每日安全简讯(20240826)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型PEAKLIGHT木马伪装电影下载文件攻击Windows系统

研究人员发现了一种全新的PEAKLIGHT木马投放器，这种投放器通过伪装成电影下载的LNK文件对Windows系统进行攻击。用户在搜索电影时，可能无意中下载了包含在ZIP压缩包内的LNK文件。该文件会连接到内容分发网络（CDN），从而下载并执行一个仅存在于内存中的JavaScript木马投放器，该投放器接着运行PEAKLIGHT PowerShell下载器脚本。这个脚本会联系远程的命令与控制（C2）服务器，以下载后续的恶意软件，包括Lumma Stealer、Hijack Loader和CryptBot等。这些恶意软件通过恶意广告、伪造网站等手段进行传播，并可能最终导致远程访问木马（RAT）等恶意程序的部署。

https://cloud.google.com/blog/topics/threat-intelligence/peaklight-decoding-stealthy-memory-only-malware/

---

2 新型Cheana Stealer通过伪装VPN钓鱼网站攻击多平台用户

研究人员发现了一种新的Cheana Stealer恶意软件，该软件通过伪装成VPN服务的钓鱼网站传播，专门针对下载Windows、Linux和macOS平台VPN应用程序的用户。该攻击者为每个操作系统创建了不同的恶意程序，分别针对加密货币浏览器扩展、独立的加密钱包、浏览器密码、登录数据、Cookies、SSH密钥、macOS密码和Keychain。攻击者利用假冒的VPN服务来建立用户信任，然后分发恶意软件。该钓鱼网站的域名最近一次变更发生在2024年8月21日，并与一个活跃的Telegram频道有关，该频道自2018年存在以来经历了运营者更换。此类伪装和社会工程手段增加了攻击成功的可能性。

https://cyble.com/blog/new-cheana-stealer-targets-vpn-user/

---

3 Qilin勒索软件利用VPN凭证窃取Chrome数据

最近发现的Qilin勒索软件攻击通过盗取Google Chrome浏览器中的凭证来增强其威胁。根据研究人员的报告，攻击者于2024年7月通过一个未启用多因素认证（MFA）的VPN门户进入目标网络，并在初次访问后18天内执行了攻击。攻击者编辑了域控制器的默认域策略，创建了一个包含两个脚本的组策略对象（GPO）：一个PowerShell脚本（“IPScanner.ps1”）用于窃取Chrome浏览器中的凭证数据，另一个批处理脚本（“logon.bat”）则用于执行前者。攻击者在网络上维持了这项GPO超过三天，期间用户每次登录时都会触发凭证窃取。随后，攻击者将窃取的凭证外泄并清除痕迹，然后加密文件并在系统的每个目录中放置赎金通知。

https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/

---

4 Meta揭露伊朗黑客组织通过WhatsApp针对全球政治人物

Meta Platforms于2024年8月24日公开了一个伊朗国家支持的威胁组织的活动，该组织利用WhatsApp账户试图攻击以色列、巴勒斯坦、伊朗、英国和美国的政治人物。Meta称这是一组被称为APT42（或Charming Kitten、Damselfly等）的黑客，隶属于伊朗伊斯兰革命卫队（IRGC）。这些攻击者伪装成AOL、Google、Yahoo和Microsoft的技术支持，进行社会工程学诱骗，但这些努力未成功。Meta表示，虽然这些账户已被封锁，但没有证据显示账户被实际入侵。Meta还建议受影响用户采取措施保护他们的在线账户。此事件发生之际，美国政府正式指责伊朗试图破坏美国选举、激化公众分歧，并削弱选举过程的信任。

https://about.fb.com/news/2024/08/taking-action-against-malicious-accounts-in-iran/

---

5 假冒葬礼“直播”骗局在Facebook上侵害哀悼者

研究人员于2024年8月23日警告称，近期在Facebook上出现了针对哀悼者的假冒葬礼“直播”骗局。诈骗者利用盗取的图片和虚假的直播链接，试图窃取用户的金钱和信用卡信息。诈骗分子通过在葬礼通知下的评论中推广虚假的直播链接或请求捐款来进行诈骗。这些链接引导受害者到钓鱼网站，要求提供信用卡信息以激活“会员资格”。一旦受害者提供了信用卡信息，他们会被自动订阅高额的重复收费计划。诈骗者通常迅速回应发布的悼念信息，利用死者的照片和个人信息伪造可信的虚假帖子。这种骗局不仅令人愤怒，还可能给受害者带来严重的财务损失。

https://www.malwarebytes.com/blog/news/2024/08/fake-funeral-live-stream-scams-target-grieving-users-on-facebook

---

6 Microsoft Edge中发现高危CVE-2024-38178漏洞

2024年8月23日，研究人员发现了Microsoft Edge浏览器中的一个高危漏洞，标记为CVE-2024-38178。该漏洞影响Edge的Internet Explorer模式，CVSS v3评分为7.5，属于高威胁级别。CVE-2024-38178存在于Web内容处理机制中，允许攻击者通过恶意网页内容实现远程代码执行，可能导致服务器的未经授权控制、数据泄露和服务器操作中断。攻击者无需直接访问服务器，只需诱使用户点击恶意链接或与受损网页内容交互即可触发漏洞。为了应对这一风险，建议用户应用2024年8月的Microsoft补丁更新，修复漏洞，并考虑禁用或限制Internet Explorer模式，以降低被利用的风险。同时，保持系统和应用程序的最新安全更新，实施监控措施，以及时响应潜在的安全威胁。

https://truefort.com/cve-2024-38178/

---