每日安全简讯(20240401)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客通过恶意广告传播针对macOS用户的恶意软件

近日，研究人员的报告揭露了一起针对macOS用户的攻击活动。攻击者利用恶意广告和假冒网站传播两种不同的窃取恶意软件——Atomic Stealer和Realst。这些攻击主要针对在搜索引擎上搜索Arc Browser的用户，通过虚假广告引导他们访问恶意网站。Atomic Stealer通过虚假提示获取用户系统密码，从而窃取信息。此外，名为meethub[.]gg的假冒网站也用于传播窃取恶意软件，该软件能够收集用户的钥匙串数据、浏览器凭据和加密货币钱包信息。这些攻击通常集中在加密货币行业，利用工作机会和采访播客为借口接近受害者。研究人员还发现，恶意DMG文件被用来部署窃取恶意软件，该软件旨在从各种应用程序中提取凭据和数据。这些进展表明，macOS环境正面临着日益增加的窃取恶意软件威胁，某些恶意软件甚至具备复杂的反虚拟化技术以逃避检测。

https://www.jamf.com/blog/infostealers-pose-threat-to-macos/

---

2 Vultur银行恶意软件伪装安全应用并增加远程控制功能

研究人员揭示了Android版Vultur银行恶意软件的新版本，该版本具有更先进的远程控制功能和改进的规避机制。该恶意软件最初由ThreatFabric于2021年3月记录，并于2022年底通过Google Play上的应用程序传播。Vultur被Zimperium列为2023年度十大最活跃银行木马之一，针对多个国家的银行应用程序。最新的Vultur感染链通过短信钓鱼和电话进行，诱骗受害者安装伪装成McAfee Security的恶意软件。该软件包含“Brunhilda”恶意软件植入程序，解密并执行与Vultur相关的有效负载，获取对辅助功能服务的访问权限，并与命令和控制服务器建立连接。新版本的Vultur保留了旧版本的关键功能，并增加了新功能，如文件管理操作、使用辅助服务执行手势、阻止特定应用程序执行、显示自定义通知以及禁用键盘锁。此外，它还添加了新的规避机制，如加密其C2通信、使用多个加密负载，并伪装成合法应用程序。研究人员指出，Vultur的开发者专注于改进远程控制功能，表明未来版本可能会添加更多功能。为降低Android设备感染风险，建议用户仅从信誉良好的存储库下载应用程序，并谨慎处理消息中的URL。在安装应用程序时，检查权限请求并仅同意核心功能所需的权限。

https://blog.fox-it.com/2024/03/28/android-malware-vultur-expands-its-wingspan/

---

3 Google Play上的免费VPN应用将Android手机变成代理服务器

研究人员揭露了Google Play上的28个应用程序，这些应用程序秘密地将Android设备变成代理服务器，其中17个伪装成免费VPN软件。这些应用使用LumiApps的软件开发工具包(SDK)，内含Proxylib库，用于执行代理功能。这些应用程序可能被用于网络犯罪和购物机器人等恶意活动。尽管住宅代理有合法用途，但它们常被用于隐藏恶意活动，如广告欺诈、垃圾邮件、网络钓鱼等。Google已于2024年2月从Play商店中删除了使用LumiApps SDK的所有新应用程序和剩余应用程序，并更新了Google Play Protect以检测该库。用户被建议删除这些应用程序或更新到不使用有问题的SDK的版本，以停止代理活动。同时，使用付费VPN而非免费服务可能更安全。

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes

---

4 AT&T确认7300万客户数据泄露

AT&T确认了一起影响约7300万现有和前任客户的数据泄露事件。尽管公司之前否认了数据泄露，但最终确认泄露的数据集似乎来自2019年或更早，影响了大约760万当前账户持有者和大约6540万前账户持有者。泄露的数据包括姓名、地址、电话号码，部分客户的社会安全号码和出生日期也被泄露。这些数据最初在2021年由一个名为Shiny Hunters的威胁者声称出售。现在，另一个威胁行为者在黑客论坛上泄露了相同的数据集。AT&T表示，760万客户的安全密码也被泄露，并已由公司重置。公司正在联系所有受影响的客户，并重置他们的密码，同时将就个人信息泄露与当前和前任账户持有人沟通。AT&T还强调，泄露的数据不包含个人财务信息或通话记录，并将向所有受影响的客户提供后续指导和支持。

https://www.att.com/support/article/my-account/000101995?bypasscache=1

---

5 以色列LGBTQ应用Atraf遭遇数据泄露70万用户受影响

以色列流行的LGBTQ约会应用程序Atraf遭受重大数据泄露，影响超过669672名用户。泄露的数据包括全名、昵称、地址、电话号码、IP地址、生日、兴趣、性别、性取向、电子邮件地址、明文密码、位置坐标、智能手机类型和操作系统、直接消息对话、家庭详细信息，以及支付卡数据(不包括卡号，但包括CVV代码、到期日期和卡类型)。此次泄露的数据可追溯到2021年，与之前由伊朗组织“黑影”在2021年11月提出的赎金要求相一致。此次数据泄露对受影响用户的隐私和人身安全构成了重大威胁，可能导致在线骚扰和电子邮件账户被黑客入侵。Atraf用户被建议立即更改其电子邮件和Atraf账户的密码，并谨慎处理任何声称来自Atraf的电子邮件。

https://www.hackread.com/hacker-leak-atraf-database-700k-users/

---

6 动视建议启用2FA保护受恶意软件窃取影响的账户

动视暴雪建议用户启用双因素身份验证(2FA)来保护其账户，此前有报告称大量游戏玩家的账户信息在恶意软件活动中被窃取。这些账户信息主要涉及使用作弊或付费作弊服务的玩家。数据库中包含数百万游戏玩家的凭据，尤其是《使命召唤》和《反恐精英》玩家。虽然动视暴雪的服务器未受损害，但为了防止潜在的风险，公司推荐用户更改密码并启用2FA。此外，动视暴雪正在与作弊软件开发者协调，以限制此次活动的影响，并向受影响的账户持有者提供安全指导。尽管数据库中的登录数量表明对游戏社区产生了重大影响，但尚不清楚有多少账户是有效的或重复的。

https://www.bleepingcomputer.com/news/security/activision-enable-2fa-to-secure-accounts-recently-stolen-by-malware/

---