每日安全简讯(20200306)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新冠病毒主题的垃圾邮件针对意大利传播木马

Sophos研究人员发现以新冠病毒为主题的垃圾邮件活动，针对意大利传播Trickbot木马。垃圾邮件带有据称是为防止感染而采取的预防措施清单的word文档。收件人启用恶意宏后，VBA脚本将连接C2服务器，创建JavaScript释放程序和.bat批处理文件，并使用Windows脚本主机(WSH)命令行工具cscript.exe执行JavaScript释放程序。JavaScript释放程序连接回C2命令，发送计算机名称和其他数据。然后下载一个base64编码的Windows可执行文件，创建一个单独的JavaScript可执行文件解码和执行恶意有效载荷Trickbot。


https://news.sophos.com/en-us/20 ... rus-fears-in-italy/

---

2 Mailto勒索软件使用Explorer进程逃避检测

Quick Heal研究人员发现Mailto勒索软件利用'explorer.exe'的合法Windows进程来逃避检测。Mailto在Debug模式下创建进程，并使用诸如WaitForDebugEvent之类的调试API来执行实际的恶意代码注入，通过explorer.exe进程执行。成功注入后，Mailto通过添加RUN注册表项获得持久性，并通过命令删除系统的卷影副本，以防止受害者在加密后恢复其数据。


https://blogs.quickheal.com/mail ... under-explorer-exe/

---

3 网络钓鱼活动利用OneNote绕过安全产品检测

Cofense研究人员最近发现了一项长期的网络钓鱼活动，其中攻击者试验了利用OneDrive上托管的OneNote笔记本来发送恶意软件和凭据网络钓鱼。活动中包括大量Agent Tesla键盘记录器的有效载荷以及指向不同凭据网络钓鱼网站的链接。由于OneNote的易用性和可访问性，攻击者能够每天多次更新“钓鱼笔记本”，试验各种入侵方法，并提高成功逃避电子邮件安全控制的几率。研究人员继续调查发现已有钓鱼邮件绕过了微软EOP和FireEye企业网关。


https://cofense.com/threat-actor ... -fireeye-detection/

---

4 Mokes和Buerak通过伪装安全证书更新传播

卡巴斯基研究人员最近发现一种传播恶意软件的新方法，被感染的网站对访问者显示某种安全证书已过期的通知，点击更新后，将分发恶意软件。研究人员在动物园到出售汽车配件的各种主题网站上检测到了感染，最早感染可追溯到2020年1月16日。被感染网站显示的安全证书已过期页面通知包含一个iframe，该iframe的内容从第三方资源加载，iframe覆盖在原始页面的顶部，URL栏仍显示合法地址。点击安装跟新后，将下载恶意文件，其为Buerak木马或Mokes后门。


https://securelist.com/mokes-and ... certificates/96324/

---

5 Ryuk勒索软件通过TrickBot攻击Epiq Global

法律服务和电子搜索巨头Epiq Global因Ryuk勒索软件攻击，导致其全球范围内系统下线。研究人员获悉，此次攻击源于TrickBot感染。2019年12月，Epiq网络上的一台计算机感染了TrickBot恶意软件，TrickBot为Ryuk勒索软件打开了反向shell，Ryuk于2020年2月29日早上在其网络上部署，并加密受感染计算机上的文件。


https://www.bleepingcomputer.com ... trickbot-infection/

---

6 黑客窃取英国金融科技公司Loqbox客户数据

总部位于英国的金融科技在2月20日遭受了复杂的网络攻击，泄露了其支付信息和客户的个人详细信息。该公司通过电子邮件向客户透露了该事件，泄露数据包括客户的姓名、出生日期、邮政地址和电话号码:卡号的前六位和后四位数字、有效期、分类码以及银行账号的两位数字。这些信息本身不足以让黑客用于支付或账户接管欺诈，但可以被用来让后续的网络钓鱼攻击更具说服力。


https://www.infosecurity-magazin ... l-customer-data-uk/

---