每日安全简讯(20190531)

1 Turla组织新TTP利用PowerShell执行恶意软件

ESET研究人员发现Turla组织在最近的活动中使用PowerShell脚本，直接在内存中加载可执行文件和库以躲避检测。研究人员分析了Turla组织新TTP和其使用的有效载荷，PowerShell加载器实现三个功能：维持持久性、加密以及将可执行文件和库加载到内存。自2019年3月以来的一些攻击活动中，Turla组织修改了PowerShell脚本以绕过反恶意软件扫描接口（AMSI）。PowerShell脚本最终投放各种有效载荷，如RPC后门和PowerShell后门PowerStallion。


https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/

---

2 新Lokibot攻击活动使用Ngrok服务传播恶意软件

My Online Security研究人员发现攻击者使用Ngrok服务传播Lokibot恶意软件。Ngrok服务充当直接隧道或VPN，可以将恶意软件置于云中并绕过防火墙。钓鱼邮件冒充来自西班牙银行BBVA Banco Continental，附件是恶意的XLS文件，要求用户启用宏，一旦用户启用宏，Lokibot就会下载到用户主机。由于Ngrok服务托管在AWS上，在技术人员响应之前，恶意软件已经完成恶意活动。


https://myonlinesecurity.co.uk/l ... grok-proxy-service/

---

3 DuckDuckGo Android浏览器易受URL欺骗攻击

基于安卓5.26.0版本的开源DuckDuckGo隐私浏览器存在漏洞CVE-2019-12329，攻击者可通过更改显示在易受攻击浏览器地址栏中显示的 URL诱骗受害者认为正在浏览的网站由受信任方控制。研究人员创建的概念验证通过在特制JavaScript页面的帮助下进入伪装DuckDuckGo隐私浏览器的omnibar，该JavaScript页面利用setInterval函数每10到50毫秒重新加载一个URL。虽然真正的DuckDuckGo网站每50毫秒自动加载一次，但其内部HTML会被修改为完全不同的内容。


https://www.bleepingcomputer.com ... l-spoofing-attacks/

---

4 白帽黑客发现微软Notepad中存在代码执行漏洞

白帽黑客Tavis Ormandy在微软的Notepad文本编辑器中发现了代码执行漏洞，并向微软报告。Ormandy认为该漏洞可能为内存损坏漏洞，他在Twitter上分享了在Notepad中弹出一个shell的图像。Zerodium创始人表示此类现象并不是第一次出现。微软发布安全补丁后，研究人员可能会透露漏洞细节。


https://securityaffairs.co/wordp ... n-flaw-notepad.html

---

5 英国连锁酒吧Greene King遭入侵泄露用户信息

2019年5月14日，黑客入侵了英国连锁酒吧Greene King礼品网站，导致用户信息泄露。黑客可能已经访问了用户的姓名、电子邮件地址、用户ID、加密密码、地址、邮政编码和礼品卡订单号。Greene King表示尽管用户密码是加密的，但仍然可能受到影响。该公司已经采取安全措施保护用户的数据，并且已经向信息专员办公室（ICO）及其客户通报了入侵行为。


https://cyware.com/news/uk-pub-c ... rd-website-1aec5c69

---

6 Checkers餐厅遭到恶意软件攻击泄露支付卡信息

攻击者在102个Checkers和Rally POS系统植入恶意软件，窃取客户的支付卡数据，包括持卡人姓名、支付卡号、卡验证码和到期日期。发现该事件后，Checkers进行了调查以确定事件的性质和影响，并通知执法机关并与受影响的餐馆协调解决问题。


https://cyware.com/news/checkers ... -locations-f31199f1

---