找回密码
 注册创意安天

每日安全简讯(20210320)

[复制链接]
发表于 2021-3-19 16:00 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 macOS恶意软件通过EggShell后门针对开发人员

研究人员最近得知一个针对iOS开发者的被木马化的Xcode项目,该恶意项目是GitHub上一个合法开源项目的篡改版本。XcodeSpy版本已经被微妙地更改,以便在开发人员的构建目标启动时执行一个混淆的运行脚本。该脚本与攻击者的C2联系,并在开发计算机上放置EggShell后门的自定义变体。该恶意软件会安装用户LaunchAgent以保持持久性,并能够记录来自受害者的麦克风、摄像头和键盘的信息。

1_build_phases.jpg
https://labs.sentinelone.com/new ... -eggshell-backdoor/


2 新型CopperStealer利用受感染账户投放恶意软件

这款由Proofpoint研究人员称为CopperStealer的恶意软件是一种密码和cookie窃取程序,具有下载功能,可让其操控者向受感染的设备提供其他恶意载荷。该恶意软件背后的威胁参与者已使用受感染的帐户来运行恶意广告,并在随后的恶意广告活动中投放其他恶意软件。CopperStealer会收集保存在谷歌Chrome、Edge、Firefox、Yandex和Opera网络浏览器中的密码。它还将使用被盗的cookies检索受害者的Facebook用户访问令牌,以收集其朋友列表、广告账户信息和他们可以访问的Facebook页面列表。使用CopperStealer的下载器模块下载的恶意软件包括模块化的Smokeloader后门以及从多个URL下载的各种其他恶意有效载荷。CopperStealer正通过假冒软件破解网站和已知的恶意软件分发平台进行分发,这些平台包括keygenninja[.]com、piratewares[.]com、startcrack[.]com和crackheap[.]net。

Cooperstealer Facebook and Instagram requests.png
https://www.bleepingcomputer.com ... -facebook-accounts/


3 攻击者以交通罚单为诱饵传播TrickBot恶意软件

网络安全和基础设施安全局(CISA)和联邦调查局(FBI)观察到,在北美,使用恶意软件的鱼叉式网络钓鱼活动持续不断。一个复杂的网络犯罪团伙正在引诱受害者,利用一个交通罚单的网络钓鱼计划分发TrickBot。钓鱼邮件中包含的链接会重定向到托管在受感染服务器上的网站,会提示受害者点击其交通违规的照片证明。在单击照片时,受害者在不知不觉中下载了恶意JavaScript文件,该文件在打开后会自动与恶意参与者的命令和控制(C2)服务器通信,以将TrickBot下载到受害者的系统中。

TrickBot_1.png
https://us-cert.cisa.gov/ncas/alerts/aa21-076a


4 新的网络钓鱼活动针对美国纳税人分发两种RAT

由于税收季节已经到来,Cybereason检测到一项针对美国纳税人的新活动,其文件据称包含与税收有关的内容,最终提供了NetWire和Remcos两种RAT(远程访问木马),攻击者可以借此控制受害者的计算机并窃取敏感信息。引诱用户安装恶意软件的感染载体是一个以纳税申报单为主题的Word文档,其中包含一个恶意宏。一旦打开文档,据称背景内容模糊不清,并且用户必须手动确认“启用编辑”和“启用内容”提示。这是一种已知的社会工程方法,用于鼓励用户允许嵌入式宏在他们的计算机上运行。一旦执行了恶意内容,受害者的计算机上就会运行一个嵌入式且高度混淆的宏。有效载荷最终被放置到用户的“Temp”目录中,最后,DLL被注入记事本并继续感染链。

微信截图_20210319161323.png
https://www.cybereason.com/blog/ ... geting-us-taxpayers


5 WordPress的Tutor LMS插件存在SQL注入漏洞

研究人员称,Tutor LMS是一个安装在2万多个网站上的WordPress插件,Tutor LMS中的安全漏洞为信息窃取和特权升级打开了大门。该插件是面向教育工作者的学习管理系统,可让他们以数字方式与学生接触。根据Wordfence的一项分析,该插件中存在五个严重的SQL注入漏洞,并且至少有一个是由未受保护的AJAX端点引起的严重性漏洞。研究人员在本周的一篇文章中解释说,前者“使攻击者有可能获得存储在网站数据库中的信息,包括用户证书、网站选项和其他敏感信息”。其余的漏洞允许经过身份验证的攻击者通过使用各种AJAX操作,来提升用户权限并更改课程内容和设置。

WordPress-plugin-bug.jpg
https://threatpost.com/tutor-lms-wordpress-security-holes/164868/


6 Zoom应用的屏幕共享漏洞可能会泄漏敏感数据

当前版本的Zoom的安全问题可能会在不经意间将用户数据泄露给其他会议参与者。然而,这些数据只是被短暂地泄露,这使得潜在的攻击难以实施。该漏洞(CVE-2021-28133)源于视频会议平台Zoom的屏幕共享功能出现故障。通过该功能,用户可以在Zoom会议中与其他参与者共享屏幕内容。他们可以选择共享整个屏幕、一个或多个应用程序窗口,或者仅共享屏幕上的一个选定区域。由于该漏洞很难被真正有意利用,因此该漏洞在CVSS级别上仅处于中等严重性(10分之5.7)。

zoom-end-to-end-encryption.jpg
https://threatpost.com/zoom-glitch-leaks-data/164876/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 12:32

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表