每日安全简讯(20190210)

1 研究人员发现Linux挖矿程序XMR-Stak

研究人员发现一个针对Linux的挖矿脚本，该脚本安装了一种加密货币挖矿恶意软件XMR-Stak，并下载一个通用的Stratum XMR-Stak池挖矿程序，使用系统的CPU或GPU来挖取加密货币。其感染是通过TCP端口8161从一些IP摄像头和Web服务开始的，并植入系统和crontab文件中，保证在用户重启和删除后继续存在。该脚本与Xbash和KORKERDS具有部分相同的功能，能够删除部分已知的Linux恶意软件、挖矿软件和其它的挖矿服务和端口。


https://blog.trendmicro.com/tren ... malware-and-miners/

---

2 攻击活动使用游戏图像传播GandCrab

研究人员发现针对意大利传播恶意电子邮件活动。用户打开其携带的Excel附件后，并提示启用恶意宏，启用后，将检查计算机是否配置为使用意大利区域，否则退出。如果位于意大利，将下载游戏超级马里奥中的马里奥图像，脚本将从图像上部分中提取各种像素，每个像素的低位用作对这些像素的调整，并且使图像产生最小的差异。通过运行它构建更加模糊的PowerShell命令，然后执行该命令，从远程站点下载并安装勒索软件GandCrab。


https://www.bromium.com/gandcrab-ransomware-code-hiding-in-image/

---

3 谷歌商店中出现首个Clipper恶意软件

研究人员于2019年2月在Android应用商店Google Play上发现了恶意剪辑器Clipper，其冒充名为MetaMask的合法服务，主要目的为窃取受害者的凭据和私钥，以控制受害者的以太坊资金。在线加密货币钱包的地址由长字符串组成，用户倾向于使用剪贴板复制和粘贴地址，而不是打字。该Clipper的恶意软件正利用了这一点。通过拦截剪贴板的内容，替换为想要破坏的内容。在加密货币交易的情况下，受影响的用户最终可能将复制的钱包地址静默切换到攻击者的地址。目前谷歌安全团队已从商店中删除了该应用。


https://www.welivesecurity.com/2 ... alware-google-play/

---

4 新TLS漏洞可导致POODLE MitM攻击

研究人员在新TLS协议中发现与SSL 3.0加密协议漏洞相关的两个新漏洞，这些漏洞导致POODLE MitM攻击。研究人员将两个漏洞命名为Zombie POODLE和GOLDENDOODLE（CVE-2019-6485），Zombie Poodle能够在Citrix负载均衡器中恢复POODLE攻击，并对一些尚未完全根除过时加密方法的系统上的POODLE攻击进行微调。GOLDENDOODLE是一种类似POODLE的更强的攻击，即使供应商完全消除了原有的POODLE漏洞，仍然容易受到该攻击。漏洞CVE-2019-6485可能允许攻击者滥用受影响供应商之一的Citrix的Delivery Controller（ADC）网络设备来解密TLS流量。目前Citrix已发布该漏洞补丁。


https://www.darkreading.com/vuln ... flaw/d/d-id/1333815

---

5 FireOS漏洞允许攻击者注入恶意内容

研究人员发现Amazon针对Fire平板电脑设备提供的FireOS操作系统可能会被MITM攻击者注入恶意内容。攻击者还可以捕获设备的序列号。该漏洞存在于FireOS中，漏洞ID为CVE-2019-7399，漏洞产生的根本原因是设置部分内的合法内容（使用条款和隐私政策）缺乏HTTPS。目前该漏洞已经被修复。


https://wwws.nightwatchcybersecu ... reos-cve-2019-7399/

---

6 新网络钓鱼攻击使用谷歌翻译进行伪装

研究人员发现针对Google和Facebook帐户的网络钓鱼活动。这是试图窃取Google帐户和Facebook凭据的广告活动，它利用Google翻译作为移动浏览器进行伪装。这个广告活动使用谷歌翻译使网络钓鱼页面看起来像是来自谷歌网站，同时也使得在移动浏览器上检测更加困难。


https://blogs.akamai.com/sitr/20 ... ogle-translate.html

---