安卓密码窃取恶意软件感染10万谷歌Play用户

第244期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1.安卓密码窃取恶意软件感染10万谷歌Play用户

窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次,该应用程序仍可供下载。Android 恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序,允许用户上传图像并将其转换为卡通渲染。根据 Jamf 安全研究员 Michal Rajčan 的说法,当用户输入他们的凭据时,该应用程序会将其发送到位于 zutuu[.]info [VirusTotal] 的命令和控制服务器,然后攻击者可以收集这些信息。除了 C2 服务器之外,恶意 Android 应用程序还将连接到 [www.dozenorms]club URL [VirusTotal],进一步的数据被发送到该地址。这过去曾被用于推广其他恶意FaceStealer Android APP。

这些应用程序在远程服务器上执行图像更改并应用过滤器,而不是在本地设备上,用户的数据被上传到远程位置,并且有被无限期保存、与他人共享、转售等方面的风险。[阅读原文]

2.BitRAT恶意软件作为Windows 10许可证激活器传播

BitRAT 是一种强大的远程访问木马,在网络犯罪论坛和暗网市场上以低至 20 美元(终身访问)的价格出售给任何想要它的网络犯罪分子。因此,每个买家都遵循自己的恶意软件分发方法,包括网络钓鱼、水坑或木马软件。Webhards 是在韩国流行的在线存储服务,通过社交媒体平台或 Discord 上发布的直接下载链接吸引了大量访问者。BitRAT 被宣传为一种功能强大、价格低廉且用途广泛的恶意软件,可以从主机中窃取大量有价值的信息、执行 DDoS 攻击、绕过 UAC 等。

BitRAT 支持通用键盘记录、剪贴板监控、网络摄像头访问、录音、来自网络浏览器的凭据盗窃和 XMRig 硬币挖掘功能。

此外,它还通过 SOCKS4 和 SOCKS5 (UDP) 提供对 Windows 系统、隐藏虚拟网络计算 (hVNC) 和反向代理的远程控制。那些无力购买 Windows 许可证的人应该考虑替代选项,例如接受免费版本的限制,监控来自可信赖平台的特别优惠,或使用 Linux。[阅读原文]

3.毒蛇恶意软件活动滥用Chocolatey Windows软件包管理器

Chocolatey 是 Windows 的开源包管理器,允许用户通过command line安装和管理超过 9,000 个应用程序和任何附属项。在 Proofpoint 发现的一项新的网络钓鱼活动中,威胁参与者使用由带有宏的 Microsoft Word 文档、Chocolatey 包管理器和隐写图像组成的复杂感染链来感染设备,同时绕过检测。Proofpoint 表示,后门可以执行攻击发送的任何命令,允许威胁参与者下载更多恶意软件、打开反向 shell 并获得对设备的完全访问权限。

除了自定义后门 (Serpent) 和 Chocolatey 的滥用之外,Proofpoint 还注意到使用 schtrasks.exe 执行签名二进制代理的新应用,本质上是一种新的检测绕过技术。这些要素表明,这些威胁行为者是一个新的群体,其特点是高度复杂和能力强,并且与其他已知行为者没有联系。Proofpoint 无法检测到任何可用于将活动归因于特定威胁行为者的内容,这从侧面展现了该群体的整体操作安全性。[阅读原文]

4.微软正在调查黑客攻击源代码存储库的指控

微软表示,他们正在调查有关 Lapsus$ 数据勒索黑客组织违反其内部 Azure DevOps 源代码存储库并窃取数据的指控。与我们今天读到的许多勒索组织不同,Lapsus$ 不会在受害者的设备上部署勒索软件。

相反,他们以大公司的源代码存储库为目标,窃取他们的专有数据,然后试图以数百万美元的价格将这些数据赎回公司。当 Lapsus$ 入侵 NVIDIA 并发布他们的数据时,它还包括代码签名证书,其他威胁参与者迅速使用这些证书签署他们的恶意软件。使用 NVIDIA 的代码签名证书可能会导致防病毒引擎信任可执行文件,而不会将其检测为恶意文件。微软此前曾表示,他们有一项开发政策,禁止将 API 密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中。即使是这样,也不意味着源代码中不包含其他有价值的数据,例如私有加密密钥或其他专有工具。

目前尚不清楚这些存储库中包含什么,但就像以前的受害者所做的那样,Lapsus$ 泄露他们声称获得的被盗数据只是时间问题。[阅读原文]

5.Windows零日漏洞授予管理员权限再次获得非官方补丁

微软几个月来一直未能完全解决的 Windows 本地权限提升零日漏洞允许用户在 Windows 10、Windows 11 和 Windows Server 中获得管理权限。根据 0patch 团队的说法,该团队一直在非正式地为已停产的 Windows 版本和一些微软不会解决的漏洞提供修复,该漏洞仍然是一个零日漏洞。事实上,微软的补丁未能修复该漏洞,并打破了 0patch 之前的非官方补丁。

微软还通过 2022 年 1 月的“周二补丁日”发布的第二个安全更新来应对这种绕过,为绕过提供了一个新的跟踪 ID,即 CVE-2022-21919,并将其标记为已修复。在针对研究人员的第二次绕过补丁测试时,0patch 发现他们对“profext.dll”DLL 的补丁仍然可以保护用户免受新的利用方法的侵害,从而使这些系统保持安全。

然而,微软的第二次修复尝试替换了“profext.dll”文件,导致应用了 2022 年 1 月 Windows 更新的每个人都删除了非官方修复。0patch 现在已将该修复程序移植到 2022 年 3 月的“周二补丁日”更新中,并免费提供给所有注册用户。[阅读原文]

本文由安全客原创发布转载,请参考转载声明,注明出处: 安全客 - 有思想的安全新媒体