每日安全简讯(20190117)

1 安全厂商披露Emotet银行木马最新活动

研究人员发现Emotet银行木马最新活动。一部分恶意软件通过电子邮件分发，附件是包含嵌入式宏的Word文档。Emotet通常会使用不同的主题行，此次活动也是一样，但多数以发票和快递为主题。另一部分恶意软件直接通过URL下载。不同寻常的是恶意软件使用HTTP 301重定向。此外，最新活动中Emotet会检查发送恶意电子邮件的受感染IP是否已被列入垃圾邮件列表的黑名单。


https://blog.talosintelligence.com/2019/01/return-of-emotet.html

---

2 新勒索软件加密文件并窃取PayPal凭证

研究人员发现一种新的勒索软件，勒索软件本身并不特别，加密用户文件并索要赎金，但赎金票据提供的PayPal支付途径（另一种支付方式为比特币支付）会重定向用户到钓鱼网站并窃取PayPal凭证。用户提交信息后，信息被发送到非PayPal.com的地址，页面显示表格要求用户填写地址和其他个人信息。填写信息后，用户收到帐户已解锁的通知，并返回正常PayPal登录页面。


https://www.bleepingcomputer.com ... to-its-ransom-note/

---

3 研究人员发现Djvu勒索软件出现.tro新变体

2018年12月，研究人员发现名为Djvu的新勒索软件，它可能是STOP的一种变种，通过Cracks和广告软件包分发。勒索软件加密用户文件后使用.djvu作为扩展名，但最新变体已经使用.tro作为扩展名。感染计算机后，主安装程序将4个.exe文件下载到同一文件夹。1.exe将执行各种命令，删除Windows Defender的定义并禁用各种功能，执行名为Script.ps1的PowerShell脚本以禁用Windows Defender的实时监控功能。2.exe会将大量安全站点和下载站点添加到Windows HOSTS文件中防止受害者寻求帮助。研究人员尚未找到3.exe的样本，因此无法确定其功能。勒索软件会生成一个唯一的ID发送至C2服务器，研究人员称是系统MAC地址的MD5。最后，勒索软件将创建一个名为“ Time Trigger Task ” 的计划任务，在不同时间间隔启动加密，加密新创建的文件。


https://www.bleepingcomputer.com ... and-adware-bundles/

---

4 网络钓鱼活动通过RTF文档分发Hawkeye木马

研究人员发现分发Hawkeye木马的网络钓鱼活动，电子邮件以“采购订单”为主题，附件看似是Word文档，实际上是利用CVE-2017-1182漏洞的富文本(RTF)。文档共87页，前几页是空白的，后面有一些看似用越南语写的页面。恶意宏仅感染Windows计算机，Mac、iPhone、iPad、Blackberry、Windows手机和Android手机均不受影响。


https://cyware.com/news/maliciou ... g-campaign-03e71fd5

---

5 新加坡航空公司提醒客户警惕网络钓鱼诈骗

新加坡航空公司（SIA）发现一个网站冒充新加坡航空公司，提供免费机票作为奖品，然后再继续索取个人资料。周一（1月14日）新加坡航空公司（SIA）在其网站上发出警告，提醒客户注意网上诈骗。SIA钓鱼邮件旨在诱骗SIA客户提供个人信息和信用卡信息。目前该网站已被删除，SIA建议客户谨慎提供个人信息。上周，SIA最新更新网站的软件故障导致了数据泄露事件，大约285名客户的旅行信息被泄露。


https://cyware.com/news/singapor ... shing-scam-c81286f0

---

6 TP-Link路由器被发现远程代码执行漏洞

TP-Link最近修补了TL-R600VPN千兆宽带VPN路由器中的三个漏洞，固件版本为1.3.0。TL-R600VPN是一款五端口小型办公室/家庭办公室（SOHO）路由器，其HTTP服务器处理对/ fs /目录的请求的方式中存在漏洞，经过身份验证的攻击者可以远程执行设备上的代码。研究人员发布了详细的漏洞利用过程。这些类型的漏洞在物联网设备中都很常见。


https://blog.talosintelligence.c ... p-dive-tp-link.html

---