每日安全简讯(20191128)

1  安全厂商披露网络犯罪集团Full(z) House

RiskIQ研究人员发现了新网络犯罪集团Full(z) House的攻击活动。该团伙开展两项活动实现经济获利，第一种为针对PII、银行凭据和来自支付提供商客户的银行卡信息的网络钓鱼活动；第二种为在对电子商务页面结账时使用信用卡进行支付卡信息窃取。这两项活动是分开进行的，但二者在域到ip地址解析数据上的攻击基础结构存在轻微重叠。


https://www.riskiq.com/blog/labs/fullz-house/

---

2 安全专家发现新多态恶意软件Dexphot

微软安全专家分析了一种自2018年10月首次发现的新多态恶意软件Dexphot，其持续保持大规模活跃状态，并在2019年6月达到峰值。Dexphot初始感染阶段将五个关键文件写入磁盘：带有两个url的安装程序、从其中一个URL下载的MSI软件包文件、受密码保护的ZIP存档、从归档文件中提取的加载程序DLL、一种包含三个额外的可执行文件加密的数据文件且通过 process hollowing加载到系统进程中。执行期间运行的其他进程是合法的系统进程，包括用于安装MSI软件包的msiexec.exe、用于从受密码保护的ZIP存档中提取文件的unzip.exe、用于加载加载程序DLL的rundll32.exe、用于计划任务的schtasks.exe、用于强制更新的powershell.exe。最终在设备上安装加密货币挖矿程序，当被试图删除恶意软件时，监控服务和计划任务会触发重新感染。


https://www.microsoft.com/securi ... polymorphic-threat/

---

3 安全厂商发布LookBack活动的最新发现

Nozomi Networks针对LookBack恶意软件的最新分析发现，其在7月份实际针对了十多家美国公用事业公司，包括密歇根州的科洛弗兰电力合作社、向美国钢铁厂运输铁矿石的关键节点Marie Locks、华盛顿州的Klickitat公共事业区、北达科他州的盆地电力合作社等。如果以上目标攻击成功，将对日常生活和经济产生严重影响。LookBack是一种远程访问木马，它依靠代理通信工具将数据从受感染的主机中继到C2。


https://www.nozominetworks.com/b ... utilities-targeted/

---

4 研究人员发现新勒索软件DeathRansom

研究人员在11月20日起发现新勒索软件DeathRansom开始活跃。虽然目前为止还没有发现该勒索软件如何进行分发，但同其它勒索软件一样，启动后，将尝试删除卷影副本。然后将对受害人计算机上的所有文件进行加密，被加密的文件没有附加扩展名称，而是保留原始文件名称，识别文件的惟一方法是附加到加密文件末尾的ABEFCDAB文件标记。研究人员正在分析该勒索软件，尚不知道是否可以将解密。


https://www.bleepingcomputer.com ... -a-name-for-itself/

---

5 僵尸网络Stantinko新增加密货币挖矿模块

僵尸网络Stantinko新增了一个加密货币挖矿模块，从而在控制的计算机中获利。该模块是xmr -stak开源加密货币挖矿程序的高度修改版本，挖取加密货币将耗尽受感染机器的大部分资源。它删除了所有不必要的字符串甚至整个功能，其余的字符串和函数被严重混淆，以逃避检测。该模块不会直接与其采矿池进行通信，而是通过其IP地址从YouTube视频的描述文本中获取的代理进行通信。该模块分别代表不同的功能集四个逻辑部分：挖矿程序、暂停其它挖矿程序、检测安全软件、当电脑处于电池供电状态或检测到任务管理器时暂停挖矿。


https://www.welivesecurity.com/2 ... riminal-activities/

---

6 卡巴斯基修复产品中Web保护功能的缺陷

卡巴斯基已修复影响其某些安全产品实现Web保护功能中的多个缺陷。漏洞存在包括互联网安全、全方位防护、免费反病毒、安全云和小型办公室安全产品，这个问题影响了卡巴斯基的web保护功能，该功能可屏蔽广告和跟踪器，并警告用户有关恶意搜索结果等，利用可选的浏览器扩展来实现这些功能。通过应用程序和脚本之间共享一个签名，来实现如果未安装浏览器扩展，则将脚本注入访问的网页中以执行相同的任务。研究人员发现可以获取该签名，这允许攻击者窃听通信流并操纵它向应用程序发送命令，受控制的网站可以使用该值来禁用广告屏蔽和跟踪保护。


https://securityaffairs.co/wordp ... olutions-flaws.html

---