首頁 > 安全研究 > 安全通報 > 安全簡訊

CrossBarking攻擊:Opera瀏覽器私有API遭劫持

發布時間 2024-11-01

1. CrossBarking攻擊:Opera瀏覽器私有API遭劫持


10月30日,研究人員發現了一種新的瀏覽器攻擊方式,通過利用現已修復的漏洞,將自定義代碼注入受害者的 Opera 瀏覽器,從而控制其“私有”應用程序編程接口 (API),這些 API 通常僅為最受信任的網站保留。這些私有 API 可為開發人員提供特殊權限,但也可能被黑客利用,以獲得對瀏覽器的全權控制,包括更改設置、劫持賬戶、禁用安全擴展等。為了展示這種攻擊方式,Guardio 研究人員開發了一個惡意的 Chrome 擴展程序,該擴展程序被設計為在具有私有 API 訪問權限的網站環境中運行惡意代碼。他們通過該擴展程序,將惡意代碼注入到 Opera 瀏覽器中,并利用 settingsPrivate API 更改了受害者的域名系統 (DNS) 設置,從而全面查看和操縱其瀏覽活動。為了解決這個問題,Opera 采用了 Chrome 中已經實現的一種快速解決方案:阻止任何擴展程序在具有私有 API 訪問權限的域上運行腳本的能力。


https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users


2. 網絡釣魚電子郵件瞄準學生貸款持有人


10月30日,近4300萬美國人背負著平均每人37,000美元的學生貸款債務。拜登總統曾提出一項旨在免除部分借款人債務的計劃,但該計劃面臨重重障礙。在此背景下,網絡犯罪分子趁機針對學生貸款持有人發起網絡釣魚攻擊。Harmony Email & Collaboration的網絡安全部門發現,這類攻擊在過去兩周內激增,且攻擊者使用了特殊的文本混淆技術,如Unicode從左到右標記 (LRM) 和軟連字符,以規避自然語言處理檢測器的檢測。這些郵件內容看似緊急且可信,實則旨在誘騙受害者泄露敏感信息。此類攻擊不僅威脅個人信息安全,還可能對企業構成風險。員工若在公司設備上處理這些郵件,可能導致惡意軟件入侵公司系統,進而引發數據泄露或業務信息外泄。因此,企業需采取切實可行的措施來防范此類攻擊,包括提高員工安全意識、利用先進的電子郵件過濾和安全工具、實施多因素身份驗證以及制定完善的事件響應計劃。


https://blog.checkpoint.com/harmony-email/7500-phishing-emails-use-interesting-obfuscation-method-to-target-student-loan-holders/


3. LottieFiles npm包現惡意代碼,用戶需緊急升級


10月31日,LottieFiles 昨日宣布,其 npm 包中的特定版本,即 Lottie Web Player(“lottie-player”)的 2.0.5、2.0.6 和 2.0.7 版本,被發現攜帶惡意代碼。這些版本會提示用戶連接加密貨幣錢包,意圖清空錢包中的資產。發現問題后,LottieFiles 迅速發布了純凈的 2.0.8 版本,建議用戶盡快升級以避免風險。同時,LottieFiles 指出,通過第三方 CDN 使用該庫且未固定版本的用戶會自動收到受損版本,但隨著安全版本的發布,這些用戶將自動收到修復。對于無法升級的用戶,LottieFiles 建議向最終用戶通報風險,并警告他們有關欺詐性加密貨幣錢包連接請求,或繼續使用未受影響的 2.0.4 版本。此外,LottieFiles 發布公告稱,此次事件僅影響其 npm 包,不影響其 SaaS 服務,并確認其他開源庫、代碼和存儲庫均未受影響。該平臺已剝奪篡改版本上傳者的 npm 帳戶訪問權限,并撤銷相關令牌,同時繼續對此次入侵事件進行內部調查。目前尚不清楚該事件是否有受害者以及具體損失金額。


https://www.bleepingcomputer.com/news/security/lottiefiles-hit-in-npm-supply-chain-attack-targeting-users-crypto/


4. PTZOptics攝像機現零日漏洞,黑客試圖利用發起攻擊


10月31日,黑客正在利用PTZOptics云臺變焦實時流媒體攝像機中的兩個新發現的零日漏洞CVE-2024-8956和CVE-2024-8957。這些漏洞于2024年4月被GreyNoise的Sift工具在其蜜罐網絡上檢測到。CVE-2024-8956涉及攝像機“lighthttpd”網絡服務器中的弱身份驗證問題,允許未經授權的用戶訪問CGI API,暴露敏感信息。而CVE-2024-8957則是由于“ntp_client”二進制文件中的輸入清理不足,允許遠程代碼執行。這兩個漏洞可能導致攝像頭被完全接管、感染惡意軟件、攻擊同一網絡的其他設備或中斷視頻流。盡管初始攻擊活動在發現后不久消失,但6月出現了使用wget下載shell腳本進行反向訪問的嘗試。GreyNoise已向受影響供應商進行負責任的披露,PTZOptics等廠商已發布安全更新,但部分舊型號和新發現的受影響型號尚未收到補丁。GreyNoise認為可能有更廣泛的設備受到影響,建議用戶咨詢設備供應商了解最新固件更新情況。


https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/


5. 疑似烏克蘭網絡攻擊導致特維爾停車系統癱瘓


10月31日,俄羅斯西北部城市特維爾的居民因政府所稱的數字停車支付系統“技術故障”而得以免費停車近兩天。然而,一個名為“烏克蘭網絡聯盟”的黑客組織聲稱這可能是針對該市管理網絡的網絡攻擊所致,并聲稱摧毀了數十臺虛擬機、備份存儲、網站、電子郵件和數百個工作站。特維爾市政府最初未對此發表評論,但隨后發表聲明稱網站和在線停車支付平臺正在進行技術維修。當地居民在嘗試付款時遇到錯誤消息或應用程序加載失敗。市政府官員后來宣布停車付費服務已恢復,但未確認是否發生了網絡攻擊。這并非親烏克蘭黑客首次聲稱對俄羅斯服務發起攻擊,此前也有類似事件被歸咎為“技術故障”。烏克蘭網絡聯盟是一個親烏克蘭網絡活動人士團體,自俄羅斯入侵烏克蘭以來積極參與反俄斗爭,并曾聲稱入侵俄羅斯國家信用卡支付系統等行動。


https://therecord.media/ukraine-cyberattack-russia-parking-tver


6. Phish n' Ships網絡釣魚活動感染千家網店


10月31日,一項名為“Phish n' Ships”的網絡釣魚活動自2019年起,已感染超過一千家合法在線商店,通過推廣虛假商品列表欺詐數十萬消費者,造成數千萬美元損失。該活動利用漏洞、錯誤配置或受損管理員憑據入侵網站,上傳惡意腳本和虛假產品列表,利用SEO優化吸引受害者。受害者點擊鏈接后被重定向至假商店,經歷虛假結賬流程并輸入個人信息和信用卡詳情,但購買的物品從未送達。Satori威脅情報團隊發現所有假商店連接至一個由14個IP地址組成的網絡,并濫用多家支付提供商套現。HUMAN及其合作伙伴已協調回應,通知受影響組織并向Google報告虛假列表,大多數惡意搜索結果已被清理,但威脅行為者可能會嘗試建立新的欺詐網絡。建議消費者留意不尋常重定向,確認商店網址,并報告欺詐性收費。


https://www.bleepingcomputer.com/news/security/over-a-thousand-online-shops-hacked-to-show-fake-product-listings/

上一篇 下一篇