每日安全简讯(20241112)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者使用Rhadamanthys窃密木马针对全球多个地区发起攻击
Check Point Research近期揭露了一个名为CopyRh(ight)adamantys的全球性钓鱼活动,该活动利用最新版本的Rhadamanthys窃密软件进行攻击。这场大规模且复杂的网络钓鱼活动以版权侵权为主题,针对美国、欧洲、东亚和南美等地区。攻击者冒充多家公司,通过不同的Gmail账户发送电子邮件,根据目标实体调整冒充的公司和语言,其中近70%的冒充对象来自娱乐/媒体和技术/软件行业。分析显示,攻击者可能使用了自动化工具进行诱饵分发,并且考虑到活动的规模和多样性,攻击者可能还利用了AI工具。Rhadamanthys窃密软件的一个主要更新是所谓的AI驱动文本识别功能,但实际上该组件并未集成现代AI引擎,而是使用了较老的机器学习技术。
https://research.checkpoint.com/2024/massive-phishing-campaign-deploys-latest-rhadamanthys-version/
2 Fickle Stealer通过伪装成GitHub应用窃取用户信息
Fickle Stealer是一种基于Rust的新型信息窃取恶意软件,自2024年5月以来已通过多种途径传播,包括钓鱼邮件、浏览器自动下载、漏洞利用套件和社交工程。Fickle Stealer可伪装成Windows版GitHub Desktop,并带有“GitHub, Inc.”和“Microsoft Public RSA Time Stamping Authority”的伪造数字签名,增加其可信度,迷惑用户。该恶意软件采用多种文件格式传播,如Word文档、可执行文件和LNK文件。安装后,通过PowerShell脚本绕过用户账户控制(UAC),获取系统敏感信息,包括浏览器存储数据、加密货币钱包详情、用户名和密码等,甚至可以自动下载文件、截屏,并在显示虚假错误消息后自删除,以隐蔽其踪迹。这一复杂的操作流程使其难以被安全软件检测,已成为当前信息窃取领域中的重要威胁。
https://www.trellix.com/blogs/research/new-stealer-uses-invalid-cert-to-compromise-systems/
3 ESET研究人员公开发布关于RedLine窃密木马的研究成果
荷兰国家警方与多国执法机构联合打击RedLine窃密恶意软件后,安全公司ESET公开了2023年的研究发现,并分享了由荷兰警方提供的源代码和样本分析结果。RedLine自2020年起便作为信息窃取的恶意软件即服务(MaaS)在各大黑客论坛上出售,用户可购买订阅或永久授权,并通过控制面板生成恶意样本,收集受害者的加密货币钱包、浏览器凭证及聊天工具等信息。尽管此次行动重创了RedLine的基础设施,部分旧版面板和破解软件仍能继续窃取数据,这意味着其影响短期内不会完全消失。RedLine恶意软件曾伪装成ChatGPT免费下载工具和游戏作弊工具,参与多个大型网络犯罪活动。ESET指出,这种即用型恶意服务降低了犯罪门槛,增加了RedLine在全球范围内的传播与影响。
https://www.welivesecurity.com/en/eset-research/life-crooked-redline-analyzing-infamous-infostealers-backend/
4 攻击者使用ZIP串联文件策略对Windows用户传播恶意软件
威胁行为者正利用ZIP文件的结构灵活性,通过拼接技术将恶意代码嵌入ZIP文件中,以规避安全检测。此方法依赖于不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异,使得攻击者能够针对特定工具的用户植入恶意软件。通过在ZIP文件的“文件项”、“中央目录”和“结束目录记录”结构中灵活嵌入恶意代码,威胁行为者能够有效避开安全检测。ZIP文件的设计初衷是为了简化文件处理,提高数据传输效率,但这也给攻击者带来了利用空间。这种灵活性增加了ZIP拼接技术的隐蔽性,使攻击者能够有效地欺骗安全工具和研究人员。这一方法的复杂性和隐蔽性也使得它成为了当前网络威胁中值得关注的安全挑战。
https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/
5 恶意Python包伪装成SSH自动化函数库fabric窃取AWS凭证
Socket研究团队近日发现,一个名为“fabrice”的恶意Python包伪装成流行的Fabric库,利用“typosquatting”技术迷惑开发者并进行凭证窃取。该包自2021年在PyPI上线以来已被下载超过37,000次,默默窃取了众多用户的AWS凭证。此类利用开源库的恶意行为给依赖开源软件的开发者带来巨大的安全风险,类似情况曾出现在近期席卷npm的恶意软件攻击中。bitprophet开发的原版Fabric库备受信赖,拥有超过2.01亿次下载量。恶意的fabrice包则利用这种信任,植入窃取凭证、创建后门及执行特定系统脚本的恶意负载。Socket团队的深入分析揭示了fabrice包在Linux和Windows系统上的恶意行为,并提出相应的防范建议。
https://socket.dev/blog/malicious-python-package-typosquats-fabric-ssh-library
6 诈骗分子针对英国老年居民发送名为冬季燃料补贴的虚假短信
随着冬季来临,一波针对英国老年居民的取暖补贴和生活费援助诈骗短信正在蔓延。诈骗者伪装成政府部门,以“冬季取暖补贴”和“生活补助”为名,向居民发送虚假短信,诱骗他们点击非法链接并填写个人及支付信息。这一诈骗活动恰逢英国政府近期决定削减冬季燃料补贴之际,政策变化引发了广泛关注。该补贴原本由英国工作与养老金部(DWP)每年向65岁以上居民发放,以帮助他们负担冬季取暖费用。然而,政府宣布将大幅减少符合补贴资格的人数,从去年约1140万减少到今年的1000万,约150万养老金领取者将不再获得该补贴。不法分子利用政策变更造成的混乱,向老人发送紧急通知,要求他们“尽快填写申请表”,试图骗取个人信息。
https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/
页:
[1]