每日安全简讯(20210320)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 macOS恶意软件通过EggShell后门针对开发人员

研究人员最近得知一个针对iOS开发者的被木马化的Xcode项目，该恶意项目是GitHub上一个合法开源项目的篡改版本。XcodeSpy版本已经被微妙地更改，以便在开发人员的构建目标启动时执行一个混淆的运行脚本。该脚本与攻击者的C2联系，并在开发计算机上放置EggShell后门的自定义变体。该恶意软件会安装用户LaunchAgent以保持持久性，并能够记录来自受害者的麦克风、摄像头和键盘的信息。


https://labs.sentinelone.com/new ... -eggshell-backdoor/

---

2 新型CopperStealer利用受感染账户投放恶意软件

这款由Proofpoint研究人员称为CopperStealer的恶意软件是一种密码和cookie窃取程序，具有下载功能，可让其操控者向受感染的设备提供其他恶意载荷。该恶意软件背后的威胁参与者已使用受感染的帐户来运行恶意广告，并在随后的恶意广告活动中投放其他恶意软件。CopperStealer会收集保存在谷歌Chrome、Edge、Firefox、Yandex和Opera网络浏览器中的密码。它还将使用被盗的cookies检索受害者的Facebook用户访问令牌，以收集其朋友列表、广告账户信息和他们可以访问的Facebook页面列表。使用CopperStealer的下载器模块下载的恶意软件包括模块化的Smokeloader后门以及从多个URL下载的各种其他恶意有效载荷。CopperStealer正通过假冒软件破解网站和已知的恶意软件分发平台进行分发，这些平台包括keygenninja[.]com、piratewares[.]com、startcrack[.]com和crackheap[.]net。


https://www.bleepingcomputer.com ... -facebook-accounts/

---

3 攻击者以交通罚单为诱饵传播TrickBot恶意软件

网络安全和基础设施安全局（CISA）和联邦调查局（FBI）观察到，在北美，使用恶意软件的鱼叉式网络钓鱼活动持续不断。一个复杂的网络犯罪团伙正在引诱受害者，利用一个交通罚单的网络钓鱼计划分发TrickBot。钓鱼邮件中包含的链接会重定向到托管在受感染服务器上的网站，会提示受害者点击其交通违规的照片证明。在单击照片时，受害者在不知不觉中下载了恶意JavaScript文件，该文件在打开后会自动与恶意参与者的命令和控制（C2）服务器通信，以将TrickBot下载到受害者的系统中。


https://us-cert.cisa.gov/ncas/alerts/aa21-076a

---

4 新的网络钓鱼活动针对美国纳税人分发两种RAT

由于税收季节已经到来，Cybereason检测到一项针对美国纳税人的新活动，其文件据称包含与税收有关的内容，最终提供了NetWire和Remcos两种RAT（远程访问木马），攻击者可以借此控制受害者的计算机并窃取敏感信息。引诱用户安装恶意软件的感染载体是一个以纳税申报单为主题的Word文档，其中包含一个恶意宏。一旦打开文档，据称背景内容模糊不清，并且用户必须手动确认“启用编辑”和“启用内容”提示。这是一种已知的社会工程方法，用于鼓励用户允许嵌入式宏在他们的计算机上运行。一旦执行了恶意内容，受害者的计算机上就会运行一个嵌入式且高度混淆的宏。有效载荷最终被放置到用户的“Temp”目录中，最后，DLL被注入记事本并继续感染链。


https://www.cybereason.com/blog/ ... geting-us-taxpayers

---

5 WordPress的Tutor LMS插件存在SQL注入漏洞

研究人员称，Tutor LMS是一个安装在2万多个网站上的WordPress插件，Tutor LMS中的安全漏洞为信息窃取和特权升级打开了大门。该插件是面向教育工作者的学习管理系统，可让他们以数字方式与学生接触。根据Wordfence的一项分析，该插件中存在五个严重的SQL注入漏洞，并且至少有一个是由未受保护的AJAX端点引起的严重性漏洞。研究人员在本周的一篇文章中解释说，前者“使攻击者有可能获得存储在网站数据库中的信息，包括用户证书、网站选项和其他敏感信息”。其余的漏洞允许经过身份验证的攻击者通过使用各种AJAX操作，来提升用户权限并更改课程内容和设置。


https://threatpost.com/tutor-lms-wordpress-security-holes/164868/

---

6 Zoom应用的屏幕共享漏洞可能会泄漏敏感数据

当前版本的Zoom的安全问题可能会在不经意间将用户数据泄露给其他会议参与者。然而，这些数据只是被短暂地泄露，这使得潜在的攻击难以实施。该漏洞（CVE-2021-28133）源于视频会议平台Zoom的屏幕共享功能出现故障。通过该功能，用户可以在Zoom会议中与其他参与者共享屏幕内容。他们可以选择共享整个屏幕、一个或多个应用程序窗口，或者仅共享屏幕上的一个选定区域。由于该漏洞很难被真正有意利用，因此该漏洞在CVSS级别上仅处于中等严重性（10分之5.7）。


https://threatpost.com/zoom-glitch-leaks-data/164876/

---