每日安全简讯(20240315)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 PixPirate木马利用新策略针对巴西用户
根据研究人员的技术报告,一个名为PixPirate的安卓银行木马正通过一种新的策略来避免在被感染设备上被检测到,并从巴西用户那里窃取敏感信息。该策略能够将恶意应用的图标从受害者设备的主屏幕上隐藏,使得在PixPirate侦察和攻击阶段,受害者对这款恶意软件在后台执行的操作毫无察觉。PixPirate通常通过短信和WhatsApp传播,攻击流程涉及到使用一个下载器应用,其被设计用以部署主负载(又称“下落物”)来实施财务诈骗。在最新版本的下落物中变化的是,它没有带有允许用户通过点击其图标从主屏幕启动应用的动作“android.intent.action.Main”和类别“android.intent.category.LAUNCHER”。简而言之,感染链要求下载器和下落物协同工作,前者负责通过与下落物暴露的服务绑定来运行PixPirate APK。即便受害者从其设备中移除了PixPirate下载器,这种技术也允许下落物继续运行并隐藏其存在。
https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware/
2 黑客通过SVG图像文件隐藏键盘记录器和RAT恶意软件
研究人员发现,威胁行为者正在将恶意软件隐藏于SVG图像文件中,从而绕过检测,传递勒索软件、下载银行特洛伊木马,并分发恶意软件。研究人员在1月份观察到一个为期两个月的运动,该运动利用SVG文件传递Agent Tesla键盘记录器和XWorm远程控制木马(RAT)恶意软件。在2023年12月和2024年1月的Agent Tesla键盘记录器活动中,电子邮件包含附带的SVG文件,打开后传递嵌入的.zip归档。这些归档启动了一系列有效载荷下载,最终执行了Agent Tesla键盘记录器。威胁行为者修改了AutoSmuggle生成的SVG文件,以增强其欺骗能力。XWorm RAT运动呈现出不同的感染链。有些使用嵌入式链接导向SVG文件,而有些则直接使用附带的SVG文件。这些文件启动了包含用于执行XWorm RAT的有效载荷的.zip归档的下载。这些在运动中使用的SVG文件缺乏在Agent Tesla键盘记录器运动中观察到的复杂性,并在打开时呈现空白页。
https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/strategic-analysis-svg-files-abused-in-emerging-campaigns-1.pdf
3 ChatGPT插件现关键漏洞用户数据面临风险
近期,研究人员发现流行的OpenAI聊天机器人ChatGPT的多款插件存在关键安全漏洞,可能让攻击者窃取用户敏感数据,并未经授权地访问第三方网站的账户,或者从Google Drive检索数据。研究人员分享的研究中发现了ChatGPT插件内部的三个漏洞。其中第一个漏洞存在于ChatGPT本身,用户在接收到一个代码进行认可时,可能被导向插件网站。攻击者可以利用这一功能交付恶意插件的代码认可,进而在受害者的账户上安装他们的凭据。任何在ChatGPT中编写的消息都可能被转发给插件,然后攻击者就能访问专有信息。第二个漏洞在于PluginLab开发的ChatGPT插件框架,在安装过程中未实施恰当的安全措施,允许攻击者可能在用户毫不知情的情况下安装恶意插件。第三个漏洞是OAuth重定向操作漏洞,它允许攻击者向受害者发送恶意URL并窃取用户凭证。很多ChatGPT插件请求广泛权限以访问不同网站,这意味着受到攻击的插件可能窃取这些第三方网站的登录凭据或其他敏感数据。
https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data
4 宏碁菲律宾公司第三方供应商遭黑客攻击数据泄露
宏碁菲律宾分公司在其员工数据在一个黑客论坛上被威胁行为者泄露后,确认了一起数据泄露事件。这起针对其一个第三方服务提供商的攻击导致员工数据泄露。被黑的第三方公司管理着宏碁员工的考勤数据。使用化名ph1ns的威胁行为者在一个黑客论坛上泄露了被窃取的数据,并声称这些数据来自宏碁公司的人力资源部门。ph1ns在论坛上发布了一个含有被盗数据的数据库的链接。宏碁被黑客攻击,但威胁行为者并未部署任何勒索软件。他们还强调,并未对公司进行敲诈,然而,他们抹除了受损系统上的数据。宏碁意识到了这次数据泄露,但指出只有一小部分员工受到影响,客户数据未受到泄露。
https://securityaffairs.com/160432/data-breach/acer-philippines-data-breach.html
5 领先电动车充电公司服务器泄露用户信息
研究人员发现了一个未设置密码保护的数据库,其中包含超过五十万条记录,包括一个美国知名电动车服务提供商的敏感用户信息和发票记录。这个大小为585.81GB的数据库中包含了大量的文件,例如工作发票、价格提案、电气许可证和调查,还有客户提交的信息,包括他们家的照片和充电器的位置细节。在调查后,研究人员确定这些数据属于Qmerit,这是一家自2016年开始专门从事电动车充电基础设施安装和维护的德克萨斯公司。研究人员披露这一安全漏洞后,Qmerit迅速采取行动确保暴露的数据安全,并启动内部调查。Qmerit对此事件做出回应,强调公司致力于安全为先,保护个人可识别信息(PII)。然而,数据暴露的持续时间和潜在的未授权访问尚不确定,需要通过内部审计进一步审查。
https://www.websiteplanet.com/news/qmerit-breach-report/
6 日产通知10万人数据在网络攻击中被盗
在2023年12月对其系统的攻击中,日产大洋洲将在未来几周内联系澳大利亚和新西兰约10万名数据被盗的人士。可能是Akira勒索软件团伙实施了这次网络攻击。网络犯罪分子从受害者中盗走了政府身份认证的某种形式,高达十分之一的受害者受到影响。从这家汽车制造商处窃取的数据包括4000张澳大利亚国家医疗保险计划的Medicare卡信息,以及7500张驾驶执照、220本护照和1300个税务文件号码。其余90%的人的其他信息被盗——可能是贷款相关交易声明的副本、就业细节或薪资信息。这次盗窃也可能包括如出生日期等个人身份信息(PII)。这次泄露事件影响到的某些人是日产为竞争对手汽车制造商三菱、雷诺、英菲尼迪、LDV和RAM所运营和品牌化的金融服务的客户。
https://www.nissan.com.au/website-update.html
页:
[1]