每日安全简讯(20181026)

1 攻击者滥用Windows WMIC和CertUtil攻击巴西

趋势科技最近发现了一个滥用两个合法Windows组件实用程序wmic.exe和certutil.exe的恶意软件，该恶意软件为银行木马，仅在目标语言设置为葡萄牙语时才有效，攻击目标为巴西或其它葡萄牙语用户。攻击者冒充运营巴西国家邮政服务的公司的身份向用户发送恶意电子邮件，提供查看未能完成的交付的详细信息的恶意链接，用户点击后，下载ZIP文件，解压后为LNK文件，并指向wmic.exe，从C＆C服务器下载和执行脚本命令，最后将有效荷载和其例程模块的文件下载到受害者设备上。此攻击将WMIC和CertUtil集成到其例程中，并添加逃避技术，表明幕后和攻击者正在发展他们的工具和技术，以提高隐身性和有效性。


https://blog.trendmicro.com/tren ... art-of-its-routine/

---

2 ZombieboyMiner控制7万台电脑用于挖取门罗币

腾讯御见威胁情报中心近期检测到利用ZombieboyTools（僵尸男孩矿工）传播的挖矿木马家族最新活动。木马对公开的黑客工具ZombieboyTools进行修改，然后将其中的NSA攻击模块进行打包利用，对公网以及内网IP进行攻击，并在中招机器执行Payload文件x86/x64.dll，进一步植入挖矿、RAT（远程访问控制）木马。该团伙通过不断更新C2地址作为NSA攻击后Payload下发地址，同时使用注册的二级C2域名进行自建矿池挖矿门罗币，同时在中招机器植入RAT木马，搜集用户敏感信息上传至木马服务器。研究人员通过与2017年9月以来的活动进行对比分析发现，认为近期和已披露的Zombieboy木马发起的攻击来源为同一团伙。目前该木马的感染量约7万台电脑，并且表现的非常活跃。


https://mp.weixin.qq.com/s/Tcl_t64P2Q8A2GvM5DCtPA

---

3 Mac恶意软件拦截加密的网络流量以进行广告注入

Malwarebytes研究人员Adam Thomas发现新Mac恶意软件，将其检测为OSX.SearchAwesome，通过拦截加密的网络流量以注入广告。该恶意软件位于普通的磁盘映像文件中，打开后在没有任何显示情况下安装组件，并进行了授权对证书信任设置的更改和允许所谓的spi修改网络配置的授权。该恶意软件是在虚假的破解应用程序安装后，攻击的第二阶段发布的，广告软件spinstall应用程序进行了以下安装：spi.app应用程序和几个启动代理，设置了被强制退出后将不会自动重启和组件随着主程序的删除而删除等功能；用于中间人（MitM）攻击的证书，可拦截https流量；一个名为mitmproxy的开源程序，可用于拦截，检查，修改和重放网络流量。研究人员推测该恶意软件只是伪装成看起来相对无害的提供广告的注入脚本，之后可能进一步执行其它攻击活动。


https://blog.malwarebytes.com/th ... c-for-ad-injection/

---

4 安全厂商发现了使用H-Worm和jRAT的钓鱼活动

Cofense Intelligence™最近分析了可提供jRAT和H-Worm远程访问木马的网络钓鱼活动。攻击者使用与发票相关的通用网络钓鱼诱饵，带有两个ZIP文档，一个包含jRAT的.jar文件，jRAT主要作为远程访问木马；另一个包含H-Worm的VBScript应用程序，H-Worm为远程访问木马和带有蠕虫功能，例如在USB等可移动设备上自我传播。二者都具有获取并运行其它文件的功能外，jRAT具有网络摄像头劫持、捕获音频和高度模块化，H-Worm浏览器密码抓取、键盘记录、下载JRE和通过USB自我传播。


https://cofense.com/h-worm-jrat-malware-two-rats-better-one/

---

5 Google Play中存在专注隐身的复杂移动银行木马  

ESET研究人员在2018年8月至10月初在官方Android Google Play商店中找到29个隐藏的木马程序，它们伪装成设备助推器和清理器，电池管理器甚至是以星座为主题的应用程序。这些应用程序属于具有复杂功能且专注于隐身的复杂移动银行恶意软件类别。恶意程序被运行后，就算用户删除，主要的恶意功能仍然会继续隐藏在每个应用程序资产中的加密载荷中，通过远控，制作钓鱼表单动态定位其它应用程序、截取和重定向SMS消息、以及下载和安装其它应用程序。载荷采用base64编码，硬编码密钥采用RC4加密，恶意程序会初始检查是否存在模拟器或沙箱的dropper，如果检查失败，将自行删除。恶意应用程序已从官方商店中删除，但删除前已被近30,000名用户安装。


https://www.welivesecurity.com/2 ... urface-google-play/

---

6 Magecart黑客组织把攻击目标转向Magento扩展  

安全研究员Willem de Groot称，Magecart黑客组织最近瞄准了Magento开源电子商务平台的扩展。该组织最近才开始瞄准大型平台，包括英国航空公司，Ticketmaster，Newegg和云服务提供商Feedify，并在上个月攻击了Shopper Approved。Magento已经在升级版中替换了大多数有问题的语句，但很多扩展仍使用PHP的易受攻击的unserialize()函数。Magecart收集了很多Magento的扩展并查找其中有无使用unserializ()的情况。Groot发现了许多POI的0 day漏洞。黑客试图通过滥用PHP的unserialize()函数来通过PHP对象注入（POI）来破坏网站，目前攻击者正在探测这些扩展，探测成功后，恶意攻击者将返回受影响的网站并插入为该站点自定义的JavaScript支付，对用户进行财务窃取。Groot正在和其他安全人员修复所有这些扩展。


https://gwillem.gitlab.io/2018/10/23/magecart-extension-0days/

---