首頁 > 安全研究 > 安全通報 > 安全簡訊

新型Crocodilus惡意軟件竊取Android用戶加密錢包密鑰

發布時間 2025-03-31

1. 新型Crocodilus惡意軟件竊取Android用戶加密錢包密鑰


3月30日,新發現的Android銀行惡意軟件"Crocodilus"通過整合社會工程學攻擊與高級滲透技術,展現出對加密貨幣錢包及金融賬戶的嚴重威脅。該惡意軟件利用專有植入器繞過Android 13及以上版本的安全機制,通過惡意網站、社交欺詐或第三方應用商店實施初始感染。其攻擊鏈的核心在于誘導用戶泄露加密錢包的"種子短語",攻擊者通過偽造系統警告界面,催促用戶在12小時內備份錢包密鑰,實則利用輔助功能服務記錄用戶輸入信息,進而完全控制數字資產。技術分析顯示,Crocodilus具備完整的RAT(遠程訪問木馬)功能,可實施23項設備控制指令,包括攔截短信、篡改認證器截圖竊取雙因素令牌、覆蓋屏幕界面盜取銀行憑證等。其特殊能力在于激活黑屏靜默模式隱藏攻擊行為,同時濫用輔助功能服務突破無障礙權限限制。當前攻擊目標集中于土耳其和西班牙的金融用戶,但模塊化設計暗示其具備快速擴展攻擊面的潛力。安全專家建議用戶應嚴格遵循官方應用商店下載原則,保持Play Protect實時防護,并對要求提供敏感信息的異常系統提示保持警惕。


https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/


2. Oracle Health舊服務器遭入侵致美多家醫院患者數據泄露


3月28日,知名醫療信息化服務商Oracle Health(前身為Cerner)確認其遺留服務器遭未授權訪問,導致多家美國醫療機構患者數據泄露。據調查,攻擊者利用泄露的客戶憑證于2025年1月入侵未遷移至Oracle Cloud的舊版Cerner服務器,竊取了可能包含電子健康記錄(EHR)的敏感信息。盡管Oracle在私密通知中僅表述為"部分數據受影響",但多個消息源證實患者信息確已被盜。此次事件暴露Oracle在危機處理中的透明度不足:受影響醫院收到的通知采用普通白紙而非官方信箋,且公司未公開承認安全違規。更引發關注的是,威脅行為者"安德魯"通過明網網站實施勒索,要求數百萬美元加密貨幣以阻止數據公開,其攻擊手法與已知勒索團伙無關聯。醫療機構被迫自行評估是否違反HIPAA法規并承擔患者通知責任,而Oracle僅提供有限協助模板和費用補償。技術細節顯示,攻擊者將盜取數據轉移至遠程服務器,其作案手法與近期Oracle Cloud聯合單點登錄(SSO)服務器遭入侵事件存在潛在關聯。此前威脅者曾宣稱竊取600萬條LDAP認證數據,盡管Oracle官方否認,但客戶驗證樣本證實數據有效性。安全專家指出,Oracle在處理兩起事件中的信息封閉策略,可能加劇醫療客戶在合規應對和患者信任重建中的困境。


https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/


3. Grandoreiro木馬再發全球釣魚攻擊,偽裝稅務竊取金融數據


3月28日,網絡安全公司Forcepoint近期發布的威脅情報顯示,長期活躍的Grandoreiro銀行木馬正通過新型網絡釣魚攻勢對全球金融系統構成嚴重威脅。該惡意軟件自2016年首次現身巴西后,逐步將攻擊范圍擴展至墨西哥、葡萄牙、西班牙等拉美及歐洲國家,并在2024年進一步將目標鎖定亞洲金融機構,形成覆蓋1700家銀行及276個加密錢包的全球攻擊網絡。值得關注的是,Grandoreiro采用"惡意軟件即服務"(MaaS)商業模式運營,其背后的Tetrade犯罪集團即便在2021年與2024年多次執法打擊中成員遭捕,仍持續更新攻擊手法。最新攻擊活動利用OVHcloud基礎設施偽裝稅務罰款通知,通過Mediafire平臺分發的PDF文檔加載惡意載荷,受害者收到的混淆型Visual Basic腳本與虛假Delphi可執行文件,可竊取賬戶憑證并通過加密壓縮文件規避安全檢測。技術層面,該木馬展現出高度模塊化的攻擊特征:執行后不僅竊取用戶憑證,還會掃描比特幣錢包路徑并與攻擊者控制的contaboserver[.]net子域名建立C&C通信,通過頻繁更換子域名域名來逃避追蹤。Forcepoint特別強調,攻擊者正利用合法托管服務Contabo的信譽實施犯罪,凸顯了網絡犯罪鏈條中基礎設施濫用的新趨勢。


https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/


4. Twitter(X)涉嫌內部人員操作導致28億個人資料數據泄露


3月29日,社交媒體平臺X(原Twitter)遭遇史上最大規模用戶數據泄露事件,涉及高達28億用戶信息,但該公司至今未作官方回應。安全社區Breach Forums上,用戶ThinkingOne發布聲明稱,此次泄露源于X公司裁員期間某員工的不滿行為,并提供了包含400GB原始數據的證據。此次事件與2023年泄露形成鮮明對比。2023年事件涉及2.09億用戶,主要暴露電子郵件、用戶名等公開信息,X公司當時以"無敏感數據"為由淡化影響。而2025年泄露雖不含電子郵件,卻包含用戶ID、賬戶創建日期、地理位置、推文歷史等動態元數據,實質構建了用戶行為的全維度畫像。值得注意的是,ThinkingOne將兩次泄露數據合并生成34GB數據集,導致公眾誤判2025年泄露包含郵件信息。實際上,郵件數據僅來自2023年事件。這種混淆操作放大了事件影響,引發對數據完整性的質疑。關于28億用戶的異常數字,安全專家指出可能存在多重統計偏差:包含已刪除賬戶、機器人賬號、API服務賬號等非真實用戶實體,或是歷史數據疊加導致重復計數。此外,ThinkingOne的數據來源仍存疑,其身份更偏向數據分析師而非傳統黑客,其獲取途徑可能涉及內部泄密或復雜的數據聚合。


https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/


5. 山姆會員店調查Clop勒索軟件,零日漏洞威脅數據安全


3月28日,沃爾瑪旗下倉儲零售巨頭山姆會員商店(Sam's Club)正面臨Clop勒索軟件團伙的入侵指控,該組織已在其暗網泄密平臺發布相關條目。作為全美擁有600余家門店、海外覆蓋中墨兩國的倉儲連鎖企業,山姆擁有230萬員工及843億美元年營業額,其信息資產價值使其成為網絡犯罪的高價值目標。山姆發言人證實已啟動安全事件調查,強調"客戶數據安全是首要關切"。盡管企業未披露技術細節,但Clop團伙的指控模式顯示其慣用零日漏洞實施供應鏈攻擊——今年初該團伙已利用Cleo文件傳輸軟件的未披露漏洞(CVE-2024-50623)實施大規模數據竊取,導致西部聯盟銀行等4000余家機構中招。值得關注的是,Clop此次攻擊與去年針對Accellion FTA等文件傳輸系統的零日漏洞利用如出一轍,反映出其對關鍵基礎設施的精準打擊策略。而山姆并非首次遭遇安全危機:2020年曾發生憑證填充攻擊,迫使企業重置數萬客戶密碼,當時公司強調系外部釣魚活動所致而非系統被突破。當前調查焦點在于確認Clop是否成功滲透山姆系統,以及是否利用Cleo漏洞實施攻擊。鑒于山姆會員數據包含消費記錄等敏感信息,潛在泄露風險可能引發大規模欺詐及合規風險。


https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/


6. Morphing Meerkat釣魚即服務利用DoH與MX記錄規避檢測


3月28日,網絡犯罪領域近期浮現的"Morphing Meerkat"釣魚即服務(PhaaS)平臺,展現出高度精密的攻擊技術鏈。該組織自2020年起持續活躍,通過DNS over HTTPS(DoH)加密協議與DNS郵件交換(MX)記錄查詢構建動態攻擊基礎設施,成功規避傳統安全監測。研究顯示,該團伙運營著包含114個品牌仿冒模板的釣魚工具包,利用iomart和HostPapa的SMTP服務分發多語言釣魚郵件。攻擊郵件采用"賬戶停用"等緊急主題,配合發件人地址偽造技術,誘導受害者點擊惡意鏈接。后續攻擊鏈經過精心設計的開放重定向路徑,涉及被入侵的WordPress站點、虛假域名及免費托管服務,最終通過Google/Cloudflare的DoH服務加載釣魚頁面。技術突破體現在其雙重規避策略:一方面,DoH加密查詢使DNS流量分析失效;另一方面,實時解析受害者郵箱域的MX記錄,動態生成與其郵件服務商匹配的釣魚頁面。攻擊者甚至設置"密碼錯誤"虛假提示,誘騙用戶重復提交憑證,并通過AJAX請求與PHP腳本即時回傳數據,輔以Telegram機器人實現實時數據轉發。防御分析指出,企業應加強DNS層管控,限制非業務相關的DoH通信,阻斷與廣告技術、文件共享等高風險基礎設施的交互。


https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/

上一篇 下一篇