每日安全简讯(20221016)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现冒充Convertio网站传播恶意软件的活动


最近，研究人员发现了一个钓鱼网站“hxxps://convertigoto.net/”，该网站冒充了一个真正的“Convertio”网站。Convertio是一个简单的在线工具，可以将文件转换为不同的文件格式，包括文档、图像、电子表格、电子书、档案、演示文稿、音频、视频等。网络钓鱼网站设计精良，看起来类似于合法的Convertio网站。下载的恶意载荷据分析是一种名为“RedLine Stealer”的已知恶意软件。Redline Stealer是一种用C#编写的恶意软件，它使用SOAP API与其C&C(命令和控制)服务器进行通信。该窃取程序能够从Web浏览器、加密货币钱包以及FileZilla、Discord、Steam、Telegram和VPN客户端等应用程序中窃取信息。

https://blog.cyble.com/2022/10/14/online-file-converter-phishing-page-spreads-redline-stealer/

---

2 Ducktail恶意软件劫持Facebook企业帐户

研究人员发现，一种名为Ducktail的信息窃取恶意软件的PHP版本在野外被发现，它以合法应用程序和游戏的破解安装程序的形式传播。与旧版本(.NetCore)一样，最新版本(PHP)也旨在窃取与保存的浏览器凭据、Facebook帐户信息等相关的敏感信息。Ducktail于2021年底出现在威胁领域，归因于一名未命名的越南威胁行为者，该恶意软件主要旨在劫持Facebook业务和广告帐户。

https://thehackernews.com/2022/10/new-php-version-of-ducktail-malware.html

---

3 Prestige勒索软件针对乌克兰和波兰的组织发起攻击

微软表示，新的Prestige勒索软件正被用于针对乌克兰和波兰的运输和物流组织进行持续攻击。这种新的勒索软件于10月11日首次在野外使用，在一小时内检测到该勒索软件的攻击。可以确定攻击者在受害者的企业网络中部署勒索软件恶意载荷，这种策略在针对乌克兰组织的攻击中很少见。微软称，该活动与最近与俄罗斯国家相关的活动，特别是在受影响的地区和国家，并与FoxBlade恶意软件(也称为HermeticWiper)的先前受害者有重叠。HermeticWiper是一种被称为擦除器的破坏性恶意软件，在入侵乌克兰开始之前，它首次出现在针对乌克兰组织的部署中。

https://www.bleepingcomputer.com/news/security/microsoft-new-prestige-ransomware-targets-orgs-in-ukraine-poland/

---

4 荷兰警方伪造赎金支付诱骗DeadBolt勒索软件团伙

荷兰国家警察与网络安全公司Responders.NU合作，通过伪造赎金支付诱骗DeadBolt勒索软件团伙交出155个解密密钥。DeadBolt是自1月以来比较活跃的勒索软件，在加密数千台QNAP和Asustor网络附加存储(NAS)设备(全球20000台，荷兰警方至少1000台)后要求0.03比特币赎金而闻名。据称，警方进行付款后，收到解密密钥，然后警方撤回付款，这些密钥允许再次解锁珍贵照片或管理等文件，受害者无需支付任何费用。这种策略有效地使他们能够获得155个解密密钥，而无需支付发送交易的费用。

https://www.bleepingcomputer.com/news/security/police-tricks-deadbolt-ransomware-out-of-155-decryption-keys/

---

5 Microsoft电子邮件加密协议存在严重的安全漏洞

研究人员警告说，微软用于电子邮件加密的协议有一个弱点，可能会泄露本应保密的信息。电子密码本使用相同的密文加密重复的信息块——这意味着在用于保护信息免遭窥探的所谓不可穿透的乱码加密中，可能会出现漏洞。由于ECB使用相同字符加密单个消息中重复的明文，因此能够捕获和分析电子邮件流的机构可以推断出部分加密文本。尽管存在已知问题，微软仍继续使用该算法，主要是为了支持向后兼容性。

https://www.govinfosecurity.com/microsoft-email-encryption-vulnerable-to-structural-leaks-a-20262

---

6 Mormon教会IT系统数据遭窃取

教会证实，不法分子闯入耶稣基督后期圣徒教会的计算机系统，窃取属于“一些”成员、员工、承包商和朋友的个人数据。根据在其网站上发布的关于“数据事件”的教会声明，安全漏洞发生在2022年3月下旬。被破坏的系统包含LDS教会成员的基本联系信息，但不包括银行历史信息和其他相关财务信息。根据教会成员和其他人在被雇用或创建帐户时提供的个人信息，包括用户名、会员记录编号、全名、性别、电子邮件地址、出生日期、邮寄地址、电话号码和首选语言等数据。

https://www.theregister.com/2022/10/14/mormon_church_hacked/