首頁 > 安全研究 > 安全通報 > 安全簡訊

假冒巴林政府 Android 應用程序竊取數據用于詐騙

發布時間 2024-06-04
1. 假冒巴林政府 Android 應用程序竊取數據用于詐騙


6月2日,許多政府機構都在線提供服務,以方便公民。此外,如果可以通過移動應用程序提供這項服務,將非常方便和便捷。但是,當惡意軟件偽裝成這些服務時會發生什么?McAfee 移動研究團隊發現了一款偽裝成巴林政府機構服務的 InfoStealer Android 惡意軟件。該惡意軟件偽裝成巴林的官方應用程序,并宣傳用戶可以在手機上更新或申請駕駛執照、簽證和身份證。被廣告欺騙的用戶會毫不猶豫地獲得這些服務所需的個人信息。它們通過各種方式接觸用戶,包括 Facebook 和短信。不熟悉這些攻擊的用戶很容易犯下發送個人信息的錯誤。巴林有一個政府機構,名為勞動力市場監管局 (LMRA)。該機構在由勞工部長擔任主席的董事會指導下,擁有完全的財務和行政獨立性。他們提供各種移動服務,大多數應用程序只提供一項服務。然而,這個假冒應用程序卻宣傳提供多項服務。除了最常見的冒充 LMRA 的假冒應用外,還有各種假冒應用,包括巴林和科威特銀行 (BBK)、巴林金融科技公司 BenefitPay,甚至還有假裝與比特幣或貸款相關的應用。這些應用使用與 LMRA 假冒應用相同的技術來竊取個人信息。


https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-bahrain-government-android-app-steals-personal-data-used-for-financial-fraud/


2. SHINYHUNTERS正在出售3000萬桑坦德銀行客戶的數據


6月2日,臭名昭著的威脅行為者 ShinyHunters 正在出售據稱從桑坦德銀行竊取的大量數據。ShinyHunters 聲稱竊取了 3000 萬客戶、員工和銀行賬戶數據。5 月中旬,西班牙金融機構桑坦德銀行披露了一起涉及第三方提供商的數據泄露事件,影響了智利、西班牙和烏拉圭的客戶。該銀行發現第三方提供商托管的其中一個數據庫遭到未經授權的訪問。該公司宣布立即采取措施控制事件。該公司阻止了對數據庫的入侵訪問,并建立了額外的欺詐預防控制措施來保護受影響的客戶。被盜數據庫包含所有現任和部分前任員工的信息。該銀行指出,該數據庫不存儲交易數據、網上銀行詳細信息、密碼或其他允許某人進行交易的數據。該金融機構尚未提供此次事件的技術細節或泄露的數據種類。目前尚不清楚有多少人受到影響。ShinyHunters 聲稱 Ticketmaster 遭到黑客攻擊,并以 50 萬美元的價格出售 1.3 TB 的數據,其中包括 5.6 億客戶的完整詳細信息。被盜數據包括姓名、電子郵件、地址、電話號碼、門票銷售和訂單詳細信息。


https://securityaffairs.com/163956/data-breach/shinyhunters-claims-santander-breach.html


3. CISA 警告稱 Linux 特權提升漏洞可能被積極利用


6月2日,美國網絡安全和基礎設施安全局 (CISA) 在其已知利用漏洞 (KEV) 目錄中添加了兩個漏洞,其中包括 Linux 內核權限提升漏洞。該高嚴重性漏洞 ( CVE-2024-1086)于 2024 年 1 月 31 日首次披露,是 netfilter:nf_tables 組件中的釋放后使用問題,但最早是在 2014 年 2 月的一次提交中引入的。Netfilter 是 Linux 內核提供的一個框架,允許各種與網絡相關的操作,例如數據包過濾、網絡地址轉換 (NAT) 和數據包修改。該漏洞是由于 'nft_verdict_init()' 函數允許將正值用作鉤子判決中的刪除錯誤,從而導致 'nf_hook_slow()' 函數在 NF_DROP 發出類似于 NF_ACCEPT 的刪除錯誤時執行雙重釋放。利用 CVE-2024-1086 可讓具有本地訪問權限的攻擊者在目標系統上實現權限提升,并可能獲得 root 級訪問權限。


https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-linux-privilege-elevation-flaw/


4. 虛假瀏覽器更新會傳播BitRAT和Lumma Stealer惡意軟件


6月3日,虛假的網絡瀏覽器更新被用于傳播遠程訪問木馬 (RAT) 和信息竊取惡意軟件,例如BitRAT和Lumma Stealer(又名 LummaC2)。當潛在目標訪問一個帶有陷阱的網站時,攻擊鏈就開始了,該網站包含旨在將用戶重定向到虛假瀏覽器更新頁面(“chatgpt-app[.]cloud”)的 JavaScript 代碼。重定向的網頁嵌入了指向 ZIP 存檔文件(“Update.zip”)的下載鏈接,該文件托管在 Discord 上并自動下載到受害者的設備。值得指出的是,威脅行為者經常使用 Discord 作為攻擊媒介, Bitdefender最近的分析發現,在過去六個月中,有超過 50,000 個危險鏈接傳播惡意軟件、網絡釣魚活動和垃圾郵件。ZIP 存檔文件中存在另一個 JavaScript 文件(“Update.js”),它會觸發 PowerShell 腳本的執行,該腳本負責從遠程服務器以 PNG 圖像文件的形式檢索其他有效負載,包括 BitRAT 和 Lumma Stealer。


https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html


5. 警方搗毀盜版電視流媒體網絡已經獲利570萬美元


6月3日,西班牙警方搗毀了一個非法媒體內容傳播網絡,該網絡自 2015 年開始運營以來已獲利超過 570 萬美元。該調查于 2022 年 11 月開始,當時創意與娛樂聯盟 (ACE) 提交了一份投訴,舉報兩個網頁侵犯了知識產權。這些網站托管著非法 IPTV 服務“TVMucho”(也稱為“Teeveeing”),據 ACE 稱,該服務在 2023 年的訪問量超過 400 萬次。警方調查后發現,這些網站的所有者背后有一個大規模的 IPTV 行動,為大約 14,000 名用戶提供 130 個國際電視頻道和數千部電影和電視劇的非法訪問權限。該服務的用戶根據其訂閱等級支付每月 11 至 20.5 美元或每年 97 至 182.5 美元,這使得 IPTV 平臺運營商總共獲利 570 萬美元。


https://www.bleepingcomputer.com/news/legal/police-dismantle-pirated-tv-streaming-network-that-made-57-million/


6. Hugging Face 稱黑客從 Spaces 竊取身份驗證令牌


6月2日,人工智能平臺 Hugging Face 表示其 Spaces 平臺遭到入侵,黑客得以獲取其成員的身份驗證機密。Hugging Face Spaces 是一個由社區用戶創建和提交的 AI 應用程序庫,允許其他成員演示它們。Hugging Face 表示,他們已經撤銷了泄露機密中的身份驗證令牌,并通過電子郵件通知了受影響的用戶。但是,他們建議所有 Hugging Face Spaces 用戶刷新他們的令牌并切換到 細粒度訪問令牌,這使得組織可以更嚴格地控制誰有權訪問他們的 AI 模型。該公司正在與外部網絡安全專家合作調查此次違規行為,并向執法和數據保護機構報告該事件。


https://www.bleepingcomputer.com/news/security/ai-platform-hugging-face-says-hackers-stole-auth-tokens-from-spaces/

上一篇 下一篇