1 垃圾邮件活动针对法国用户分发Varenyky
2019年5月,ESET研究人员观察到垃圾邮件活动针对法国ISP的Orange SA用户,分发恶意软件Varenyky。邮件附件为包含宏的word文档,恶意宏作为根据计算机的区域设置过滤掉非法国受害者,和下载、执行恶意软件。一旦安装完毕,Varenyky的第一个任务就是向受害者的邮箱发送垃圾邮件。然后,它对计算机执行恶意命令。Varenyky可以窃取密码,监视受害者的屏幕,如果用户在浏览器中访问成人网站或在窗口标题中搜索到比特币字样,则会录制视频并复制窗口标题,通过Tor发送到C2服务器,以进行后续的勒索诈骗。
https://www.welivesecurity.com/2 ... t-campaigns-france/
2 安全团队在暗网发现新远程访问木马Saefko
Zscaler ThreatLabZ团队在暗网发现新的远程访问木马(RAT)Saefko。Saefko使用.NET编写,针对Windows和Android设备,通过电子邮件附件或已被感染的应用程序或游戏传播。由于Saefko启用了管理控制,入侵者可以在目标计算机上执行多种操作,比如键盘记录、访问机密信息、激活系统的网络摄像头、截屏、格式化驱动器等监视用户行为。成功感染后,Saefko将保留在后台并在用户每次登录时运行。它将获取chrome浏览器的历史记录,寻找特定类型的活动,比如涉及信用卡、商业、社交媒体、游戏、加密货币、购物等,然后将收集到的数据发送到C&C服务器。
https://www.zscaler.com/blogs/re ... w-multi-layered-rat
3 安全厂商发布JSWorm 4.0的免费解密工具
Emsisoft安全研究人员发布了针对JSWorm 4.0勒索软件的新解密器工具,允许受害者免费解密文件。JSWorm 4.0勒索软件也是用C++编写,并使用AES-256的修改版本来加密文件。加密文件名为".[ID-][].JSWRM"。一旦加密了所有数据,它就会释放勒索信"JSWRM-DECRYPT"。Emsisoft还发布了该解密工具的详细使用指南。
https://securityaffairs.co/wordp ... tor-jsworm-4-0.html
emsisoft_howto_jsworm4.pdf
(312.45 KB, 下载次数: 11)
4 被安装超1亿次的安卓软件包含Clicker木马
Dr.Web研究人员在Google Play软件商店中,发现超过33个安卓软件程序被捆绑了Clicker木马,目前以上程序已被安装超1亿次。该恶意软件被设计为恶意模块,被添加到看似无害的软件程序中,会在软件启动8个小时后激活,以逃避检测。启动后立即开始收集系统信息,发送到C2服务器。C2服务器还会向恶意软件发送必要的设置。该木马在受感染设备的内存中保持活跃状态,执行多种恶意活动,例如在谷歌播放广告应用程序,下载任何网站、显示广告或其他内容、为用户订阅昂贵的高级服务。目前部分受感染软件程序已更新并删除了恶意模块。
https://vms.drweb.ru/virus/?i=18327279
5 泄露代码暴露波音787系统中存在多个漏洞
安全研究员在波音公司的网络上发现了一个完全没有保护的服务器,该服务器包含用于在该公司的巨型737和787客机上运行的代码。研究人员透露通过泄露的代码,发现了存在于波音787的机组人员信息服务(CIS)/维修系统(MS)中的多个内存损坏漏洞。攻击者可滥用这些漏洞,将恶意命令发送到控制飞机安全关键系统的更敏感组件,包括其引擎、制动器和传感器。波音787还配备了各种通信渠道,包括卫星设备和无线连接,攻击者可以通过互联网或其他网络链接入侵网络,为维护工程师提供有关系统功能的错误信息。
https://cyware.com/news/leaked-c ... al-systems-1b5143bb
6 研究人员披露存在13年的RSA签名验证漏洞
研究人员在近日黑帽安全会议上介绍了RSA加密存在的漏洞。该漏洞在13年前被发现,目前依然存在。RSA密码体制缺陷为如何设置RSA密码来处理签名验证、检查以确保“已签名”的加密数据块确实被发送方验证、签名没有被篡改或操纵。如果没有强大的签名验证,第三方可能会操纵数据或发送看似来自可靠来源的虚假数据。
https://www.wired.com/story/rsa- ... e-validation-flaws/
|