每日安全简讯(20240825)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型macOS恶意软件"Cthulhu Stealer"窃取用户数据

研究人员发现了一种新型macOS恶意软件“Cthulhu Stealer”，该软件旨在窃取Apple用户的各种信息。此恶意软件自2023年底以恶意软件即服务（MaaS）模式，每月500美元的价格出售，能够针对x86_64和Arm架构。Cthulhu Stealer伪装成合法软件，如CleanMyMac和Adobe GenP，诱骗用户绕过Gatekeeper保护并输入系统密码，随后窃取系统信息、iCloud钥匙串密码、浏览器Cookies和Telegram账户信息等数据。尽管其技术并不复杂，但用户应避免从不可信来源下载软件，并保持系统的最新更新。

https://www.cadosecurity.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

---

2 新型NGate安卓恶意软件利用NFC芯片窃取信用卡数据

一种名为NGate的新型安卓恶意软件被发现能够通过设备的近场通信（NFC）芯片窃取支付卡数据，从而使攻击者能够进行未授权支付或从ATM提取现金。该恶意软件自2023年11月起开始活动，最初通过伪装成银行紧急安全更新的PWA和WebAPK应用诱导受害者下载安装。NGate利用开源工具NFCGate捕获并中继NFC支付卡的数据，使攻击者能够将受害者的卡模拟为虚拟卡进行支付或提现。受害者在输入卡片PIN码时，该敏感信息也会被恶意软件收集。为了防止这种攻击，用户应禁用设备的NFC功能，或谨慎管理应用权限，仅从官方渠道安装银行应用程序。

https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-ngate-android-malware-which-relays-nfc-traffic-to-steal-victims-cash-from-atms-1/

---

3 数百家在线商店遭黑客攻击致信用卡信息被窃

近日，研究人员发现一场针对使用Magento平台的在线商店的恶意软件活动，这些商店被植入了数字窃取器代码，导致用户在结账时输入的信用卡信息（包括卡号、到期日期和CVV/CVC）被实时窃取。攻击者利用相同的漏洞在多家商店注入了一行看似无害的脚本，加载远程恶意代码，并在结账页面插入虚假的支付方式框架，优先获取用户的支付信息。

https://www.malwarebytes.com/blog/news/2024/08/hundreds-of-online-stores-hacked-in-new-campaign

---

4 AWS应用负载均衡器暴露配置漏洞或威胁15000个应用

近日，研究人员发现，使用Amazon Web Services (AWS) 应用负载均衡器（ALB）进行身份验证的多达15000个应用程序，存在一个名为“ALBeast”的漏洞，可能导致访问控制绕过和应用程序安全被破坏。该漏洞允许攻击者通过创建自己的ALB实例并伪造ALB签名的令牌，冒充受害者身份绕过认证和授权，进而访问目标应用程序。此漏洞特别影响暴露在互联网的应用程序。研究人员在2024年4月获悉此问题后，更新了身份验证功能文档，并增加了验证签名者的新代码。建议开发者确保在基于JWT声明进行授权之前，验证签名者字段，同时限制目标仅接收来自应用负载均衡器的流量，以增强安全性。

https://www.miggo.io/resources/albeast-security-advisory-alb-vulnerability

---

5 WordPress LiteSpeed Cache插件暴露严重漏洞可获取管理员权限

研究人员发现，WordPress的LiteSpeed Cache插件存在一个严重的安全漏洞（CVE-2024-28000），可能使未认证用户获得管理员权限。该漏洞评分为9.8（CVSS），影响插件6.3.0.1及之前的所有版本。攻击者可利用插件中的一个弱安全哈希，通过模拟用户ID的方式，伪装成管理员，从而完全控制受影响的WordPress站点，并安装恶意插件。该漏洞已在2024年8月13日发布的6.4版本中得到修复。Wordfence提醒用户尽快更新插件，以防止潜在的攻击。此漏洞未对基于Windows的WordPress安装产生影响。

https://patchstack.com/articles/critical-privilege-escalation-in-litespeed-cache-plugin-affecting-5-million-sites

---

6 哈里伯顿在遭受网络攻击后关闭系统

2024年8月23日，石油钻探和压裂巨头哈里伯顿在本周早些时候遭受网络攻击后，关闭了部分内部系统。公司在向政府监管机构提交的简短声明中表示，发现系统遭到未经授权的访问，并“主动将某些系统下线”，以防止入侵者进一步访问或扩展至其他系统。哈里伯顿目前正在评估此次事件的影响。尽管事件暂未影响能源服务，美国能源部（DOE）正与相关机构协调应对。Halliburton拒绝透露更多事件细节或是否收到入侵者的任何通信。

https://www.sec.gov/Archives/edgar/data/45012/000004501224000049/hal-20240821.htm

---