每日安全简讯(20210514)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软披露航空航天等领域近期受恶意软件攻击情况

微软最近发现了针对航空航天和旅游组织的鱼叉式网络钓鱼活动并警告称，他们使用一种新的隐形恶意软件加载程序部署了多个远程访问木马。部署后，该恶意软件使攻击者可以窃取凭据、屏幕截图、网络摄像头数据、浏览器、剪贴板数据、系统和网络信息，并通过SMTP端口587泄露数据。攻击者利用网络钓鱼邮件欺骗合法机构，并进一步利用图像引诱这些公司打开类似pdf的文件，这些文件看起来像是包含与航空、旅行和货运等多个行业相关的信息。


https://www.hackread.com/microso ... pace-travel-sector/

---

2 FragAttacks漏洞几乎危及全球所有Wi-Fi设备

在支持Wi-Fi的IEEE 802.11技术标准中已经公开了三个设计缺陷和多个实现缺陷，这可能使攻击者能够控制系统并掠夺机密数据。这些弱点被称为FragAttacks（碎片聚合攻击的缩写），它会影响所有Wi-Fi安全协议，从WEP一直到WPA3，因此几乎所有支持无线的设备都会面临攻击的风险。纽约大学阿布扎比分校的安全学者马蒂·范霍夫说：“在受害人的无线电范围内的黑客可以利用这些漏洞来窃取用户信息或攻击设备。”


https://thehackernews.com/2021/0 ... are-vulnerable.html

---

3 美国多家机构联合分析了5G网络的潜在风险

美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）以及国家情报局局长办公室（ODNI）分析了与实施5G网络相关的风险和漏洞。信息技术、通信和国防工业基础领域的代表也为“ 5G基础设施的潜在威胁媒介”的报告做出了贡献。电信标准实施不充分、基础设施薄弱以及供应链威胁可能会给5G网络带来重大的网络安全风险。该分析提供了对5G网络的已知和潜在威胁的列表，采用5G技术的示例场景并评估了对5G核心技术的风险。


https://securityaffairs.co/wordp ... networks-risks.html

---

4 苹果App Store去年删除了9.5万欺诈性质APP

2020年，苹果从App Store中删除或拒绝了成千上万的应用程序，原因是它们存在各种形式的欺诈行为，包括垃圾邮件、恶作剧和侵犯隐私。该公司的App Review团队去年拒绝了大约20万款应用，这些应用要么包含隐藏功能，要么被发现是垃圾邮件、山寨产品，或者试图欺骗用户进行购买。另外有95000个应用因为违反了App Store的政策而被删除，因为它们在通过App Store的审核后发生了根本性的改变，通常是从事不法行为。


https://www.securityweek.com/app ... ions-app-store-2020

---

5 搜索引擎广告被用于诱导受害者访问钓鱼网站

美国联邦调查局(FBI)表示，网络犯罪团伙正在模仿了一家未命名的美国金融机构的品牌，利用搜索结果和搜索引擎广告来诱骗金融机构钓鱼网站的受害者，以收集他们的登录信息。这些骗局导致自动清算中心(ACH)非法转账，造成了数十万美元的经济损失。该网络钓鱼活动有两个方案，在第一个方案中，攻击者使用搜索引擎广告，而在第二个方案中，他们依赖于出现在搜索结果中的钓鱼网站。在这两个版本的方案中，钓鱼网站都提示客户输入帐户凭据和电话号码，并回答安全问题。


https://therecord.media/fbi-warn ... ote-phishing-sites/

---

6 Trust Wallet和MetaMask用户遭受网络钓鱼攻击

Trust Wallet和MetaMask钱包用户正受到持续不断的Twitter网络钓鱼攻击，攻击者目的是窃取用户的加密货币资金。MetaMask和Trust Wallet是移动应用程序，可让用户创建用于存储、购买、发送和接收加密货币和非同质化代币（NFT）。当MetaMask或Trust Wallet用户在twitter上发布他们的钱包出现的问题时，骗子在这些推特上回复，假装是应用程序的支持团队或解决过相同问题的用户，并建议用户访问伪装成Trust Wallet或MetaMask的支持表格的钓鱼链接。


https://www.bleepingcomputer.com ... y-new-support-scam/

---