每日安全简讯(20220619)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型安卓恶意软件MaliBot窃取用户密码

F5实验室的网络安全研究人员详细描述了一款新型安卓恶意软件，并将其命名为MaliBot。这是一系列针对安卓用户的强大恶意软件中最新的一个，除了远程窃取密码、银行信息和加密货币钱包外，MaliBot还可以访问短信、窃取浏览器cookie，并从受感染的安卓设备上获取屏幕截图。它还可以绕过多因素认证(MFA)。与许多安卓恶意软件威胁一样，MaliBot的传播方式是通过SMS短信向用户的手机发送钓鱼信息或吸引受害者进入欺诈网站，受害者都被鼓励点击一个链接，将恶意软件下载到他们的手机中。


https://www.zdnet.com/article/th ... eal-your-passwords/

---

2 NakedPages网络钓鱼工具包现已在网络犯罪论坛上提供

研究人员发现了一种新的复杂的网络钓鱼工具包，在多个网络犯罪论坛和Telegram渠道销售。该工具包名为“NakedPages”，使用NodeJS框架开发，运行JavaScript代码，完全自动化，预装了50多个钓鱼模板和网站项目。一个网络犯罪论坛上的帖子写道:“Naked Pages是任何垃圾邮件制造者都需要的网络钓鱼工具，它的功能比任何其他反向代理或PHP网络钓鱼框架加起来的功能都要多。”此外，该工具包还具有反机器人功能，能够检测来自120多个国家的不同类型的机器人。


https://www.infosecurity-magazin ... s-phishing-toolkit/

---

3 Inverse Finance遭闪电贷款攻击损失了120万美元

一家名为Inverse Finance的去中心化自治组织(DAO)被盗用了可兑换120万美元的加密货币，而就在两个月前，该组织刚刚被抢劫了1560万美元。Inverse Finance的前沿货币市场遭受了一次预言机价格操纵事件，造成了583万美元的DOLA净损失，而攻击者总共赚了120万美元。583万美元的净损失是攻击者从DAO借来的用于进行攻击的资金。因此，Inverse Finance将其视为坏账，而不是需要偿还给任何个人的资金。攻击者使用了一笔闪电贷，这是一种取出并立即偿还的贷款，来欺骗协议并获得对资产的控制权。


https://www.theregister.com/2022/06/17/inverse_finance_heist/

---

4 研究人员发现了两个目前正在流行的新包裹运输骗局

研究人员发现了两个目前正在流行的新包裹运输骗局，第一个是“BHL”，第二个是虚假的美国邮政服务警报。BHL看起来是一个很棒的新包裹服务，听起来很熟悉的原因是骗子借用了DHL公司的品牌，甚至模仿了它的颜色、标志和网页设计。诈骗者寄希望于潜在的受害者愚蠢到落入像用“B”替换“D”这样简单的策略中。网民还报告称收到了冒充USPS的诈骗者发送的网络钓鱼电子邮件，电子邮件声称包裹已被阻止，点击链接会将受害者带到一个网络钓鱼页面，他们需要输入个人信息。


https://news.trendmicro.com/2022 ... sps-phishing-email/

---

5 黑客以版权为主题的虚假电子邮件针对EI-ISAC的成员

5月中旬，一名选举基础设施信息共享和分析中心（EI-ISAC）成员收到一封声称来自Facebook的电子邮件。“From”字段显示“Facebook Business”作为发件人，邮件到达时的主题是“Facebook版权所有#10034576734223762”。它还在签名栏中使用了“Facebook团队”，并在页脚列出了Facebook的实际地址。邮件正文告知收件人，由于侵犯版权，Facebook已经删除了他们的部分内容。然后，它指示他们、用原始参考号码联系Facebook，以便其管理员可以恢复内容。


https://www.cisecurity.org/insig ... ick-ei-isac-members

---

6 研究人员披露了Fastjson库中的远程代码执行漏洞

研究人员披露了流行的Fastjson库中一个现已修补的高危漏洞的详细信息，该漏洞可能被利用来实现远程代码执行。Fastjson是一个Java库，可用于将Java对象转换为其JSON表示形式。它还可用于将JSON字符串转换为等效的Java对象。该漏洞被跟踪为CVE-2022-25845（CVSS评分8.1），位于一个名为“AutoType”的功能中，与不可信数据的反序列化有关。AutoType函数允许在解析JSON输入时指定自定义类型，然后可以将其反序列化为特定类的对象。这个漏洞允许攻击者绕过Fastjson中的AutoTypeCheck机制，实现远程代码执行。


https://securityaffairs.co/wordp ... on-library-rce.html

---