每日安全简讯(20220928)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发布Erbium窃密木马分析报告


研究人员发现新出现的Erbium窃密木马正在通过鱼叉式网络钓鱼、恶意广告、漏洞利用工具包等多种方式传播，窃取受害者的凭据和加密货币钱包。Erbium窃密木马以恶意软件即服务(MaaS)的商业模式获利，它为订阅者提供了一种新的信息窃取恶意软件，由于其功能、客户服务和有竞争力的价格，该恶意软件在网络犯罪社区中越来越流行。自2022年7月以来，Erbium一直在俄语论坛上得到推广，但到目前为止，它在野外的实际部署还不确定。Erbium最初的价格是每周9美元，但自从8月下旬它的流行度上升后，价格上涨到每月100美元或全年许可证的1000美元。

https://www.bleepingcomputer.com/news/security/new-erbium-password-stealing-malware-spreads-as-game-cracks-cheats/

---

2 黑客利用PowerPoint文件中的鼠标移动触发恶意脚本

研究人员发现黑客开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本。恶意代码不需要恶意宏来执行和下载有效载荷，从而进行更隐蔽的攻击。威胁行为者使用PowerPoint(.PPT)文件引诱目标，该文件据称与经济合作与发展组织(OECD)相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT文件包含一个超链接，作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

https://www.bleepingcomputer.com/news/security/hackers-use-powerpoint-files-for-mouseover-malware-delivery/

---

3 Mozilla修复Firefox、Firefox ESR和Thunderbird中的高危漏洞

Mozilla已发布安全更新以解决Firefox、Firefox ESR和Thunderbird中的漏洞，攻击者可以利用其中一些漏洞来控制受影响的系统。在Firefox 105中，总共修补了7个漏洞，其中3个漏洞的安全风险等级为“高”。Thunderbird修复了三个安全漏洞，一种评级为“高”风险。Firefox 105是大多数Mozilla用户在其系统上使用的浏览器。Firefox Extended Support Release (ESR)是Firefox的官方版本，专为需要大规模设置和维护Firefox的大型组织开发。Thunderbird是Mozilla的免费电子邮件应用程序。

https://www.malwarebytes.com/blog/news/2022/09/update-firefox-and-thunderbird-now-mozilla-patches-several-high-risk-vulnerabilities

---

4 Meta因绕过苹果隐私功能跨网站跟踪iPhone用户被起诉

Meta因涉嫌在苹果iPhone的Facebook和Instagram应用程序中进行未披露的跟踪和数据收集而被起诉。在旧金山美国联邦地区法院提起的诉讼称，这两个应用程序联合使用了自己的浏览器WKWebView，该浏览器注入了JavaScript代码来收集数据，如果应用程序在iPhone用户指定的默认独立浏览器中打开链接，这些数据将无法使用。这一说法是基于安全研究员费利克斯·克劳斯(Felix Krause)的调查结果，他在上个月发表了一份分析报告，分析了嵌入在本地应用程序中的WKWebView浏览器是如何被利用来跟踪用户和侵犯隐私的。当用户点击脸书应用程序中的链接时，Meta会自动将他们引导到它正在监控的应用程序内浏览器，而不是智能手机的默认浏览器，而不会告诉用户正在发生这种情况或他们正在被跟踪。

https://www.theregister.com/2022/09/23/meta_app_tracking/

---

5 法国医院遭LockBit勒索软件攻击拒绝支付赎金

位于大巴黎南部边缘的一家法国医院拒绝向勒索软件黑客付款，导致近12GB的患者和工作人员数据被泄露，泄露的内容包括社会安全号码、实验室报告和其他健康数据。同时法国政府官员发誓拒绝敲诈勒索。Corbeil-Essonnes拥有1000个床位的Centre Hospitalier Sud Francilien上个月底遭受了一次网络攻击，并收到了一个与LockBit勒索软件合作的组织的1000万美元赎金要求。攻击者推迟了最后通牒的日期，并将赎金要求降至100万美元。CHSF董事会主席Medhy Zeghouf表示，即使金额减少，医院也拒绝付款。

https://www.govinfosecurity.com/lockbit-publishes-stolen-data-as-hospital-rejects-extortion-a-20155

---

6 研究人员在Google Play和Apple Store发现多个广告软件

研究人员在Google Play和Apple Store分别发现了多个广告软件，它们总共被安装了1300万次。除了向移动用户充斥可见和隐藏的广告外，欺诈性应用程序还通过冒充合法应用程序来产生收入。尽管这些类型的应用程序不被视为严重威胁，但它们的运营商可以将它们用于更危险的活动。研究人员确定了一组移动应用程序，这些应用程序是他们命名为“Scylla”的新广告欺诈活动的一部分。Scylla是他们在2019年8月发现的第三波行动，第二波行动被称为“Charybdis”，并在2020年底达到顶峰。研究人员已将他们的发现通知谷歌和苹果，并且这些应用程序已从官方Android和iOS商店中删除。

https://www.bleepingcomputer.com/news/security/adware-on-google-play-and-apple-store-installed-13-million-times/