恶意软件伪装成PDF传播、新冠病毒变种成钓鱼攻击诱饵|12月3日全球网络安全热点

发布者:腾讯安全
发布于:2021-12-06 14:53

图片



安全资讯报告


Emotet现在通过伪造的Adobe Windows应用安装程序包进行传播

 

Emotet恶意软件现在通过伪装成Adobe PDF软件的恶意Windows应用安装程序包进行分发。

 

Emotet是一种臭名昭著的恶意软件感染,它通过网络钓鱼电子邮件和恶意附件进行传播。安装后,它将窃取受害者的电子邮件用于其他垃圾邮件活动并部署恶意软件,例如TrickBot和Qbot,这通常会导致勒索软件攻击。

 

Emotet背后的威胁行为者现在通过使用Windows 10和Windows 11的内置功能AppInstaller安装恶意软件包来感染系统。

 

这个新的Emotet活动从被盗的电子邮件回复链开始,这些电子邮件显示为对现有对话的回复。这些回复只是告诉收件人“请参阅附件”并包含指向与电子邮件对话相关的所谓PDF的链接。点击链接后,用户将被带到一个虚假的GoogleDrive页面,提示他们点击一个按钮来预览PDF文档。

 

这个“预览PDF”按钮是一个ms-appinstaller URL,它尝试使用*.web.core.windows.net上的URL打开托管在Microsoft Azure上的appinstaller文件。尝试打开.appinstaller文件时,Windows提示您是否希望打开Windows App Installer程序继续,一旦同意,将看到一个应用安装程序窗口,提示安装“Adobe PDF组件”,最终恶意后门被安装。

 

Emotet是过去分布最广的恶意软件,直到执法行动关闭并没收了僵尸网络的基础设施。10个月后,Emotet在TrickBot木马的帮助下开始重建时复活了。

 

新闻来源:

https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/

 

勒索软件响应:您的备份是否有效?

 

政府敦促受勒索软件侵害的组织不要向犯罪分子付款以取回他们的数据。一位在数字取证和事件响应方面的资深人士承认,有时有正当理由让步。KrollLLC驻多伦多的网络风险副董事总经理杰西·罗斯(Jaycee Roth)上周在加拿大西部虚拟峰会上说:“确实需要权衡利弊。”

 

她说,这包括对停业的成本进行成本效益分析,并指出任何数据泄露的最大成本(占费用的38%)是业务中断。这不仅包括收入损失,还包括客户损失和声誉损失。做出决定的一个主要因素是IT部门是否可以从备份中恢复数据。

 

客户认为他们有备份,认为他们拥有他们需要的所有信息。但它归结为测试,确保您之前确实使用过备份。我们遇到过很多情况,其中备份已过时,或者它没有您认为拥有的信息,或者缺少对您的业务至关重要的一个数据库文件。

 

IT经理应对任何网络事件所需的另一个重要组成部分:拥有其环境的完整清单。当一个管理/IT/顾问团队为响应而成立时,首要的技术问题将是,有多少工作站和服务器,是否有虚拟化,是否有防火墙日志,描述电子邮件基础设施等等。

 

新闻来源:

https://www.itworldcanada.com/article/ransomware-response-do-your-backups-work/466745

 

俄罗斯男子因向网络犯罪分子提供主机防弹托管而被判60个月监禁

 

一名俄罗斯国民被控为网络犯罪分子提供防弹托管服务,在2009年至2015年期间使用该平台传播恶意软件并攻击美国组织和金融机构,已被判60个月监禁。

 

34岁的Aleksandr Grichishkin与Andrei Skvortsov一起创立了防弹托管服务,并将其基础设施出租给其他犯罪客户,用于分发范围广泛的恶意软件,并试图给美国受害者造成数百万美元的损失。

 

Skvortsov正在等待判决,面临最高20年的监禁。Bulletproof托管操作类似于常规的网络托管,但对于可以在其服务器上托管的内容要宽松得多。它们以为恶意内容和活动提供安全托管并确保威胁参与者的匿名性而闻名。

 

新闻来源:

https://thehackernews.com/2021/12/russian-man-gets-60-months-jail-for.html

 

研究人员警告伊朗用户注意广泛的短信网络钓鱼活动

 

社交工程短信被用来在Android设备上安装恶意软件,这是一场广泛的网络钓鱼活动的一部分,该活动冒充伊朗政府和社会保障服务机构,以窃取信用卡详细信息并从受害者的银行账户中窃取资金。

 

与银行恶意软件的其他变种不同,银行恶意软件会在受害者不知情的情况下进行覆盖攻击以捕获敏感数据,Check Point Research发现的恶意应用程序旨在通过向目标发送看似合法的包含链接的SMS消息,单击该链接后,会将恶意应用程序下载到他们的设备上。

 

“恶意应用程序不仅会收集受害者的信用卡号,还会访问他们的2FA身份验证短信,并将受害者的设备变成能够向其他潜在受害者传播类似网络钓鱼短信的机器人,”Check Point研究员Shmuel科恩在周三发布的一份新报告中说。

 

这家网络安全公司表示,它发现了数百个不同的网络钓鱼Android应用程序,这些应用程序伪装成设备跟踪应用程序、伊朗银行、约会和购物网站、加密货币交易所以及与政府相关的服务,这些僵尸网络作为“即用型移动活动”出售套件”在Telegram频道上的价格在50到150美元之间。

 

诈骗僵尸网络的感染链始于伊朗司法机构的虚假通知,敦促用户审查针对消息接收者提出的假设投诉。投诉链接将受害者引导至表面上看起来像政府网站的网站,要求他们输入个人信息(例如姓名、电话号码等)并下载Android APK文件。

 

安装后,流氓应用程序不仅会请求侵入性权限以执行通常与此类政府应用程序无关的活动,还会显示模仿该国电子司法通知系统Sana的虚假登录屏幕,并提示受害者他们需要支付1美元的费用以继续进行。选择这样做的用户随后会被重定向到一个虚假的支付页面,该页面会收集输入的信用卡信息,而安装的应用程序则充当一个隐秘的后门,暗中窃取信用卡公司发送的一次性密码并促进进一步的盗窃。

 

此外,该恶意软件具有丰富的功能,可以将设备收到的所有SMS消息泄露到攻击者控制的服务器,从主屏幕隐藏其图标以阻止尝试删除应用程序、部署额外的有效载荷和获取蠕虫般的能力来扩大其攻击面并将自定义的短信信息传播到从服务器检索到的电话号码列表。

 

新闻来源:

https://thehackernews.com/2021/12/researchers-warn-iranian-users-of.html

 

新恶意软件在电子商务服务器上隐藏为合法的nginx进程

 

电子商务服务器正以远程访问恶意软件为目标,该恶意软件隐藏在Nginx服务器上,使其对安全解决方案几乎不可见。该威胁被命名为NginRAT,它结合了它所针对的应用程序和它提供的远程访问功能,并被用于服务器端攻击,以从在线商店窃取支付卡数据。

 

NginRAT被发现在感染了CronRAT的北美和欧洲的电子商务服务器上,CronRAT是一种远程访问木马(RAT),将有效负载隐藏在计划在日历的无效日期执行的任务中。

 

NginRAT已经感染了美国、德国和法国的服务器,在那里它注入了与合法进程无法区分的Nginx进程,从而使其不被发现。

 

新闻来源:

https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

 

网络钓鱼攻击者开始利用新冠病毒奥米克绒变体做诱饵

 

网络钓鱼攻击者已迅速开始利用Omicron COVID-19变体的出现,现在将其用作恶意电子邮件活动的诱饵。网络钓鱼攻击者会迅速使用最新趋势和热门话题,人们的恐惧感导致人们不经思考就匆忙打开电子邮件。

 

在这种情况下,Omicron变体是一种新兴的COVID-19毒株,科学家担心其高传染性和现有疫苗对其突变的潜在无效性。这一切使它成为网络钓鱼的理想主题,因为即使是接种疫苗的人也担心Omicron在感染的情况下会如何影响他们。

 

英国消费者保护组织发布了两个假冒来自英国国家卫生服务(NHS)的新网络钓鱼电子邮件样本,警告有关新Omicron变体。这些电子邮件声称为收件人提供免费的Omicron PCR测试,据称可以帮助他们绕过限制。如果收件人点击嵌入的“立即获取”按钮或点击电子邮件正文中的URL,他们将被带到声称提供“COVID-19 Omicron PCR测试”的虚假NHS网站。

 

新闻来源:

https://www.bleepingcomputer.com/news/security/phishing-actors-start-exploiting-the-omicron-covid-19-variant/




声明:该文观点仅代表作者本人,转载请注明来自看雪