找回密码
 注册创意安天

每日安全简讯(20220619)

[复制链接]
发表于 2022-6-19 01:12 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 新型安卓恶意软件MaliBot窃取用户密码

F5实验室的网络安全研究人员详细描述了一款新型安卓恶意软件,并将其命名为MaliBot。这是一系列针对安卓用户的强大恶意软件中最新的一个,除了远程窃取密码、银行信息和加密货币钱包外,MaliBot还可以访问短信、窃取浏览器cookie,并从受感染的安卓设备上获取屏幕截图。它还可以绕过多因素认证(MFA)。与许多安卓恶意软件威胁一样,MaliBot的传播方式是通过SMS短信向用户的手机发送钓鱼信息或吸引受害者进入欺诈网站,受害者都被鼓励点击一个链接,将恶意软件下载到他们的手机中。

MaliBot.png
https://www.zdnet.com/article/th ... eal-your-passwords/


2 NakedPages网络钓鱼工具包现已在网络犯罪论坛上提供

研究人员发现了一种新的复杂的网络钓鱼工具包,在多个网络犯罪论坛和Telegram渠道销售。该工具包名为“NakedPages”,使用NodeJS框架开发,运行JavaScript代码,完全自动化,预装了50多个钓鱼模板和网站项目。一个网络犯罪论坛上的帖子写道:“Naked Pages是任何垃圾邮件制造者都需要的网络钓鱼工具,它的功能比任何其他反向代理或PHP网络钓鱼框架加起来的功能都要多。”此外,该工具包还具有反机器人功能,能够检测来自120多个国家的不同类型的机器人。

NakedPages.png
https://www.infosecurity-magazin ... s-phishing-toolkit/


3 Inverse Finance遭闪电贷款攻击损失了120万美元

一家名为Inverse Finance的去中心化自治组织(DAO)被盗用了可兑换120万美元的加密货币,而就在两个月前,该组织刚刚被抢劫了1560万美元。Inverse Finance的前沿货币市场遭受了一次预言机价格操纵事件,造成了583万美元的DOLA净损失,而攻击者总共赚了120万美元。583万美元的净损失是攻击者从DAO借来的用于进行攻击的资金。因此,Inverse Finance将其视为坏账,而不是需要偿还给任何个人的资金。攻击者使用了一笔闪电贷,这是一种取出并立即偿还的贷款,来欺骗协议并获得对资产的控制权。

Inverse Finance.png
https://www.theregister.com/2022/06/17/inverse_finance_heist/


4 研究人员发现了两个目前正在流行的新包裹运输骗局

研究人员发现了两个目前正在流行的新包裹运输骗局,第一个是“BHL”,第二个是虚假的美国邮政服务警报。BHL看起来是一个很棒的新包裹服务,听起来很熟悉的原因是骗子借用了DHL公司的品牌,甚至模仿了它的颜色、标志和网页设计。诈骗者寄希望于潜在的受害者愚蠢到落入像用“B”替换“D”这样简单的策略中。网民还报告称收到了冒充USPS的诈骗者发送的网络钓鱼电子邮件,电子邮件声称包裹已被阻止,点击链接会将受害者带到一个网络钓鱼页面,他们需要输入个人信息。

新包裹运输骗局.jpg
https://news.trendmicro.com/2022 ... sps-phishing-email/


5 黑客以版权为主题的虚假电子邮件针对EI-ISAC的成员

5月中旬,一名选举基础设施信息共享和分析中心(EI-ISAC)成员收到一封声称来自Facebook的电子邮件。“From”字段显示“Facebook Business”作为发件人,邮件到达时的主题是“Facebook版权所有#10034576734223762”。它还在签名栏中使用了“Facebook团队”,并在页脚列出了Facebook的实际地址。邮件正文告知收件人,由于侵犯版权,Facebook已经删除了他们的部分内容。然后,它指示他们、用原始参考号码联系Facebook,以便其管理员可以恢复内容。

版权2.png
https://www.cisecurity.org/insig ... ick-ei-isac-members


6 研究人员披露了Fastjson库中的远程代码执行漏洞

研究人员披露了流行的Fastjson库中一个现已修补的高危漏洞的详细信息,该漏洞可能被利用来实现远程代码执行。Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可用于将JSON字符串转换为等效的Java对象。该漏洞被跟踪为CVE-2022-25845(CVSS评分8.1),位于一个名为“AutoType”的功能中,与不可信数据的反序列化有关。AutoType函数允许在解析JSON输入时指定自定义类型,然后可以将其反序列化为特定类的对象。这个漏洞允许攻击者绕过Fastjson中的AutoTypeCheck机制,实现远程代码执行。

Fastjson.jpg
https://securityaffairs.co/wordp ... on-library-rce.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 21:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表