每日安全简讯(20220728)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员在谷歌Play商店发现新的恶意软件应用
Dr.Web防病毒团队在谷歌Play商店发现了一批新的充满广告软件和恶意软件的恶意Android应用程序,这些应用程序已在移动设备上安装了近1000万次。这些应用程序充当图像编辑工具、虚拟键盘、系统优化器、壁纸更换器等。 但是,它们的基本功能是推送侵入性广告、为用户订阅高级服务以及窃取受害者的社交媒体帐户。广告软件应用在安装后,会请求在任何应用程序上覆盖窗口的权限,并可以将自己添加到节电程序的排除列表中,以便在受害者关闭应用程序时可以继续在后台运行。发现的第二类恶意应用程序是Joker应用,他们都提供了承诺的功能,但会在后台执行恶意操作。
https://www.bleepingcomputer.com/news/security/new-android-malware-apps-installed-10-million-times-from-google-play/
2 钓鱼网站假冒DHL追踪页面窃取用户的个人信息
研究人员在最近的调查中发现一个针对DHL的相对简单的网络钓鱼活动。DHL是一个流行的快递和包裹邮寄服务。假冒页面模仿了DHL追踪页面上的颜色、字体和样式等设计元素,以取得受害者的信任。当用户导航到仿冒页面,首先会对其进行IP地址检查,如果属于代理或VPN服务,则会将用户重定向到谷歌。在实际登录页面会显示一个静态跟踪号,攻击者通过在页面上添加倒计时器来制造紧迫感,并通知网站访问者无法验证交付信息。如果受害者点击“Continue”按钮,他们就会导航到另一个表单,将收集受害者的全名和电话号码,后续的表单还会收集受害者的住址、信用卡详细信息、验证码。完成所有步骤后,受害者将被重定向到Amazon。在钓鱼脚本上发现的时区表明,不良行为者在非洲开展活动。
https://blog.sucuri.net/2022/07/dhl-phishing-page-uses-telegram-bot-for-exfiltration.html
3 区块链音乐平台Audius遭黑客攻击损失约600万美元
上周末,去中心化音乐平台Audius遭到黑客攻击,威胁者窃取了超过1800万AUDIO代币,价值约600万美元。根据Audius周日发布的一份事后分析报告,黑客利用了合约初始化代码中的一个漏洞,使他们能够重复调用初始化函数。这使得入侵者能够将所谓的“社区金库”持有的1850万个AUDIO代币转移到他们的钱包中,并且改变了平台的治理动态。之后,该攻击者试图执行四项治理提案,其中三项失败,一项通过,将整个Audius社区池转移到攻击者的钱包中。到周日晚些时候,AUDIO代币再次完全正常运行,但“Staking”和“Delegate Manager”智能合约系统尚未恢复运行。
https://www.bleepingcomputer.com/news/security/hackers-steal-6-million-from-blockchain-music-platform-audius/
4 黑客使用Discord或Telegram进行恶意软件计划
英特尔471研究人员发现了几种可以免费下载的信息窃取程序,它们依赖于Discord或Telegram的功能。名为Blitzed Grabber的窃取程序使用Discord的webhook功能来存储通过恶意软件窃取的数据。一旦恶意软件将窃取的信息传输到Discord中,参与者就可以使用它来继续攻击计划,或者在地下论坛中出售被盗的凭据。一款专门针对Telegram的机器人名为X-Files,具有可以通过Telegram中的机器人命令访问的功能。一旦恶意软件被部署到受害者的系统上,恶意行为者就可以窃取密码、会话cookie、登录凭据和信用卡详细信息,将这些信息定向到他们选择的Telegram频道。X-Files可以从一系列浏览器中获取信息,包括Google Chrome、Chromium、Opera、Slimjet和Vivaldi。另一个名为Prynt Stealer的窃取程序功能类似,但没有内置的Telegram命令。
https://intel471.com/blog/cybercrime-telegram-discord-automation-chatbots
5 Grails中的关键安全漏洞可能导致远程代码执行
AntGroup FG安全实验室的研究人员发现了一个严重的安全漏洞,允许攻击者在Grails应用程序运行时远程执行代码。Grails是一个基于Apache Groovy编程语言的开源Web应用程序框架,用于开发敏捷web应用程序。该漏洞被追踪为CVE-2022-35912,允许攻击者通过发出特制的web请求来远程执行Grails应用程序运行时中的代码,该请求授予攻击者访问类加载器的权限。漏洞影响运行在Java 8上的Grails框架3.3.10及更高版本(包括Grails框架4和5),已在版本5.2.1、5.1.9、4.1.1和3.3.15中修复。
https://portswigger.net/daily-swig/critical-security-vulnerability-in-grails-could-lead-to-remote-code-execution
6 研究人员发现Nuki智能锁中存在11个严重漏洞
NCC集团的IT安全研究人员发布一份报告称,在不同版本的Nuki智能锁中发现了多达11个严重漏洞。其中,该公司没有在其智能锁和Bridge设备上实施SSL/TLS证书验证,使得攻击者可以执行中间人攻击并访问通过加密通道发送的网络流量。该漏洞被跟踪为CVE-2022-32509,影响Nuki智能锁3.0版。Nuki智能锁中还存在两个漏洞,可能会导致堆栈缓冲区溢出,漏洞被跟踪为CVE-2022-32504、CVE-2022-32502,分别会影响Nuki智能锁3.0版和Nuki Bridge 1版本。NCC集团于2022年4月20日向Nuki通报了漏洞,6月9日,Nuki公司针对所有漏洞发布了补丁。
https://www.hackread.com/nuki-smart-locks-vulnerabilities-plethora-attack-options/
页:
[1]