首頁 > 安全研究 > 安全通報 > 安全簡訊

Banshee惡意軟件利用XProtect加密逃避檢測竊取macOS敏感數據

發布時間 2025-01-13

1. Banshee惡意軟件利用XProtect加密逃避檢測竊取macOS敏感數據


1月9日,過去兩個月,macOS系統的Banshee信息竊取惡意軟件出現了新版本,采用Apple XProtect的字符串加密技術逃避檢測。Banshee是一種竊取即服務,網絡犯罪分子可以付費獲得。其源代碼于2024年11月泄露,導致項目關閉,但也為其他開發人員提供了改進機會。新版本通過擾亂字符串并在執行期間解密,以及針對macOS和第三方反惡意軟件工具對特定加密技術的低懷疑度,逃避了標準靜態檢測方法。Banshee主要通過欺騙性的GitHub存儲庫傳播,針對macOS用戶,同時也使用Lumma Stealer針對Windows用戶。該惡意軟件的目標是竊取存儲在流行瀏覽器中的數據,如密碼和雙因素身份驗證擴展,以及收集主機的基本系統和網絡信息,并提供欺騙性登錄提示以竊取macOS密碼。盡管Banshee運營自11月以來停滯,但源代碼泄露后,多個網絡釣魚活動仍在傳播該惡意軟件。


https://www.bleepingcomputer.com/news/security/banshee-stealer-evades-detection-using-apple-xprotect-encryption-algo/


2. STIIIZY大麻藥房數據泄露事件,Everest團伙被指為幕后黑手


1月11日,加利福尼亞州的大型大麻藥房STIIIZY近期遭遇了一次嚴重的數據泄露事件,導致從該公司舊金山、阿拉米達和莫德斯托店鋪購買產品的顧客個人信息被非法獲取。泄露的信息包括身份證、護照、醫用大麻卡、照片以及姓名、年齡、地址等個人資料,還有交易歷史等敏感信息。STIIIZY在網站上發布了違規通知,并向加州監管機構提交了相關文件。據悉,這次攻擊是由一個有組織的網絡犯罪集團發起的,他們在2024年10月10日至11月10日期間通過銷售點處理服務供應商的系統獲取了客戶信息。Everest網絡犯罪團伙聲稱對此次攻擊負責,并聲稱竊取了422,075條個人記錄。盡管部分客戶獲得了免費信用監控服務,但服務期限未公開。勒索軟件專家指出,Everest團伙以勒索受害者而聞名,他們擅長利用弱憑證、未修補的漏洞和網絡釣魚攻擊等手段來獲取未經授權的訪問權限,并通過加密通信渠道和安全方法來掩蓋其活動。


https://therecord.media/marijuana-dispensary-warns-of-data-breach


3. Telefónica內部票務系統遭黑客入侵,2.3GB數據被盜泄露


1月10日,西班牙跨國電信公司Telefónica證實,其內部票務系統遭到黑客入侵,部分數據已在黑客論壇上泄露。Telefónica是西班牙最大的電信公司,以Movistar品牌運營,業務遍及12個國家,擁有超過104,000名員工。攻擊者利用泄露的員工憑證入侵了公司的Jira開發和票務服務器,該服務器用于報告和解決內部問題。據稱,攻擊者抓取了大約2.3 GB的文檔、票據和各種數據,雖然一些數據被標記為客戶,但可能是以客戶名義開具的。Telefónica已采取必要措施阻止任何未經授權的系統訪問,并在受影響的賬戶上重置了密碼。此次攻擊背后的三人也是最近發起的勒索軟件行動“Hellcat Ransomware”的成員,該團伙曾成功入侵施耐德電氣公司并竊取40GB數據。攻擊者表示,他們在網上泄露數據之前,沒有聯系Telefónica或試圖勒索他們。


https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/


4. 斯洛伐克土地登記處遭受史上最大網絡攻擊


1月11日,斯洛伐克本周早些時候遭受了歷史上最大的網絡攻擊,目標是負責管理土地和財產數據的斯洛伐克大地測量、制圖和地籍局(UGKK)。該局系統被勒索軟件攻擊后關閉,實體辦公室也于周二關閉,攻擊者索要數百萬歐元的贖金。農業部長表示將通過備份恢復系統,并保證所有權數據沒有更改或欺詐性轉錄的風險,但恢復可能需要數月時間。此次攻擊對依賴土地登記數據的行業產生了廣泛影響,房地產和抵押貸款市場陷入癱瘓,相關公共服務也無法獲得。同時,斯洛伐克和烏克蘭之間的緊張局勢正在加劇,斯洛伐克民族主義政黨呼吁外交部長召見烏克蘭大使討論此事。此次攻擊的具體來源尚未確定,但斯洛伐克方面有強烈跡象表明攻擊源自烏克蘭。


https://therecord.media/slovakia-registry-cyberattack-land-agriculture


5. Proton全球服務中斷:Kubernetes遷移與軟件更改致負載激增


1月10日,隱私保護服務提供商Proton周四遭遇全球范圍的大規模服務中斷,此次中斷是由于正在進行的基礎設施向Kubernetes遷移以及軟件更改所引發的初始負載激增所致。事件始于美國東部時間上午10點左右,導致用戶無法連接到Proton的VPN、Mail、Calendar、Drive、Pass和Wallet等服務。受影響的用戶在嘗試連接時會收到錯誤消息,指出無法加載頁面。經過大約兩小時的努力,所有服務陸續恢復正常,其中Proton Mail和Calendar是最后恢復的服務。Proton在對事件進行調查后透露,此次中斷是由站點可靠性工程團隊發現的軟件更改所引發的。該更改限制了數據庫服務器的新連接數量,導致在連接用戶數量急劇增加時出現負載峰值,進而使基礎設施超負荷。雖然Proton擁有足夠的額外容量來處理新連接,但向Kubernetes的遷移需要同時運行兩個并行基礎設施,使得平衡負載變得困難。因此,在恢復過程中,用戶遇到了性能下降和間歇性服務不可用的情況。


https://www.bleepingcomputer.com/news/technology/proton-worldwide-outage-caused-by-kubernetes-migration-software-change/


6. 網絡犯罪分子誘騙用戶重新啟用iMessage禁用鏈接實施釣魚攻擊


1月12日,網絡犯罪分子近期采用了一種新技巧,通過誘騙用戶操作,關閉了Apple iMessage內置的短信網絡釣魚保護功能。隨著移動設備在日常生活中的廣泛應用,手機號碼成為短信網絡釣魚攻擊的重點目標。為保護用戶,iMessage默認禁用未知發件人消息中的鏈接。然而,蘋果指出,一旦用戶回復此類消息或將發件人加入聯系人列表,這些鏈接就會被重新啟用。BleepingComputer觀察到,近幾個月來,短信網絡釣魚攻擊數量顯著增加,攻擊者通過誘導用戶回復短信(如回復“Y”)來重新啟用鏈接。此類短信通常偽裝成USPS運輸問題或未付道路通行費等誘餌,要求用戶執行特定操作以激活鏈接。這種策略利用了用戶習慣確認或拒絕短信的心理,使他們成為易受攻擊的目標。即使未點擊鏈接,回復行為本身也會暴露用戶的易感性,使其面臨更大風險。因此,面對鏈接被禁用或來自未知發件人的要求回復的短信,用戶應保持警惕,直接聯系相關公司或組織進行驗證,而非輕易回復。特別是老年用戶,他們往往是此類網絡釣魚信息的主要目標,需謹慎對待,以免泄露個人信息。


https://www.bleepingcomputer.com/news/security/phishing-texts-trick-apple-imessage-users-into-disabling-protection/

上一篇 下一篇