每日安全简讯(20190312)

1 研究人员发布针对日本用户的PowerShell脚本分析

研究人员3月7日发现了一个针对日本用户的复杂的多阶段PowerShell脚本，此脚本利用多层混淆、加密和隐写技术躲避检测，VirusTotal上的反病毒引擎都没有检测到它。恶意脚本很大程度上依赖于字符串格式化运算符（-f），并在PowerShell中转义字符（`）来混淆其最终有效载荷。研究人员对脚本进行反混淆，发现在第二行中，Set-Alias（sa）cmdlet用于为“new-object”创建新别名“DF”。在第22行，通过传递两个参数来调用函数pLank。解密的代码在第25行执行。研究人员指出隐写技术提取功能与ursnif使用的技术非常相似。


http://blog.inquest.net/blog/201 ... ll-Targeting-Japan/

---

2 安全厂商披露BuleHero蠕虫病毒变种增加漏洞利用

腾讯御见威胁情报中心3月9日检测到BuleHero蠕虫病毒最新变种攻击，该变种不仅延续了以往版本的多个漏洞利用攻击方式，还增加了thinkphp5漏洞（CNVD-2018-24942）利用攻击。木马在攻陷的电脑植入挖矿木马挖矿门罗币，同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。


https://mp.weixin.qq.com/s?__biz ... e=0&xtrack=1#rd

---

3 安全厂商披露针对波兰和捷克的安卓银行钓鱼木马

启明星辰研究人员发现了一款全新的Android银行钓鱼木马，将其命名为BankThief，该木马将自身伪装成Google Play应用，利用系统辅助服务功能监控感染设备以窃取受害用户的银行登录凭证。BankThief感染目标设备后，首先通过无障碍服务监控感染设备。当监控到目标银行应用被打开时，银行木马会启动对应的伪装好的钓鱼页面覆盖掉真实的银行APP界面，在受害用户没有察觉的情况下窃取其银行登录凭证。BankThief会根据感染设备本地语言来配置自身显示语言，配置语言包括捷克语和波兰语，且BankThief链接的钓鱼页面服务器上配置有针对波兰和捷克的伪装银行钓鱼页面，因此推测其主要攻击目标国家为波兰和捷克。


https://paper.seebug.org/839/

---

4 研究人员发现针对房地产经纪人的网络钓鱼活动

研究人员发现网络钓鱼活动利用多个知名房地产特许经营品牌，以获取房地产经纪人的电子邮件凭证。攻击者在PDF鱼叉式钓鱼附件中使用与知名房地产相似的图像或语言。附件中包含重定向到凭据收集网站的嵌入式链接。凭证收集网站使用与合法网站相同的背景图像和整体布局。当钓鱼邮件冒充来自Google时，还会收集用户的电话号码。攻击者可利用电话号码绕过基于SMS的双因素身份验证。除了将捕获的凭据发送到电子邮件地址之外，网络钓鱼工具包还经常将这些凭据写入凭据收集器网站上的本地文件。


https://medium.com/@mark_px/clos ... agents-fab8c53cad59

---

5 STOP勒索软件安装Azorult木马窃取帐户凭据

研究人员发现STOP勒索软件新变种在受感染计算机上安装Azorult木马窃取帐户凭据以及加密货币钱包。当文件被加密时，新变种会将.promorad扩展名附加到加密文件并创建名为_readme.txt的勒索信。Azorult木马可以窃取存储在浏览器中的用户名和密码、受害者桌面上的文件、加密货币钱包、Steam凭据、浏览器历史记录、Skype消息历史记录等。感染STOP Ransomware变种的受害者应立即更改使用的所有账户密码，以及Skype、Steam、Telegram和FTP等客户端软件中的密码，并且检查存储在Windows桌面上的所有文件。


https://www.bleepingcomputer.com ... trojans-on-victims/

---

6 开源事件驱动平台StackStorm中存在严重漏洞

研究人员在开源事件驱动平台StackStorm中发现了一个严重的漏洞（CVE-2019-9580），它可能允许远程攻击者执行任意命令。该漏洞是由于StackStorm REST API未正确处理CORS（跨源资源共享）标头的方式，最终使Web浏览器能够执行跨域请求。要利用此漏洞，攻击者只需向受害者发送恶意制作的链接，允许其“读取/更新/创建操作和工作流程，获取内部IP并在每台计算机上执行命令。StackStorm已经发布2.9.3和2.10.3版本以修复漏洞。


https://thehackernews.com/2019/0 ... -vulnerability.html

---