每日安全简讯(20200703)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安全厂商联合揭秘恶意Android SDK插件“道贼”

2020年5月，奇安信病毒响应中心移动安全团队发现一款Android平台的恶意SDK插件，联合安天移动安全团队和其他安全研究机构进行深入分析拓展，确认SDK具有收集用户隐私信息和下载执行更多恶意插件的能力。对影响面的分析显示这款恶意SDK插件被市面上数百款Android应用集成，结合恶意SDK后续插件下载量以及遥测数据分析估算至少有200万台以上的独立Android终端设备安装了带有该恶意SDK插件的应用。基于该恶意SDK的行为特点以及溯源到的幕后组织信息，将其命名为“道贼”。


https://mp.weixin.qq.com/s/zjG3zlJo1dSSb2mjY9QxDA

---

2 安全厂商发现针对ICS系统的EKANS勒索软件变种

FortiGuard Labs分别在在5月底和6月发现了针对ICS系统的EKANS勒索软件变种样本。两个变种均使用GO编程语言编写，二者均会确认目标环境、隔离受感染的系统、文件加密过程中使用的公共RSA密钥被解码、识别并停止特定的服务和流程、删除卷影副本、加密文件。不同之处是，在6月份发现的变种在执行过程中会关闭主机防火墙。


https://www.fortinet.com/blog/th ... ting-ot-ics-systems

---

3 TrickBot木马变种通过检查屏幕分辨率以反沙箱

研究人员发现TrickBot木马新样本通过检查受感染计算机的屏幕分辨率，以确定是否是在虚拟机中。该变种检查计算机的屏幕分辨率是否为800x600或1024x768，因为虚拟机通常将不允许除800x600和1024x768以外的分辨率。如果是，则TrickBot将终止运行。


https://www.bleepingcomputer.com ... -to-evade-analysis/

---

4 POS恶意软件Alina利用DNS隧道窃取支付卡数据

CenturyLink研究人员发现POS恶意软件Alina利用DNS来窃取支付卡数据。研究人员共发现了具有类似DNS查询的四个正在被Alina使用的域。恶意软件操控者对窃取的信息进行编码，并向其控制的域名发出DNS查询。编码后的数据被放置在一个子域中，恶意软件操控者在收到DNS查询时会解码并提取该子域数据。被盗取的数据将在地下犯罪市场上出售。


https://blog.centurylink.com/ali ... ill-lurking-in-dns/

---

5 WastedLocker勒索软件入侵数十个美国新闻网站

赛门铁克证实，所属同一公司的数十个美国新闻网站已被WastedLocker勒索软件入侵。该勒索软件幕后团伙Evil Corp使用基于JavaScript的恶意框架SocGholish显示的假冒软件更新警报来感染30多家美国大型私营公司的员工。研究人员表示，拥有这些新闻网站的公司收到了警告，恶意代码已被删除。


https://www.bleepingcomputer.com ... ransomware-attacks/

---

6 网络钓鱼活动使用恶意ICS文件附件窃取凭据

Trustwave研究人员发现一项用于窃取凭据的网络钓鱼活动。网络钓鱼电子邮件据称来自某些组织的安全团队，利用“帐户暂停”主题诱使收件人打开附件。邮件附件为一个ICS文件，其为一个纯文本文件，包含日历和计划信息。所带的描述仅指示收件人单击或打开日历文件中包含的Sharepoint链接。SharePoint上托管的恶意PDF包含指向Google Cloud Storage的链接。最后，PDF文件中的嵌入式链接会导致托管在Google云中的凭据收集网络钓鱼页面。该网络钓鱼收集的凭据将被发布到在Namecheap下注册的新创建的域。


https://www.trustwave.com/en-us/ ... alicious-ics-files/

---