每日安全简讯(20200703)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 安全厂商联合揭秘恶意Android SDK插件“道贼”
2020年5月,奇安信病毒响应中心移动安全团队发现一款Android平台的恶意SDK插件,联合安天移动安全团队和其他安全研究机构进行深入分析拓展,确认SDK具有收集用户隐私信息和下载执行更多恶意插件的能力。对影响面的分析显示这款恶意SDK插件被市面上数百款Android应用集成,结合恶意SDK后续插件下载量以及遥测数据分析估算至少有200万台以上的独立Android终端设备安装了带有该恶意SDK插件的应用。基于该恶意SDK的行为特点以及溯源到的幕后组织信息,将其命名为“道贼”。
https://mp.weixin.qq.com/s/zjG3zlJo1dSSb2mjY9QxDA
2 安全厂商发现针对ICS系统的EKANS勒索软件变种
FortiGuard Labs分别在在5月底和6月发现了针对ICS系统的EKANS勒索软件变种样本。两个变种均使用GO编程语言编写,二者均会确认目标环境、隔离受感染的系统、文件加密过程中使用的公共RSA密钥被解码、识别并停止特定的服务和流程、删除卷影副本、加密文件。不同之处是,在6月份发现的变种在执行过程中会关闭主机防火墙。
https://www.fortinet.com/blog/threat-research/ekans-ransomware-targeting-ot-ics-systems
3 TrickBot木马变种通过检查屏幕分辨率以反沙箱
研究人员发现TrickBot木马新样本通过检查受感染计算机的屏幕分辨率,以确定是否是在虚拟机中。该变种检查计算机的屏幕分辨率是否为800x600或1024x768,因为虚拟机通常将不允许除800x600和1024x768以外的分辨率。如果是,则TrickBot将终止运行。
https://www.bleepingcomputer.com/news/security/trickbot-malware-now-checks-screen-resolution-to-evade-analysis/
4 POS恶意软件Alina利用DNS隧道窃取支付卡数据
CenturyLink研究人员发现POS恶意软件Alina利用DNS来窃取支付卡数据。研究人员共发现了具有类似DNS查询的四个正在被Alina使用的域。恶意软件操控者对窃取的信息进行编码,并向其控制的域名发出DNS查询。编码后的数据被放置在一个子域中,恶意软件操控者在收到DNS查询时会解码并提取该子域数据。被盗取的数据将在地下犯罪市场上出售。
https://blog.centurylink.com/alina-point-of-sale-malware-still-lurking-in-dns/
5 WastedLocker勒索软件入侵数十个美国新闻网站
赛门铁克证实,所属同一公司的数十个美国新闻网站已被WastedLocker勒索软件入侵。该勒索软件幕后团伙Evil Corp使用基于JavaScript的恶意框架SocGholish显示的假冒软件更新警报来感染30多家美国大型私营公司的员工。研究人员表示,拥有这些新闻网站的公司收到了警告,恶意代码已被删除。
https://www.bleepingcomputer.com/news/security/dozens-of-us-news-sites-hacked-in-wastedlocker-ransomware-attacks/
6 网络钓鱼活动使用恶意ICS文件附件窃取凭据
Trustwave研究人员发现一项用于窃取凭据的网络钓鱼活动。网络钓鱼电子邮件据称来自某些组织的安全团队,利用“帐户暂停”主题诱使收件人打开附件。邮件附件为一个ICS文件,其为一个纯文本文件,包含日历和计划信息。所带的描述仅指示收件人单击或打开日历文件中包含的Sharepoint链接。SharePoint上托管的恶意PDF包含指向Google Cloud Storage的链接。最后,PDF文件中的嵌入式链接会导致托管在Google云中的凭据收集网络钓鱼页面。该网络钓鱼收集的凭据将被发布到在Namecheap下注册的新创建的域。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishinvite-with-malicious-ics-files/
页:
[1]