免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安天发布关于利用垃圾邮件传播木马的攻击活动分析
近日,哈工大安天联合CERT实验室监测到多起利用垃圾邮件传播恶意木马的攻击活动。攻击者通过发送以“订单”、“发票”、“单据”等为主题的邮件,结合邮件正文诱导用户点击钓鱼链接,从而下载执行恶意文件。钓鱼链接是攻击者将以“订单.rar”、“电子发票.rar”等名称命名的诱饵压缩包文件上传至文件共享平台生成的分享链接,这种方式可以实现降低自身运营成本、规避溯源、白名单绕过的效果。综合样本分析及溯源结果,结合攻击者使用技术和恶意意图,研究人员认为用户一旦执行本次攻击活动中垃圾邮件传播的恶意木马,用户终端将面临远程控制风险和数据泄露风险。
https://mp.weixin.qq.com/s/TjyaYHkchcZv7_2QfR_okw
2 恶意Npm包使用误植域名技术下载恶意软件
ReversingLabs的安全研究人员在开源JavaScript npm存储库中发现了一个名为“aabquerys”的包,它使用误植域名技术来支持恶意组件的下载。研究人员表示,恶意包由两个文件组成,其中一个通过JavaScript混淆器进行了混淆处理。当在PC上打开恶意该文件时,会显示一条虚假的网络浏览器崩溃消息和一个链接,该链接会导致下载已在多个恶意软件活动中使用的第二阶段恶意软件。然后又侧加载了一个动态链接库(DLL)文件,该文件下载了第三阶段的恶意组件。该文件被称为“Demon.bin”,是一个具有各种远程访问木马(RAT)功能的恶意代理。
https://www.infosecurity-magazin ... s-npm-package-uses/
3 恶意PyPi包中存在W4SP Stealer恶意软件
2023年1月27日至1月29日期间,一名威胁行为者向PyPi上传了五个包含“W4SP Stealer”信息窃取软件的恶意软件包。这些软件包现在已经被删除。Fortinet的安全研究人员发现了这些软件包,并发现当它们被安装后,它们会试图窃取保存在浏览器、cookie和加密货币钱包中的密码。BleepingComputer将该恶意软件识别为W4SP Stealer。在收集到在受感染机器上找到的所有数据后,恶意软件使用其“上传”功能,使用Discord webhook上传被盗数据,并将其发布到威胁行为者的服务器。
https://www.bleepingcomputer.com ... ious-pypi-packages/
Devs targeted by W4SP Stealer malware in malicious PyPi packages.pdf
(3.54 MB, 下载次数: 4)
4 以色列理工学院遭DarkBit勒索软件团伙攻击
以色列理工学院(Technion -Israel Institute of Technology)2023年2月12日周日遭到黑客入侵,一个自称DarkBit的威胁行为者声称对周日入侵该研究所的勒索软件攻击负责。DarkBit组织要求80比特币用于解密,但专家指出,黑客团队似乎是出于政治动机,即使满足了要求,他们也不太可能提供解密密钥。Darkbit威胁称,如果Technion拒绝在48小时内支付所要求的金额,他们将提高30%的赎金。
https://securityaffairs.com/1421 ... somware-attack.html
5 伊朗国家电视台在纪念演讲期间遭到黑客攻击
2023年2月11日,伊朗总统Ebrahim Raisi在德黑兰的阿扎迪广场发表演讲,当时有大量人群聚集在广场庆祝伊朗建国44周年。Edalat-e Ali黑客组织扰乱了伊朗国家电视台的广播,转而播放“Death to Khamenei” 的口号,并敦促人们从政府银行提款。此外,黑客组织还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。驻德国的伊朗记者Bamdad Esmaili也在他的推特账户上证实了这次网络攻击。Edalat-e Ali组织通过其Telegram频道宣布了这次黑客攻击。
https://www.hackread.com/iran-tv-hacked-revolution-day/
6 Namecheap公司的电子邮件账户遭黑客入侵
域名注册商Namecheap的电子邮件帐户在周日晚上遭到破坏,导致大量MetaMask和DHL网络钓鱼电子邮件泛滥,试图窃取收件人的个人信息和加密货币钱包。网络钓鱼活动始于美国东部时间下午4:30左右,起源于Namecheap过去用来发送续订通知和营销电子邮件的电子邮件平台SendGrid。此活动中发送的网络钓鱼邮件冒充DHL或MetaMask。DHL钓鱼邮件伪装成完成包裹递送所需的递送费账单。MetaMask钓鱼邮件冒充是必需的KYC(了解你的客户)验证,以防止钱包被暂停。Namecheap周日晚上发表声明称,他们的系统并未遭到破坏,而是他们用于电子邮件的上游系统存在问题。
https://www.bleepingcomputer.com ... hl-phishing-emails/
NameCheap's email hacked to send Metamask, DHL phishing emails.pdf
(3.07 MB, 下载次数: 5)
|
发表于 2023-2-13 18:35