每日安全简讯(20190909)

1 FakeSpy运营者使用新恶意软件FunkyBot攻击日本用户

FortiGuard实验室的安全研究人员发现了针对日本用户的新恶意软件活动。该广告系列利用名为FunkyBot的新间谍软件。它由负责FakeSpy恶意软件的相同运营者发起。恶意软件伪装成一个合法的应用程序，以传播到受害者的设备中。它由两个.dex文件组成：一个是恶意软件模仿的原始应用程序的副本，另一个是恶意代码。首先确定Android手机的版本以便生成适当的有效载荷，之后，通过Java反射调用方法'runCode'类来安装有效载荷。恶意软件会启动一个名为KeepAliceMain的类来获得持久性。


https://www.fortinet.com/blog/th ... -targets-japan.html

---

2 恶意软件GootKit设置排除路径逃避Windows Defender检测

随着Windows Defender的日渐成熟并紧密集成到Windows 10中，恶意软件编写者正在创建逃避其检测的技术。GootKit银行木马就是这种情况，它通过绕过UAC和WMIC命令使Windows Defender病毒扫描排除可执行恶意软件的路径。并试图通过视频捕获来窃取受感染用户的在线银行凭据，并在攻击者的控制下重定向到虚假的银行网站。


https://www.bleepingcomputer.com ... ng-path-exclusions/

---

3 研究人员发现利用网络钓鱼邮件安装恶意软件的活动

研究人员最近发现了一起网络钓鱼攻击，黑客入侵其供应商的Salesforce帐户，向客户发送带有虚假发票的网络钓鱼电子邮件。由于这些虚假发票复制了合法发票的模式，因此Office 365的安全层几乎无法追踪它们。黑客的攻击步骤是，先入侵受害者的Salesforce帐户和公共网站，将恶意代码注入网站，以生成两个面向公众的URL。在Salesforce中，黑客访问Email Studio，将恶意URL写入电子邮件，并将其发送给存储在Salesforce中的联系人。受害者接收了黑客发送的网络钓鱼电子邮件后，点击URL（该URL指向包含恶意软件的页面），开始下载恶意软件。


https://www.avanan.com/resources/salesforce-phishing-attack

---

4 研究人员在Danfoss SCADA产品中发现两个关键漏洞

研究人员在Danfoss SCADA产品中发现了两个关键漏洞。一个是实际上具有高权限功能的管理软件的后门。虽然创建这个后门可能是为了帮助供应商的支持团队登录系统来协助他们的客户，但密码可以很容易地被攻击者破解。即使密码发生变化，Risk Based Security的研究团队也能够编写一个程序，在任何给定时间生成正确的密码。一旦以这种方式获得访问，攻击者就可以执行各种操作，包括在底层数据库中公开和操纵数据，或者重置超级管理员的密码，然后在具有完全权限的帐户下登录。另一个关键漏洞是当访问小服务程序时缺少许可检查，允许执行敏感的数据库查询，例如，公开用户名和密码。


https://www.helpnetsecurity.com/ ... da-vulnerabilities/

---

5 研究人员披露了针对Android操作系统的高危零日漏洞

安全研究人员已经公布了有关影响Android移动操作系统的高危零日漏洞的详细信息。Android操作系统中的高危零日安全漏洞已经公开，该漏洞位于Video for Linux 2（v4l2）驱动程序中。此漏洞无法帮助黑客入侵用户的手机或远程攻击。要利用此漏洞，攻击者首先需要对设备进行本地访问，然后才能完全控制设备。


https://cyware.com/news/high-sev ... -disclosed-dc78af96

---

6 Exim存在允许攻击者以root权限远程执行命令的漏洞

安全研究人员Sanyam Jain发现了一个未受保护的服务器，无需密码保护即可公开访问。该服务器包含至少4.19亿条记录，链接到包括名人在内的多个Exim邮件传输代理软件4.80至4.92.1版本存在严重漏洞。该漏洞编号为CVE-2019-15846，允许本地或未经验证的远程攻击者在服务器接受TLS连接时以ROOT权限执行程序。Exim的开发团队将发布4.92.2版本，以修复这个严重的安全漏洞。


https://www.bleepingcomputer.com ... e-commands-as-root/

---