绿盟威胁情报周报(20210927-20211003)

一、热点资讯

  • 攻击者利用PixStealer和MalRhino恶意软件针对巴西支付生态系统用户发起攻击

【概述】

研究人员发现,在Google Play 商店中新发现的两个恶意 Android 应用程序已被用于攻击巴西支付生态系统的用户,攻击者通过两个独立的恶意应用程序分发了两种不同的银行恶意软件变种,名为PixStealer和MalRhino,攻击者利用恶意软件变种引诱受害者将他们的整个帐户余额以欺诈方式转移到网络犯罪分子控制的另一个银行帐户中,这两个恶意应用程序通过用户交互和原始 PIX 应用程序窃取受害者的钱财。

【参考链接】https://ti.nsfocus.com/security-news/IlMUM

  • 攻击者利用GriftHorse恶意软件感染了多个国家/地区的Android 智能手机

【概述】

研究人员发现了一种名为 GriftHorse 的恶意软件,攻击者利用该恶意软件已感染了 70 多个国家/地区的超过 1000 万部 Android 智能手机。被盗总金额可能高达数亿欧元,据专家称,攻击者通过上传到官方 Google Play 商店和第三方 Android 应用商店的应用程序进行传播。用户会从屏幕上的警报得知,通知他们中了奖并要求接受邀请以接收它。受害者会受到每小时至少出现五次的弹出警报窗口的提示。

【参考链接】https://ti.nsfocus.com/security-news/IlMUI

  • 攻击者利用BloodyStealer特洛伊木马窃取玩家帐户和数据

【概述】

卡巴斯基的研究人员发现了一种名为 BloodyStealer 的高级恶意木马,可从 Steam、Epic Games Stores 和 EA Origin 等平台窃取玩家帐户和数据。攻击者利用BloodyStealer 恶特洛伊木马为每个受感染的受害者分配一个唯一的标识符,在为受害者分配 UID 并获得 C&C IP 地址后,BloodyStealer 从受感染机器中提取各种数据,创建一个包含有关泄露数据信息的 POST 请求,并将其发送给恶意 C&C。

【参考链接】https://ti.nsfocus.com/security-news/IlMUD

  • 黑客利用MSHTML漏洞针对俄罗斯国家火箭中心和内政部发起攻击

【概述】

近日,研究人员发现了一起黑客利用MSHTML漏洞针对俄罗斯国家火箭中心和内政部的攻击活动。研究人员分析称,第一封邮件声称来自俄罗斯火箭中心的人力资源部门,而第二封邮件则表示来自莫斯科内政部,这两封邮件均使用了相同的感染方式,要求接收者启用编辑以填写表格。当受害者一旦打开恶意文档并启用编辑,会将加载MSHTML的定制控件ActiveX运行任意代码,导致系统感染。

【参考链接】https://ti.nsfocus.com/security-news/IlMUw

  • 黑客窃取比特币基金会网站1.7万美元

【概述】

黑客攻击了比特币基金会网站 Bitcoin.org,并更改了其部分内容,并利用其宣传比特币骗局,黑客盗取了1.7万多美元。 Bitcoin.org 被黑客入侵以运行“双倍资金”骗局,攻击者通过向基金会网站用户发送虚假地址,以获得双倍酬劳的报酬吸引用户,此外,为了增加索赔的吸引力,诈骗者写道,该优惠仅限于前一万名用户。

【参考链接】https://ti.nsfocus.com/security-news/IlMUv

  • 欧洲呼叫中心巨头Covisian的西班牙语分部遭Conti勒索软件团伙袭击

【概述】

Covisian是欧洲规模最大的客户服务与呼叫中心供应商之一,近日,研究人员发现,Covisian的西班牙语分部遭Conti勒索软件团伙袭击,内部系统被迫瘫痪,导致西班牙、南美洲的多个组织客服意外中断服务;导致大部分IT系统瘫痪。

【参考链接】https://ti.nsfocus.com/security-news/IlMUx

  • 攻击者利用新型恶意软件Tangle Bot窃取用户手机信息

【概述】

网络安全公司最近发现了一种新的威胁,攻击者以Android用户为主要目标,利用新型恶意软件Tangle Bot窃取用户手机信息,通过向用户发送虚假短信息链接,在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机,开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后,受害者的设备还会被用来转发伪造的的Covid-19警报。

【参考链接】https://ti.nsfocus.com/security-news/IlMUf

  • 攻击者利用新 Android 银行木马ERMAC窃取财务数据

【概述】

近日,研究人员发现了新 Android 银行木马,名为ERMAC,攻击者利用ERMAC木马从378个银行和钱包窃取财务数据,财务数据包括联系人信息、短信、打开任意应用程序,并针对众多金融应用程序的覆盖攻击以刷入登录凭据,允许恶意软件清除特定应用程序的缓存并窃取存储在设备上的帐户。

【参考链接】https://ti.nsfocus.com/security-news/IlMU9

  • 勒索软件团伙使用自定义的Python脚本攻击虚拟机

【概述】

近日,研究人员发现了勒索软件团伙使用自定义的Python脚本攻击并且加密托管在 VMware ESXi 服务器上的虚拟机。攻击中,勒索软件团伙在初次入侵后仅三小时就加密了 VMware ESXi 服务器中的虚拟磁盘。该团伙通过登录在域管理员登录的设备上运行的 TeamViewer 帐户来访问网络。然后使用 Advanced IP Scanner 扫描网络端识别其他目标,接着使用名为 Bitvis 的 SSH 客户端登录到 ESXi 服务器。攻击者首先关闭虚拟机,覆盖存储在数据存储卷上的原始文件的内容以防止受害者恢复它们,然后删除虚拟机磁盘。

【参考链接】https://ti.nsfocus.com/security-news/IlMV1

  • 攻击者利用以太网电缆作为传输天线从隔离的气隙计算机中窃取敏感数据

【概述】

近日,以色列内盖夫本古里安大学的研究人员发现了一种称为 LANtenna 的新型电磁攻击,该攻击使用以太网电缆作为传输天线从隔离的气隙计算机中窃取敏感数据。该大学网络安全研究中心的研发主管 Mordechai Guri 表示,“气隙计算机中的恶意代码收集敏感数据,并通过以太网电缆发出的无线电波对其进行编码,将它们用作天线。附近的接收设备可以无线拦截信号,解码数据,并将其发送给攻击者。”

【参考链接】https://ti.nsfocus.com/security-news/IlMUY

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment