设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190217)
返回列表 发新帖

每日安全简讯(20190217)

[复制链接]
发表于 2019-2-16 17:25 | 显示全部楼层 |阅读模式
1 Emotet变种使用恶意宏传播以逃避检测

研究人员观察到Emotet木马变种,使用受感染文档的嵌入式宏来传播以逃避检测。攻击活动中初始文档,80%为伪装成Word文档的XML文件,数据使用Base64编码,包含压缩和混淆的VBA宏代码;其余20%是带有嵌入式恶意宏的标准Word文档。嵌入的VBA宏被插入dead code,调用带有vbHide参数集的shell函数,使用set命令和Invoke-DOSfucation技术生成多个级别的cmd进程,将命令行参数/V和/C传递给cmd并添加另一个执行级别,最终调用PowerShell,Powershell使用Net.WebClient类方法DownloadFile将有效载荷下载到TEMP目录, PowerShell在循环中连接尝试url列表(可能为C2),最终调用Invoke-Item来执行Emotet木马。
 flow.png

https://www.menlosecurity.com/bl ... -a-spike-in-attacks

2 Wizard Spider和Lunar Spider存在关联性

威胁组织WIZARD SPIDER是俄罗斯的TrickBot银行恶意软件操作者。威胁组织LUNAR SPIDER是东欧运营商和商品银行恶意软件BokBot(IcedID)的开发者。近日研究人员发现威胁组织LUNAR SPIDER从分发BokBot的同一服务器位置,协助分发恶意软件TrickBot。TrickBot变种的嵌入式PE文件由自定义加载器提取,然后解码并执行。该PE文件实际上是TrickBot横向移动模块的修改版本shareDll,字符串没有采用模糊处理。由BokBot分发的模块使用256位AES加密,使用派生密钥和初始化向量(IV)加密,使用自定义字母表的base64编码。
 Feg-3-Presentation1-a.png

https://www.crowdstrike.com/blog ... aring-the-same-web/

3 微软商店中存在利用CPU挖矿的PUA程序

研究人员在微软应用商店中发现8个PUA程序,使用受害者机器CPU来挖取门罗币(Monero)。恶意程序包括电池优化、搜索引擎、浏览器、视频,来自开发人员DigiDream、1clean和Findoo,针对Windows 10(S)系统。一旦用户下载并启动恶意程序,它们将会通过在其域服务器中触发Google跟踪代码管理器(GTM)来获取挖取货币JavaScript库。然后,挖取脚本被激活并开始使用计算机的大部分CPU周期来挖取门罗币。应用程序于2018年4月至12月期间发布,研究人员通过调查发现这些程序可能由同一个人或团体开发。目前还不确定下载恶意程序用户数量,微软已将这些恶意应用程序从商店中删除。
 Figure1_0.png

https://www.symantec.com/blogs/t ... pps-microsoft-store

4 安全厂商发布安卓银行恶意软件分析报告

该安卓银行恶意软件报告,介绍了两种最常被使用的安卓银行恶意软件类型:银行木马和假银行应用程序 。银行木马(MazarBot、BankBot、Anubis、Exobot等)通过欺骗用户或利用其它媒介进行安装,获得权限,然后在合法的银行应用程序上提供假登录页面,窃取用户所输入的凭证数据,最终窃取金钱。虚假银行应用程序通过仿冒成合法的银行应用程序,并说服用户安装,启动后,提供仿冒的登陆表单,获取用户登陆凭据。为防止此类攻击,用户需远离非官方的应用程序商店,关注应用商店中应用的评价,只在官方的网站点击相关应用链接。
 1550309401(1).png

https://www.welivesecurity.com/2 ... id-banking-malware/
ESET_Android_Banking_Malware.pdf (1.5 MB, 下载次数: 39)

5 网络钓鱼活动模仿Facebook登陆窃取凭证

研究人员发现一项网络钓鱼活动模仿Facebook登陆页面,窃取用户登陆凭证。黑客使用HTML设计了一个非常像合法的Facebook登录弹出提示,各个细节从合法的登陆页面复制。当用户访问恶意网站时,系统会提示使用Facebook帐户登录,用户填写用户名和密码字段发送给攻击者。免受此类攻击的唯一方法是关掉该窗口,如果失败,表示这是恶意窗口。
 1550309297(1).png

https://myki.com/blog/facebook-login-phishing-campaign/

6 Coffee Meets Bagel应用程序遭数据泄露

在线约会应用程序Coffee Meets Bagel披露泄露用户数据事件,该事件是在暗网被出售的数据集中发现。泄露数据包括600万Coffee Meets Bagel用户名和电子邮件地址。该公司声称该事件没有泄露任何用户密码或财务信息,因为应用程序不存储该信息。研究人员表示泄露的数据可能被攻击者用作撞库攻击,建议用户在不同的站点不要使用相同的密码。
 coffee-meets-bagel.jpg

https://www.bleepingcomputer.com ... -on-valentines-day/
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 02:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表