每日安全简讯(20231225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型网络钓鱼攻击窃取用户Instagram备份代码以绕过2FA

一个新的网络钓鱼活动冒充“侵犯版权”电子邮件，试图窃取 Instagram 用户的备份代码，从而使黑客能够绕过帐户上配置的双因素身份验证。双因素身份验证是一项安全功能，要求用户在登录帐户时输入额外的验证形式。这种验证通常采用通过短信发送的一次性密码、来自身份验证应用程序的代码或通过硬件安全密钥发送的形式。如果用户凭据被盗或从网络犯罪市场购买，使用 2FA 有助于保护您的帐户，因为威胁行为者需要访问您的移动设备或电子邮件才能登录您受保护的帐户。在 Instagram 上配置双因素身份验证时，该网站还将提供八位数的备份代码，如果您无法使用 2FA 验证您的帐户，可使用这些代码重新获得对帐户的访问权限。发生这种情况的原因有多种，例如更换手机号码、丢失手机以及无法访问电子邮件帐户。然而，备份代码存在一些风险，就好像威胁行为者可以窃取这些代码一样，他们只需知道目标的凭据即可使用无法识别的设备劫持 Instagram 帐户，这些凭据可以通过网络钓鱼窃取或在不相关的数据泄露中发现。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/instagram-phishing-targets-backup-codes/

---

2 攻击者利用伪造的F5 BIG-IP零日警告电子邮件部署数据擦除器

以色列国家网络管理局警告称，假冒 F5 BIG-IP 零日安全更新的网络钓鱼电子邮件会部署 Windows 和 Linux 数据擦除器。以色列国家网络管理局 (INCD) 充当 CERT，负责保护国家免受网络威胁，并向组织和公民发出已知攻击的警告。自十月以来，以色列一直是亲巴勒斯坦和伊朗黑客活动分子的重点攻击目标，他们一直在对该国的组织进行数据盗窃和数据擦除攻击。11 月，研究人员发现了一种名为 BiBi Wiper 的新数据擦除器， 它同时针对 Linux 和 Windows 设备，据信是由亲哈马斯的黑客活动分子创建的。

https://www.gov.il/he/Departments/publications/reports/alert_1687

---

3 加密货币诈骗者滥用Twitter功能来冒充知名账户

加密货币诈骗者正在滥用合法的 Twitter“功能”来宣传诈骗、虚假赠品以及用于窃取您的加密货币和 NFT 的欺诈性 Telegram 频道。在 X（以前更广泛地称为 Twitter）上，帖子的 URL 由发推者的帐户名和状态 ID 组成。网站使用状态 ID 来确定应从网站数据库加载哪些帖子，而不去检查帐户名是否有效。这允许您获取推文的 URL 并将帐户名称修改为您想要的任何名称，甚至是高调的帐户。访问 URL 时，网站只会将您重定向到与 ID 关联的正确 URL。诈骗者在过去两周（甚至更长时间）已经开始 使用 这种重定向机制 来创建看似属于合法、知名组织的 URL。所有冒充组织都是与加密货币相关的帐户，例如 Binance（1100 万粉丝）、以太坊基金会（300 万）、zkSync（130 万）和 Chainlink（100 万）。

https://twitter.com/XrplServices/status/1736432471166660814

---

4 安卓恶意软件Chameleon禁用指纹解锁以窃取PIN

Chameleon Android 银行木马以新版本重新出现，该版本使用一种棘手的技术来接管设备——禁用指纹和面部解锁来窃取设备 PIN。它通过使用 HTML 页面技巧来获取对辅助功能服务的访问权限，并使用一种破坏生物识别操作以窃取 PIN 并随意解锁设备的方法来实现此目的。今年 4 月发现的 Chameleon  早期版本冒充澳大利亚政府机构、银行和 CoinSpot 加密货币交易所，在受感染的设备上执行键盘记录、覆盖注入、cookie 盗窃和短信盗窃。

https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action

---

5 Inhospitality恶意垃圾邮件活动针对酒店业发起攻击

一项针对全球酒店的密码窃取恶意软件活动正在利用有关服务问题或信息请求的电子邮件投诉作为社会工程诱饵，以获取活动目标的信任，然后再向其发送链接恶意负载。攻击者最初通过电子邮件联系目标，该电子邮件只包含文本，但主题是服务面向企业（如酒店）会希望快速响应。只有在目标回复威胁行为者的初始电子邮件后，威胁行为者才会发送后续消息，链接到他们声称的有关其请求或投诉的详细信息。社会工程角度涵盖了各种各样的主题，但可以分为两大类：对发送者声称在最近住宿中遇到的严重问题的投诉，或请求提供信息以帮助将来可能的预订。

https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/

---

6 医疗软件提供商ESO Solutions遭遇数据泄露影响270万人

ESO Solutions 是一家为医疗机构和消防部门提供软件产品的提供商，该公司透露，由于勒索软件攻击，属于 270 万患者的数据已被泄露。根据通知，此次入侵发生在 9 月 28 日，在黑客对多个公司系统进行加密之前，导致数据被泄露。在事件调查过程中，ESO Solutions 发现攻击者访问了一台包含敏感个人数据的计算机。10 月 23 日，该公司确定勒索软件攻击造成的数据泄露影响了与其客户相关的患者，包括美国的医院和诊所。暴露的数据类型包括以下内容：全名、出生日期、电话号码、患者账号/病历号码、受伤类型和日期、诊断信息、治疗类型和日期、手续信息、社会安全号码 (SSN)。

https://www.tmh.org/news/2023/disclosure-regarding-eso-inc-breach-and-patient-information

---