術安全犯罪”。目前尚不清楚國有塞拉菲爾德有限公司的高級管理人員是否會面臨指控。根據2003 年《核工業安全條例》,被定罪的個人可面臨最高兩年的監禁。正如英國首席核監察員去年的年度報告所披露的那樣,塞拉菲爾德此前因其網絡安全缺陷而成為監管機構加強關注的焦點。與此同時,在英國運營數座核電站的法國電力公司也受到了類似措施。正如英國民用核網絡安全戰略所述,國家網絡安全中心 (NCSC) 威脅評估警告稱,勒索軟件“幾乎肯定是最有可能的破壞性威脅”。盡管工業系統設計有多個故障安全裝置來防止放射性事故,但對核電站使用的 IT 系統的勒索軟件攻擊可能會擾亂其運行。塞拉菲爾德的核反應堆于 2003 年關閉,但這個龐大的綜合體仍然是歐洲最大的核電站,ONR 將其描述為“世界上最復雜、最危險的核電站之一”。


https://therecord.media/sellafield-site-prosecution-nuclear-facility-cybersecurity


4. 針對印度國防和能源部門的釣魚攻擊


3月29日,EclecticIQ 網絡安全研究人員發現了一項名為“Operation FlightNight”的網絡間諜活動,目標是印度政府實體和能源公司。攻擊者可能是由國家資助的,他們利用開源信息竊取程序 HackBrowserData 的修改版本來竊取敏感數據。EclecticIQ 發現攻擊者使用流行的通信平臺 Slack 通道作為滲透點。攻擊者成功滲透到多個負責通信、IT 和國防的政府機構。此外,私營能源公司也受到損害,有關財務文件、員工信息、甚至石油和天然氣鉆探活動的詳細信息被盜。高達 8.81 GB 的數據被泄露,可能有助于未來的入侵。攻擊者使用了一種技巧來讓受害者安裝惡意軟件。他們發送偽裝成印度空軍邀請的電子郵件。這些電子郵件包含一個 ISO 文件,該文件似乎是無害的存檔。當受害者打開ISO文件時,它實際上啟動了一個偽裝成PDF文檔的快捷方式文件(LNK) 。單擊 LNK 文件會在不知不覺中激活惡意軟件。然后,惡意軟件會竊取機密文檔、私人電子郵件和緩存的網絡瀏覽器數據。 


https://gbhackers.com/weaponized-air-force-invitation-pdf-indian-defense-energy/


5. Linux 漏洞可能導致用戶密碼泄露和剪貼板劫持


3月28日,研究人員發現Linux 操作系統中的util-linux軟件包的wall命令中存在漏洞,可能導致非特權攻擊者竊取密碼或更改受害者的剪貼板。該安全問題被追蹤為CVE-2024-28085,被稱為 WallEscape,并且在過去 11 年中一直存在于該軟件包的每個版本中,直到最近發布的2.40。盡管該漏洞是攻擊者如何欺騙用戶提供管理員密碼的一個有趣示例,但利用該漏洞可能僅限于某些情況。攻擊者需要訪問已經有多個用戶通過終端同時連接的 Linux 服務器。WallEscape 影響“wall”命令,該命令通常在 Linux 系統中用于向登錄到同一系統(例如服務器)的所有用戶的終端廣播消息。由于在通過命令行參數處理輸入時未正確過濾轉義序列,因此非特權用戶可以使用轉義控制字符利用該漏洞在其他用戶的終端上創建虛假的 SUDO 提示符,并誘騙他們輸入管理員密碼。研究人員指出,這兩種情況在 Ubuntu 22.04 LTS (Jammy Jellyfish) 和 Debian 12.5 (Bookworm) 上都存在,但在 CentOS 上不存在。


https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/?&web_view=true


6. 馬薩諸塞州健康保險公司數據泄露影響 280 萬人


3月29日,馬薩諸塞州第二大健康保險公司 Point32Health 透露,超過 280 萬人的個人信息在2023 年 4 月的勒索軟件攻擊中被盜。此次攻擊影響了與 Point32Health 的哈佛 Pilgrim 醫療保健品牌相關的系統,包括為哈佛 Pilgrim 醫療保健商業和 Medicare Advantage Stride 計劃提供服務的系統,以及“用于為會員、賬戶、經紀人和提供商提供服務”的系統。調查發現,有跡象表明數據在 2023 年 3 月 28 日至 2023 年 4 月 17 日期間從哈佛 Pilgrim 系統中被復制和獲取。被盜信息包括姓名、地址、出生日期、電話號碼、社會安全號碼、健康保險賬戶信息、財務賬戶信息、病史、診斷和治療信息等。


https://www.securityweek.com/massachusetts-health-insurer-data-breach-impacts-2-8-million/

上一篇 下一篇