每日安全简讯(20200327)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用虚假Chrome浏览器更新传播后门

Doctor Web病毒实验室发现攻击者设法获得了几个网站的管理访问权限，并注入了恶意JavaScript代码，这些代码自动将访问者重定向到钓鱼网站。钓鱼网站会提示用户安装Chrome浏览器的重要安全更新。启动安装程序后，它将在％userappdata％目录中创建一个文件夹，其中包含TeamViewer远程控制应用程序的文件，并解压缩两个受密码保护的SFX存档。一个存档包含两个组件，其中一个为恶意的msi.dll库，该库允许一个未经授权攻击者连接到受感染的计算机，另一个为一个批处理文件，用于使用谷歌起始页启动Chrome浏览器。第二个存档包含用于绕过Microsoft Windows内置的防病毒保护的脚本。通过TeamViewer进程将msi.dll库加载到RAM内存中，同时向用户隐藏其活动。攻击者可以使用后门进一步投送X-Key键盘记录器、Predator The Thief窃取程序和木马。该活动的目标用户是来自美国、加拿大、澳大利亚、英国、以色列和土耳其的Chrome浏览器用户。


https://news.drweb.com/show/?i=13746&lng=en

---

2 虚假新冠病毒地图插件投送WP-VCD恶意软件

研究人员发现了利用虚假新冠病毒动态地图WordPress插件投送WP-VCD恶意软件的攻击活动。研究人员发现ZIP文件中包含这些看似合法的商用插件，插件名包括"COVID-19冠状病毒-实时地图WordPress插件"、“状病毒传播预测图”等。这些插件都包含一个PHP文件，其包含恶意代码和与WP-VCD插件相关联的各种base64编码的字符串。安装插件后，base64编码的PHP代码将添加到/wp-includes/post.php文件中，以便每次在站点上加载页面时自动加载wp-vcd.php。该插件还将搜索所有已安装的主题，并将另一个base64编码的PHP代码添加到每个主题的functions.php文件中。通过这些文件修改，WP-VCD代码现在将重新连接到其C2服务器，以接收要在WordPress主机上执行的命令。这些命令通常用于注入在站点上显示恶意广告的代码或执行到其他站点的重定向。


https://www.bleepingcomputer.com ... oronavirus-plugins/

---

3 家用品牌特百惠网站遭到支付卡窃取程序攻击

3月20日，Malwarebytes确定了针对家用品牌特百惠（Tupperware）及其相关网站有针对性的网络攻击，该攻击至今仍在进行中。黑客入侵了特百惠官方网站以及一些本地化的版本，将恶意代码隐藏在图像文件中，从而在付款过程中激活仿冒官方的欺诈性付款表单。该表单通过支付卡窃取程序收集客户付款数据，包括姓名、帐单地址、电话号码、信用卡号、信用卡到期日、信用卡CVV，然后发送给攻击者。研究人员目前尚不清楚黑客如何入侵网站，但是通过扫描分析，网站正在运行Magento Enterprise软件的过时版本。研究人员已经联系特百惠提醒该攻击活动，但目前还未得到任何答复。


https://blog.malwarebytes.com/ha ... redit-card-skimmer/

---

4 Apple发布安全更新修复其产品中共68个漏洞

Apple发布了安全更新，修复了iOS、macOS和Safari中共68个漏洞。其中iOS中共修复30个漏洞，Safari中共修复11个漏洞，macOS中共修复27个漏洞。最严重的漏洞为WebKit中的类型混淆错误（CVE-2020-3897、CVE-2020-3901），允许远程攻击者在受影响的Apple Safari上执行任意代码。Apple还披露了两个影响iOS和macOS的内核漏洞。第一个是内存初始化漏洞（CVE-2020-3914），该漏洞可能允许应用程序读取受限的内存。第二个是内核中的内存损坏漏洞（CVE-2020-9785），它可能允许恶意应用程序以内核特权执行任意代码。Apple强烈建议用户更新到iOS 13.4、Safari 13.1和macOS Catalina 10.15.3版本。


https://threatpost.com/apple-upd ... -ios-safari/154155/

---

5 Linux发行版OpenWrt存在远程代码执行漏洞

Linux发行版OpenWrt修复了其存在的远程代码执行漏洞CVE-2020-7982。OpenWrt是适合于嵌入式设备的一个Linux发行版，专为网络路由器量身定制，已在全球数百万台设备上使用。该漏洞位于OpenWrt上的opkg软件包列表解析逻辑中，该逻辑未对下载的.ipk工件进行必要的检查。由于opkg作为root运行，并且对整个文件系统具有写入访问权限，因此攻击者可以通过伪造的.ipk包注入任意代码。该漏洞已在2020年2月1日发布的OpenWrt版本18.06.7和19.07.1中得到解决。


https://www.securityweek.com/rem ... ity-patched-openwrt

---

6 Videolabs修补libmicrodns库中的代码执行漏洞

Videolabs最近在其libmicrodns库中修复了可能导致拒绝服务（DoS）和任意代码执行的漏洞。Videolabs是VLC移动应用程序的编辑，也是VLC媒体播放器的重要贡献者。libmicrodns库的标签解析功能中存在一个可利用的远程代码执行漏洞，该漏洞被追踪为CVE-2020-6072，CVSS评分为9.8。其余所有漏洞的CVSS评分均为7.5，包括该库的TXT记录解析功能中的DoS漏洞CVE-2020-6073、拒绝该库资源记录解析功能中的服务漏洞CVE-2020-6071等。libmicrodns库的0.1.1版本修复了所发现的漏洞。


https://www.securityweek.com/vid ... libmicrodns-library

---