1 安天发布VirtualAPP技术应用及安全分析报告
VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA技术是在虚拟空间中安装、启动和卸载APK,是应用级的虚拟化技术,VA中运行的恶意应用软件可以逃避杀毒软件的静态检测,VA框架也被黑灰产用于开发多开工具、改机工具、抢红包工具等方式实施恶意行为。VA框架上运行的插件应用程序也被引入了代码修改风险,重打包的应用程序存在隐私泄露、被植入广告等危害。安天移动安全从2016年开始持续加强了对VA相关技术和应用的关注,并在VA类样本分析、检测等方面也有了不错的成果及独特的见解,并对基于VA恶意及非恶意样本传播情况进行了统计,通过数据可以看出VA技术从诞生开始,整体上非恶意的应用数量就偏少,一直在一个较小范围,而黑产对于该技术的采用则激进很多,在前期就大幅增多,后期则随着恶意代码规模的减少而减少。
https://mp.weixin.qq.com/s/9uIPVcEmlcR_FP78j9LcDw
2 基于Golang的传播器用于传播挖矿恶意软件
趋势科技研究人员发现了一个基于Golang的传播器,用于在挖矿活动中释放载荷。Golang传播器首先会通过扫描SSH服务和漏洞寻找入口点,漏洞包括Redis服务、ThinkPHP、Drupal、Atlassian Confluence服务(CVE-2019-3396)。到达系统后,恶意软件将连接到Pastebin以下载下载器组件,下载器将远程下载并提取TAR文件,其包含挖矿载荷、基于Golang的扫描器和其它必要组件。恶意软件还将试图通过SSH感染其它系统,并禁用安全工具、清除命令历史记录和日志,通过阻止网络流量并终止其进程来停止其它正在进行挖矿活动。维持持久性是将自身安装为系统中的服务。
https://blog.trendmicro.com/tren ... g-malware-campaign/
3 研究人员发现指向Dridex变种的新基础设施
Esentire研究人员在6月26日发现了指向类似Dridex变种的新基础设施。恶意软件仍通过电子邮件带有嵌入式宏的恶意文档的形式传播。根据环境的不同,可以通过不同级别的员工交互触发宏。研究人员发现新基础设施域利用随机生成的变量和URL目录,Dridex DLL文件是64位DLL,使用合法的Windows系统EXE加载的文件名。每次受害者登录受感染的Windows主机时,这些文件路径、文件名和相关哈希值都会发生变化。
https://www.esentire.com/blog/ne ... ditional-antivirus/
4 攻击者使用二维码技术来绕过邮件安全策略
Cofense研究人员发现利用二维(QR)码技术针对金融客户的网络钓鱼活动。钓鱼邮件伪装成SharePoint,要求用户扫描二维码查看文档。二维码包含将用户重定向到SharePoint网络钓鱼站点的URL,钓鱼页面将要求用户登录,然后窃取凭据并执行进一步的攻击。攻击者使用二维码的方法可以使恶意URL逃避检测。
https://cofense.com/radar-phishi ... evade-url-analysis/
5 安卓恶意软件伪装成游戏软件窃取用户数据
研究人员发现一款名为“Scary Granny ZOMBYE Mod:The Horror Game 2019”的安卓游戏软件,实际为窃取用户数据和金钱的恶意软件。该恶意软件会在用户安装的48小时后启动,并检查安卓版本,如果是最新的将停止运行,因为新版本可以将其标记为可疑。该恶意行为不会因为软件的关闭或者设备的重启而关闭。恶意软件正在推送广告、网络钓鱼表单和通知,以获利并窃取数据发送到其C2 服务器。Google Play商店在删除该恶意软件时已累计下载50,000次。
https://www.technadu.com/scary-g ... d-smartphone/71697/
6 Microsoft Teams升级机制允许黑客执行任意文件
多位安全研究人员发现当前在Microsoft Teams桌面应用中实现的“update”升级机制,允许黑客在系统上下载和执行任意文件。同样的问题也影响到计算机的GitHub、WhatApp和UiPath软件,可被用于下载有效载荷。研究人员表示对易受攻击的应用程序使用“update”命令可以在当前用户的上下文中执行任意二进制文件。目前研究人员已向微软报告了该问题。
https://www.bleepingcomputer.com ... malicious-packages/
|
发表于 2019-6-29 21:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡