首頁 > 安全研究 > 安全通報 > 安全簡訊

Cuckoo macOS惡意軟件可控制Mac并竊取密碼

發布時間 2024-05-08
1. Cuckoo macOS惡意軟件可控制Mac并竊取密碼


5月7日,黑客正在使用新的 Mac 惡意軟件對運行 Apple Silicon 的新型 Mac 以及基于 Intel 的舊 Mac 發起攻擊。據《黑客新聞》報道,Kandji 的安全研究人員將這種惡意軟件稱為 Cuckoo。除了針對較新和較舊的 Mac 電腦外,Cuckoo 的與眾不同之處還在于它的行為類似于信息竊取惡意軟件和間諜軟件的混合體。在一篇博客文章中,Kandji 的 Adam Kohler 和 Christopher Lopez 解釋說,他們在惡意軟件跟蹤網站 VirusTotal 上發現了一個以前未檢測到的惡意 Mach-O 二進制文件,其名稱為“DumpMedia Spotify Music Converter”。然后,他們在網上查找該程序的名稱,發現該程序是從一個名為 dumpmedia[.]com 的網站分發的,該網站提供多個應用程序,可以幫助用戶將流媒體服務中的音樂轉換為 MP3 文件。


https://news.hitb.org/content/new-cuckoo-macos-malware-can-take-over-all-macs-and-steals-your-passwords-too


2. 研究團隊演示針對所有VPN程序的攻擊TunnelVision


5月7日,研究人員設計了一種針對幾乎所有虛擬專用網絡應用程序的攻擊,迫使它們在加密隧道之外發送和接收部分或全部流量,旨在保護其免遭窺探或篡改。研究人員將其攻擊命名為 TunnelVision,將傳入和傳出的互聯網流量封裝在加密隧道中并隱藏用戶的 IP 地址。研究人員認為,當所有 VPN 應用程序連接到惡意網絡時,它都會影響它們,并且除了當用戶的 VPN 在 Linux 或 Android 上運行時之外,沒有其他方法可以防止此類攻擊。他們還表示,他們的攻擊技術可能自 2002 年以來就已成為可能,并且從那時起就已經被發現并在野外使用。一段視頻演示解釋道,TunnelVision 的效果是“受害者的流量現在已被揭開并直接通過攻擊者進行路由”?!肮粽呖梢宰x取、刪除或修改泄露的流量,而受害者則保持與 VPN 和互聯網的連接?!?/p>


https://news.hitb.org/content/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose


3. 偽裝成證書的 LNK 文件分發 RokRAT 惡意軟件


5月7日,AhnLab安全情報中心(ASEC)已確認持續傳播異常大小的快捷方式文件(*.LNK),用于傳播后門類型的惡意軟件。最近確認的快捷方式文件(*.LNK)被發現是針對韓國用戶,特別是與朝鮮有關的用戶。確認的LNK文件名如下:國家信息學院第八期綜合課程證書(最終).lnk、門禁名冊2024.lnk、東北項目(美國國會研究服務處(CRS 報告).lnk和設施清單.lnk。已確認的LNK文件包含通過CMD執行PowerShell的命令,其類型與去年發布的“RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)” [1]中發現的類型類似。關于這種類型的一個值得注意的事實是,它在 LNK 文件中包含合法文檔文件、腳本代碼和惡意 PE 數據。


https://asec.ahnlab.com/en/65076/


4. 2023年第三方造成的數據泄露增加了68%


5月7日,近年來供應鏈違規事件一直呈上升趨勢。根據 Verizon 最新的數據泄露調查報告 (DBIR),近幾個月來這一增長尤為急劇。2023 年所有違規行為中約有 15% 涉及第三方,比 2022 年的 9% 顯著增加。不過,這些數字與會計和攻擊的關系同樣重要。事實上,被利用的漏洞是 DBIR 供應鏈指標中最常見的事件記錄和事件共享 (VERIS) 行為詞匯,其次是后門/命令與控制 (C2) 和勒索。Verizon 威脅情報副總監 Alex Pinto 表示:去年,在勒索軟件領域,我們看到,無論是自己研究還是購買,[威脅行為者]已經掌握了如此多的零日漏洞。對于 DBIR 團隊來說,解決錯誤不僅僅是在錯誤出現時進行修補。這是關于組織如何選擇供應商并與其合作的問題。沒有組織可以阻止他們使用的軟件中的每個潛在漏洞,但供應商確實“泄漏”了某些可能表明其價值的信號。


https://www.darkreading.com/cyber-risk/supply-chain-breaches-up-68-yoy-according-to-dbir


5. Tinyproxy嚴重漏洞導致超過5萬臺主機可執行遠程代碼


5月6日,90310 臺主機中超過 50% 被發現在互聯網上暴露了Tinyproxy 服務,該服務容易受到 HTTP/HTTPS 代理工具中未修補的嚴重安全漏洞的影響。根據 Cisco Talos ,該問題的編號為CVE-2023-49606,CVSS 評分為 9.8 分(滿分 10 分),該問題將其描述為影響版本 1.10.0 和 1.11.1 的釋放后使用錯誤。Talos在一份公告中表示:特制的 HTTP 標頭可能會觸發先前釋放的內存的重用,從而導致內存損壞并可能導致遠程代碼執行。攻擊者需要發出未經身份驗證的 HTTP 請求才能觸發此漏洞。換句話說,未經身份驗證的威脅參與者可以發送特制的HTTP 連接標頭來觸發內存損壞,從而導致遠程代碼執行。根據攻擊面管理公司 Censys 共享的數據,截至 2024 年 5 月 3 日,在向公共互聯網公開 Tinyproxy 服務的 90,310 臺主機中,其中 52,000 臺(約 57%)運行著存在漏洞的 Tinyproxy 版本。大多數可公開訪問的主機位于美國(32,846)、韓國(18,358)、中國(7,808)、法國(5,208)和德國(3,680)。


https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html


6. 俄羅斯 BTC-e 加密貨幣交易所運營商承認洗錢罪


5月6日,根據美國司法部的一份聲明,曾經是世界上最大的虛擬貨幣交易所之一的俄羅斯運營商 BTC-e 承認參與洗錢計劃。44 歲的亞歷山大·文尼克 (Alexander Vinnik) 在 2011 年至 2017 年期間運營 BTC-e,后來該服務被執法部門關閉。在此期間,該交易所處理了超過 90 億美元的交易,并為全球超過 100 萬用戶提供服務,其中包括眾多美國客戶。根據法庭文件,作為非法活動的一部分,Vinnik 通過 BTC-e 造成了至少 1.21 億美元的損失。他還在全球范圍內設立了眾多空殼公司和金融賬戶,以允許 BTC-e 無需將該平臺注冊為貨幣服務業務即可運營。應美國要求,文尼克最初于 2017 年在希臘被捕。2020 年,他被引渡到法國,當地法院指控他入侵數千個電子郵件帳戶并向其所有者勒索錢財。隨后,他被遣返回希臘,然后被引渡到美國。與此同時,俄羅斯還要求希臘當局將文尼克遣送回國,以指控他犯有較小的欺詐罪。


https://therecord.media/btce-cryptocurrency-exchange-alexander-vinnik-money-laundering-guilty-plea

上一篇 下一篇