每日安全简讯(20190208)

1 安全团队发现基于JAR的新窃取器Qealler

安全团队近日发现名为Qealler的新型恶意软件，是采用Java编写的下载器，旨在从受感染的计算机上静默窃取敏感信息。攻击组织利用社交工程技术来启动感染，因为JAR文件必须由用户执行，恶意JAR文件被描绘为与发票相关的文件，从受感染站点下载。Qealler使用Proguard Java混淆器实现高度混淆，部署了一个Python凭证收集器。Qealler模块包含带有已安装软件包的Python 2.7.12，以确保即使在默认情况下没有安装恶意软件也会执行。Qealler还有一个名为QaZaqne的目录。它是开源项目LaZagne的自定义版本。QaZagne从本地机器上查找和窃取最常用软件的凭证。


https://www.zscaler.com/blogs/re ... information-stealer

---

2 Geodo僵尸网络通过垃圾邮件投放Qakbot

研究人员观察到至少从1月28日起，Geodo僵尸网络通过垃圾邮件活动直接投放Qakbot恶意软件。攻击首先向用户发送包含武器化Microsoft Office文档的网络钓鱼电子邮件，以法语版的发票为主题，文档包含恶意嵌入式宏，用户启用后，Qakbot作为第一阶段的有效载荷，会直接释放到受害者的设备上。宏本身在执行最终的PowerShell载荷之前有几个去混淆的迭代，包括其变量名和结构中的轻微混淆。活动结束时，恶意软件的二进制文件的内容替换为calc.exe的内容，试图进行持久性的隐藏。


https://cofense.com/emo-qak-geod ... irst-stage-payload/

---

3 新僵尸网络Cayosin利用社交媒体平台传播

研究人员于2019年1月6日首次观察到一种快速发展的新僵尸网络Cayosin。Cayosin僵尸网络具有结合多个先前僵尸网络的最危险特征的独特属性，通过Instagram、YouTube等社交平台而不是暗网进行出售。研究人员分析发现Cayosin的代码库与Torlus、Qbot、Lizkebab具有共同特征。它主要重用其它僵尸网络（如Mirai）使用的漏洞。截至2月2日，僵尸网络数量超过1100，并且主要用于DDoS攻击。


https://perchsecurity.com/perch- ... -february-3rd-2019/

---

4 南非电力公司因下载游戏感染Azorult木马

南非能源供应商Eskom Group因下载了伪装成The Sims 4游戏的下载器，导致企业计算机感染了Azorult信息窃取木马。该木马窃取了Eskom的网络凭据、客户信息、编辑的客户信用卡信息以及敏感的商业信息。安全研究人员还发现了一个属于Eskom的无担保数据库，该数据库已经公开发布了数周，其包含客户信息、经过编辑的付款信息、计价器信息和其它敏感细节。Eskom表示他们正在调查该事件。


https://www.bleepingcomputer.com ... to-downloaded-game/

---

5 研究人员披露macOS Mojave中0day漏洞

研究人员披露了一个存在macOS Mojave中的新0day漏洞，该漏洞可能允许攻击者从目标Mac的Keychain密码管理系统中提取密码。Keychain Access是macOS中的密码管理系统应用程序，为Facebook和Twitter等服务保存各种加密密码。该研究人员表示不会发布更多关于概念验证攻击的信息，因为Apple没有对此的漏洞赏金计划。


https://www.securityweek.com/mac ... -keychain-passwords

---

6 微软Exchange Server存在权限提升漏洞

微软表示其Exchange Server中存在严重的权限提升漏洞，该漏洞称为“PrivExchange”，其严重程度CVSS评分为8.3。该漏洞允许远程攻击者获得管理员权限。微软表示该缺陷的存在是由于Microsoft Exchange Server以及运行在Windows Server操作系统上的邮件服务器和日历服务器中的默认设置出现了大量错误。Exchange 2013及更新版本受到该漏洞影响。微软尚未发布补丁来修复该漏洞，但发布了解决方法。


https://threatpost.com/microsoft ... lnerability/141553/

---