每日安全简讯(20240303)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型网络钓鱼工具包利用短信和语音电话攻击加密货币用户

近日，研究人员发现了一种新型的网络钓鱼工具包，该工具包可以仿造知名加密货币服务的登录页面，如Coinbase、Binance、Kraken等，然后通过短信和语音电话来诱骗目标用户输入他们的用户名、密码和二次验证码。该工具包还可以根据目标用户的地理位置，自动选择合适的语言和货币。研究人员表示，该工具包的目的是窃取加密货币用户的账户凭证和资金，以及收集他们的个人信息，如姓名、地址、电话号码等。该工具包的特点是利用多种通信渠道来增加诱骗的成功率，例如，发送带有恶意链接的短信，或者拨打自动语音电话，要求用户点击链接或输入验证码。

https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit

---

2 研究人员发现PDF文件中的恶意代码激增

研究人员发现了PDF文件中的恶意代码的显著增长，这些PDF文件通常通过电子邮件附件的形式传播，隐藏在各种主题下，如发票、紧急通知、诱导性的按钮等，诱骗用户打开或点击。这些PDF文件利用了PDF文件的复杂结构和JavaScript功能，可以直接或间接地执行嵌入的恶意脚本，从而启动PowerShell，注入进程，或者跳转到恶意网站，下载恶意载荷。研究人员表示，这些PDF文件中的恶意代码可以传播多种恶意软件，如Agent Tesla、Formbook、NanoCore、Remcos等，这些恶意软件的目的是窃取用户的账户凭证、资金、个人信息等。这些PDF文件中的恶意代码的特点是利用了多种技术来逃避检测和分析，如加密、混淆、反调试、反沙箱、hCaptcha等。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-in-deceptive-pdf-the-gateway-to-malicious-payloads/

---

3 美国司法部起诉伊朗国民发动网络攻击

近日，美国司法部公开了一份起诉书，指控一名伊朗人阿里雷扎·沙菲·纳萨布及其同伙，从2016年至2021年期间，利用网络钓鱼和其他黑客技术，入侵了超过20万个受害者的设备，其中包括许多含有敏感或机密国防信息的设备。美国司法部还宣布，对能提供沙菲·纳萨布的身份或位置信息的人，将给予1000万美元的悬赏。据起诉书显示，沙菲·纳萨布和他的同伙以一家名为Mahak Rayan Afraz的网络安全公司为掩押，实际上是一个犯罪团伙。他们主要针对美国有资格与国防部合作的承包商，以及纽约的一家会计公司和一家酒店公司，还试图渗透美国国务院、财政部和一个未具名的外国国家的政府机构。他们的目的是窃取受害者的账户凭证和资金，以及收集他们的个人信息，如姓名、地址、电话号码等。

https://www.justice.gov/opa/pr/iranian-national-charged-multi-year-hacking-campaign-targeting-us-defense-contractors-and

---

4 德国警方查封最大的德语网络犯罪市场

近日，德国杜塞尔多夫警方宣布，一场大规模的国际执法行动成功查封了最大的德语网络犯罪市场Crimemarket，并逮捕了其中一名运营者。该网络犯罪市场已经存在了超过15年，提供了各种网络犯罪服务，如销售恶意软件、黑客工具、盗取的数据、假身份证、假钞等。据报道，Crimemarket拥有超过50万名注册用户，其中包括许多知名的网络犯罪分子，如Emotet、Trickbot、Ryuk等恶意软件的运营者。该网络犯罪市场的特点是采用了多层加密和匿名技术，如Tor、VPN、PGP等，以逃避执法部门的追踪和调查。德国警方表示，他们在今年1月份开始对Crimemarket进行渗透和监控，收集了大量的证据和情报，最终在2月份成功定位了该网络犯罪市场的服务器，并将其查封。同时，他们还在德国、瑞士、荷兰和法国等国家展开了多起搜查和逮捕行动，其中在德国北莱茵-威斯特法伦州的一座公寓内，逮捕了一名29岁的男子，被认为是Crimemarket的主要运营者之一。

https://securityaffairs.com/159813/cyber-crime/germany-police-seized-crimemarket.html

---

5 俄罗斯政府打击VPN服务进一步限制互联网自由

近日，俄罗斯政府宣布，从2024年3月1日起，将对VPN服务进行更严格的监管，要求VPN服务商遵守俄罗斯的网络审查规则，否则将被封锁。这意味着，俄罗斯的用户将无法通过VPN服务访问被俄罗斯政府禁止的网站，如Telegram、LinkedIn、Wikipedia等。据报道，俄罗斯政府的目的是加强对互联网的控制，防止用户接触到反对派、人权组织、外国媒体等的信息。俄罗斯政府还声称，VPN服务是网络犯罪和恐怖主义的工具，威胁到国家安全和社会稳定。俄罗斯政府的这一举措遭到了国内外的广泛批评，认为这是对互联网自由和言论自由的侵犯，将使俄罗斯的网络环境更加封闭和孤立。

https://www.hackread.com/russia-vpns-clamps-down-restrict-internet-access/

---

6 ALPHV勒索团伙攻击Change Healthcare影响全美医疗服务

近日，美国最大的医疗支付处理商Change Healthcare遭到了一场严重的网络攻击，该攻击由ALPHV网络勒索团伙发动，该团伙也被称为BlackCat，曾经攻击过拉斯维加斯的赌场等目标。该攻击导致Change Healthcare的网站下线，影响了其为7万多家药店和医疗机构提供的支付处理和其他数据相关服务。据报道，ALPHV网络勒索团伙在其网站上声称，他们在攻击中窃取了6TB的敏感数据，包括患者的医疗记录等。Change Healthcare在2月21日发现了攻击，并迅速评估了其网络中断的原因，同时与联邦调查局和网络安全公司合作应对事件。

https://cyberscoop.com/alphv-website-ransomware-attack-change-healthcare/

---