每日安全简讯(20241202)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现SpyLoan金融诈骗应用在全球范围内迅速增加

McAfee移动安全研究团队近日发现，名为SpyLoan的金融诈骗应用在全球范围内迅速增加，尤其在南美洲、南亚和非洲等地区。SpyLoan应用也被称为掠夺性贷款应用（predatory loan apps），通过社交工程手段诱骗用户提供敏感信息，并请求过度权限，从而导致敲诈、骚扰和财务损失。这些应用大多通过Google Play等官方应用商店分发，尽管违反了平台政策，但依然能顺利上线。它们利用虚假营销策略，例如倒计时功能和高额贷款承诺，迫使用户做出仓促决策。一旦安装，这些应用便要求用户提供电话号码、短信验证码等敏感信息，进而收集大量个人数据，如通话记录、短信内容和联系人列表。SpyLoan应用的设计框架与加密技术相似，所有恶意应用都通过相似的C2（命令与控制）服务器架构进行数据外泄，增加了其防范的难度。McAfee对这些应用进行追踪，并向Google报告了问题，部分应用已被下架或更新。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spyloan-a-global-threat-exploiting-social-engineering/

---

2 黑客通过伪装成解雇通知展开网络钓鱼攻击活动

近期，一种新型网络钓鱼攻击正在蔓延，诈骗者通过伪装成解雇通知的邮件，诱使收件人点击恶意链接，实际是感染了信息窃取软件及其他恶意软件。该攻击通过发送看似合法的法律通知，告知受害者其已被解雇，并要求受害者立即采取行动。这些邮件通常带有紧急措辞，例如“文件需立即查看”或“未按要求操作将面临严重法律后果”。点击邮件中的“下载文件”按钮后，受害者并未进入正式的法律文件，而是被引导至一个伪造的微软网站，页面中含有恶意软件。此攻击仅针对Windows设备，Mac或iPhone用户点击链接时会看到一条警告信息，提示文件无法在其设备上打开，必须在Windows设备上访问。恶意文件通常是RAR压缩包，内含一个名为“Labor Lawsuit.vbs”的Visual Basic脚本，执行后会下载并执行进一步的恶意软件，其中包括窃取金融网站凭证的银行木马Ponteiro。

https://www.theregister.com/2024/11/28/fired_phishing_campaign_cloudflare/

---

3 勒索团伙声称攻击英格兰阿尔德海儿童医院

英国国家医疗服务体系（NHS）再次成为勒索软件攻击的目标，这次攻击波及利物浦的阿尔德海儿童医院（Alder Hey Children's Hospital）和利物浦心脏及胸部医院（Liverpool Heart and Chest Hospital NHS Foundation Trust）。该勒索团伙声称盗取了来自这两家医院的敏感数据，并威胁公开这些信息。据称，勒索团伙“INC Ransom”已经发布了部分被盗数据样本，包括患者和捐赠者的全名、地址、捐赠金额、患者的医疗报告（包括医院编号和出生日期）以及财务文件。该团伙声称这些数据从2018年一直延续到2024年。阿尔德海儿童医院对此表示，已意识到部分数据已在线发布，并通过社交媒体传播，医院正在与合作伙伴共同核实数据的来源和潜在影响。医院强调正与国家犯罪局（NCA）合作，确保系统安全，并根据执法建议采取进一步行动。

https://www.theregister.com/2024/11/29/inc_ransom_alder_hey_childrens_hospital/

---

4 VMware修复Aria Operations产品中的多个安全漏洞

虚拟化巨头VMware近日发布了针对其Aria Operations产品的安全更新，修复了五个潜在的严重漏洞。Aria Operations（前身为VMware vRealize Operations）是一款综合云管理和运维平台，旨在帮助IT管理员和云计算专业人士优化、管理和故障排查混合云及多云环境。此次更新修复了多个高危漏洞，包括本地权限提升漏洞（CVE-2024-38830和CVE-2024-38831），攻击者可通过这些漏洞获取系统的root权限。此外，VMware还修复了多个存储型跨站脚本（XSS）漏洞，攻击者能够通过修改视图、编辑邮件模板或云提供商编辑权限注入恶意脚本，进而导致XSS攻击。这些漏洞的修复将提高Aria Operations产品的安全性，避免黑客利用漏洞进行权限提升和信息泄露。VMware建议所有用户尽快应用更新以保障系统安全。

https://securityaffairs.com/171472/security/vmware-fixed-five-vulnerabilitiesaria-operations.html

---

5 美国上诉法院撤销对Tornado Cash的制裁

美国联邦上诉法院裁定，美国财政部超越了其权力范围，错误地对加密货币混合服务Tornado Cash实施了制裁。该平台被指控帮助朝鲜黑客洗钱超过4.55亿美元。此次裁决由美国第五巡回上诉法院的三位法官一致通过，支持六名Tornado Cash用户的诉求，他们认为该平台的隐私保护代码并不构成受制裁的“财产”。法院指出，Tornado Cash使用的不可变智能合约不具备财产属性，因此不应受到制裁。这一决定推翻了2023年下级法院的裁决，并给予Tornado Cash用户部分胜诉。法院还强调，当前的美国法律仅允许对与外国公民相关的财产采取行动，而对加密货币混合器这类现代工具的管控，可能需要国会更新已有法律。此次裁决引发了加密行业的庆祝，Tornado Cash的代币TORN价格在消息公布后上涨超过900%。不过，法律专家提醒，这一决定仅适用于没有管理密钥的智能合约部分，其他方面仍可能受到财政部的监管。

https://www.govinfosecurity.com/us-appeals-court-reverses-tornado-cash-sanctions-a-26925

---

6 深度伪造攻击已成为加密行业面临的主要欺诈手段

根据Regula的研究报告，深度伪造攻击已成为加密行业面临的主要欺诈手段，甚至超过了传统的文档伪造欺诈。在所调查的行业中，只有加密公司在遭遇欺诈时，音频和视频深度伪造欺诈的发生率高于伪造文件。报告显示，57%的加密公司遭遇过音频深度伪造攻击，而53%的公司经历过视频深度伪造欺诈，远高于其他行业主要面临文档伪造欺诈的情况。加密公司在这些先进欺诈手段上平均损失44万美元，其中37%的公司损失超过50万美元。为了应对这些威胁，加密行业普遍采用多因素认证、面部识别和活体检测等防范措施。特别是，90%的加密公司偏向使用视频面试结合文件验证的策略，以防止深度伪造欺诈。此外，39%的加密公司呼吁设立专门的监管机构，以应对深度伪造欺诈威胁。这表明，加密行业正面临新的欺诈挑战，需要重新审视身份验证和安全防护策略，尤其是在实时活体检测和多层次安全防护方面。

https://www.helpnetsecurity.com/2024/11/28/crypto-deepfake-fraud/

---