每日安全简讯(20240212）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意软件XPhase Clipper通过欺骗性加密网站和克隆YouTube视频扩散

研究人员发现了针对加密货币用户的活跃恶意软件活动。 在这次活动中，威胁行为者 (TA) 利用欺骗性网站冒充合法的加密货币应用程序，包括 Metamask、Wazirx、Lunoapp 和 Cryptonotify。 所有这些恶意网站都在分发相同的 Clipper 有效负载（CRIL 称之为“XPhase Clipper”），旨在拦截和修改用户复制的加密货币钱包地址。 恶意软件感染会经历多个阶段：包含恶意可执行植入程序、VB 脚本和批处理脚本文件的 zip 文件，然后以 DLL 文件的形式执行 Clipper 有效负载。 研究人员揭示了其作案手法和恶意软件的感染链。

https://cyble.com/blog/doppelganger-dilemma-new-xphase-clippers-proliferation-via-deceptive-crypto-sites-and-cloned-youtube-videos/

---

2  Apple App Store中发现假冒LastPass密码管理器

LastPass 警告称，其应用程序的假冒副本正在 Apple App Store 上传播，很可能被用作网络钓鱼应用程序来窃取用户的凭据。假冒应用程序使用与正版应用程序相似的名称、相似的图标以及红色主题界面，使其看起来接近该品牌的真实设计。然而，该假冒应用程序的名称是“LassPass”，而不是“LastPass”，并且其发行商是“Parvati Patel”。由于 LastPass 用于存储非常敏感的信息，例如身份验证秘密和凭据（用户名/电子邮件和密码），因此该应用程序很可能被创建为充当网络钓鱼应用程序并窃取凭据。

https://blog.lastpass.com/2024/02/warning-fraudulent-app-impersonating-lastpass-currently-available-in-apple-app-store/

---

3 超过800个虚假Temu域名欺骗购物者进行凭证盗窃

研究人员指出，Temu 是诈骗者最新选择的网络钓鱼品牌。 黑客正在利用Temu 的赠品奖励来诱使用户泄露其凭据，过去三个月内有超过 800 个新域名注册为“Temu”。Temu 是一家国际电子商务商店，40% 的用户群在美国。它提供直接运送给消费者的折扣商品。研究人员识别出的网络钓鱼电子邮件样本声称来自 Temu Rewards。然而，如果你仔细观察，就会发现它是由一个不相关的电子邮件地址发送的——onmicrosoft.com。该电子邮件包含一张空白图像和一个指向凭据收集页面的链接。

https://www.hackread.com/phony-temu-domains-shoppers-credential-theft/?web_view=true

---

4 AnyDesk分享了有关最近黑客攻击的更多信息

AnyDesk 分享了有关最近黑客攻击的更多信息，包括威胁行为者首次入侵其系统的时间以及该事件的影响。此次入侵是在 1 月中旬发现的，取证调查显示，黑客于 2023 年 12 月下旬首次入侵了其系统。 黑客破坏了生产系统，但没有迹象表明他们已获得客户凭据，也没有迹象表明该事件导致 AnyDesk 软件的恶意版本被分发。AnyDesk 澄清称，这不是勒索软件攻击，也没有勒索企图。 它还强调，最近有关在暗网上出售用户凭据的报告与该事件无关，因为这些凭据是通过信息窃取恶意软件直接从客户系统窃取的。现在启动的强制密码重置程序还应该解决系统感染信息窃取者的客户的风险。

https://www.securityweek.com/anydesk-shares-more-information-on-recent-hack/

---

5 “世界上最大的赌场”应用程序暴露了客户的个人数据

总部位于俄克拉荷马州的 WinStar 自称是“世界上面积最大的赌场”。赌场和酒店度假村还提供My WinStar应用程序，客人可以在酒店住宿期间访问自助服务选项、奖励积分和忠诚度福利以及赌场奖金。该应用程序由内华达州一家名为 Dexiga 的软件初创公司开发。该初创公司在互联网上留下了一个没有密码的日志数据库，允许任何知道其公共 IP 地址的人仅使用其网络浏览器访问存储在其中的 WinStar 客户数据。在研究人员向该公司发出安全漏洞警报后，Dexiga 已经将数据库下线。

https://techcrunch.com/2024/02/09/winstar-hotel-casino-app-exposed-customer-personal-data/?&web_view=true

---

6 谷歌在新加坡试点阻止安装潜在危险的Android应用程序

谷歌在新加坡推出了一项新的试点计划，旨在防止用户下载某些滥用 Android 应用程序权限来读取一次性密码和收集敏感数据的应用程序。“当用户尝试从互联网旁加载源（网络浏览器、消息应用程序或文件管理器）安装应用程序时，这种增强的欺诈保护将分析并自动阻止可能使用敏感运行时权限的应用程序的安装，这些权限经常被滥用用于金融欺诈， ”谷歌公司表示。这一变化是打击移动欺诈合作努力的一部分，敦促应用程序开发人员遵循最佳实践并审查其应用程序的设备权限，以确保其不违反移动垃圾软件原则。

https://thehackernews.com/2024/02/google-starts-blocking-sideloading-of.html

---