每日安全简讯(20221228)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 研究人员披露BlueNoroff组织绕过MoTW的新方法
BlueNoroff 组织是一个出于经济动机攻击者。研究人员观察到其武器库中采用了新的恶意软件变种。该团伙通常利用 Word 文档和快捷方式文件进行初步入侵。该组织采用的第一个新方法旨在规避网络标记 (MOTW) 标志,这是一种安全措施,当用户试图打开从互联网下载的文件时,Windows 会显示一条警告消息。为此,使用了光盘映像(.iso 扩展名)和虚拟硬盘(.vhd 扩展名)文件格式。这是现在用来规避 MOTW 的常用策略。另外还观察到一个新的 Visual Basic 脚本、一个以前看不见的 Windows 批处理文件和一个 Windows 可执行文件。
https://securelist.com/bluenoroff-methods-bypass-motw/108383/
2 微软因未经同意使用广告cookie而在法国被罚款6000万欧元
法国隐私监管机构对微软爱尔兰子公司处以 6000 万欧元罚款,原因是其在未经客户明确同意的情况下使用广告 cookie。这种做法违反了欧洲数据保护法。CNIL收到了有关在“bing.com”上存放 cookie 的条件的投诉,并于 2020 年 9 月和 2021 年 5 月对该问题进行了调查。 微软没有为 Bing 搜索引擎的主页实施“拒绝 cookie 与接受 cookie 一样容易的机制”。因此,CNIL 的受限委员会负责宣布制裁,对微软爱尔兰子公司处以 6000 万欧元的罚款,并予以公开。
https://securityaffairs.co/139982/breaking-news/microsoft-fined-e60m.html
3 朝鲜黑客利用钓鱼网站以窃取NFT
朝鲜攻击者正在使用网络钓鱼网站冒充流行的不可替代代币平台和去中心化金融市场,以窃取价值数千美元的数字资产。攻击者设置了近 500 个诱饵站点,包括与世界杯相关的项目以及 NFT 市场 OpenSea、X2Y2 和Rarible。它说,他们仅使用其中一个网络钓鱼地址就窃取了 1,055 个 NFT,从而获利 365,000 美元。据估计,与朝鲜有关联的团体今年从 DeFi 协议中窃取了约 10 亿美元的加密货币,其中包括来自Ronin Network的 6 亿美元。
https://www.bankinfosecurity.com/north-korean-hackers-steal-nfts-via-phishing-websites-a-20803?&web_view=true
4 GuLoader恶意软件利用新技术逃避安全软件
网络安全研究人员揭示了名为GuLoader的高级恶意软件下载器采用的多种技术来逃避安全软件。GuLoader,也称为CloudEyE,是一种 Visual Basic Script (VBS) 下载程序,用于在受感染的计算机上分发远程访问木马,例如Remcos。它于 2019 年首次在野外被发现。研究人员称新的 shellcode 反分析技术试图通过扫描整个进程内存中任何与虚拟机 (VM) 相关的字符串来阻止研究人员和敌对环境。研究人员发现的一个 GuLoader 样本展示了一个三阶段过程,其中 VBScript 旨在提供下一阶段,在将 VBScript 中嵌入的 shellcode 注入内存之前执行反分析检查。
https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/
5 研究人员披露PrivateLoader PPI服务分发RisePro恶意软件
PrivateLoader为按安装付费 (PPI) 恶意软件下载器服务被用于分发先前记录的名为RisePro的信息窃取恶意软件。 研究人员于 2022 年 12 月 13 日发现了这个新发现的窃取者,此前它发现了在名为俄罗斯市场的非法网络犯罪市场上使用该恶意软件泄露的“几组日志”。 RisePro 是一种基于 C++ 的恶意软件,据说与另一种信息窃取恶意软件 Vidar stealer 有相似之处,后者本身是2018 年出现的代号Arkei的窃取程序的分支。
https://flashpoint.io/blog/risepro-stealer-and-pay-per-install-malware-privateloader/
6 欺诈者利用搜索引擎广告服务来冒充合法企业网站
FBI 警告网络罪犯使用搜索引擎广告服务冒充品牌并将用户引导至用于欺骗用户的网站。这些网站托管勒索软件,用于窃取用户的登录凭据和其他财务信息。 骗子通过搜索引擎广告服务购买广告,联邦调查局观察到威胁行为者使用与实际业务或服务相似的域。当在线用户搜索该企业或服务时,广告会出现在搜索引擎生成的搜索结果的顶部。这些广告链接到一个冒充合法企业的网页。 “在用户搜索要下载的程序的情况下,欺诈性网页有一个下载软件的链接,实际上是恶意软件。下载页面看起来合法,下载本身以用户打算下载的程序命名。” 阅读FBI 发布的公告。
https://securityaffairs.com/140051/cyber-crime/search-engine-advertisement-services-abuse.html?_gl=1*1dqc75o*_ga*MTc2NzIyNTYyLjE2Njk4OTU0MzY.*_ga_8ZWTX5HC4Z*MTY3MjE0NjI1OC4xOC4wLjE2NzIxNDYyNTguMC4wLjA.*_ga_P62M3QN974*MTY3MjE0NjI1OC4xOC4wLjE2NzIxNDYyNTguMC4wLjA.
页:
[1]