安全资讯报告

卡巴斯基发现更多Google Play商店应用程序包含木马恶意软件

卡巴斯基恶意软件分析师称，已发现更多Google Play商店应用程序包含恶意软件，包括特洛伊木马程序。如果您将它们正确下载到手机上，最好立即将其删除。

美颜相机照片编辑器，根据Shishkova的Twitter帖子，这个Google Play Store应用程序有一种特殊的木马恶意软件，称为Joker。该应用程序的安装量超过1,000次，截至发稿时仍可在Play商店中使用。另一个名为YouPerfect Camera的Google Play商店应用也被发现含有木马恶意软件，YouPerfect Camera的安装量超过5,000。

新闻来源：

https://www.techtimes.com/articles/268886/20211203/beware-more-google-play-store-apps-found-trojan-malware-per.htm

勒索软件攻击袭击了渥太华当地法国公立学校董事会

位于渥太华的当地法国公立学校董事会于11月30日发布了一份新闻稿，宣布它遭到了攻击，并在重新保护网络后发现，存储在其董事会办公室的一些文件被盗并被扣押以索取赎金。

董事会表示已向攻击者付款，并删除了被盗数据。“保护我们社区的成员是我们的首要任务，”董事会说。

从2000年开始为董事会工作的员工可能是被盗数据集的一部分。董事会将通知受影响的前任或现任员工，因为他们的社会保险号、银行帐号、未过期的信用卡号或出生日期可能已被泄露。此外，董事会还为那些提供24个月无泄露数据的信用监控服务。一些现任和前任学生及其家人也可能因这次数据泄露而窃取了个人数据。

新闻来源：

https://www.cornwallseawaynews.com/2021/12/04/ransomware-attack-hits-french-public-school-board/

Cuba勒索软件团伙袭击了49个组织

美国联邦调查局警告说，Cuba勒索软件攻击者在损害五个关键基础设施部门的至少49个实体后，已向受害者勒索4390万美元的赎金。

Cuba勒索软件是通过Hancitor恶意软件分发的，Hancitor恶意软件是一种以向受害者网络投放或执行窃取程序（例如远程访问木马和其他类型的勒索软件）而闻名的加载程序。

5月，安全公司Group-IB发现了攻击者使用Hancitor恶意软件下载器传送Cuba勒索软件的实例，作为用于数据泄露和勒索勒索的电子邮件垃圾邮件活动的一部分。Hancitor恶意软件参与者使用网络钓鱼电子邮件、Microsoft Exchange漏洞、受损凭据或合法的远程桌面协议工具来获得对受害者网络的初始访问权限。

Cuba勒索软件攻击者使用合法的Windows服务——例如PowerShell、PsExec和其他未指定的服务——然后利用Windows管理员权限远程执行他们的勒索软件和其他进程。

新闻来源：

https://www.bankinfosecurity.com/alert-cuba-ransomware-gang-hits-49-cni-organizations-a-18058

英国已发现Omicron网络钓鱼诈骗

Omicron COVID-19变异焦虑激发了新的网络钓鱼骗局，提供虚假NHS测试来窃取数据。

在过去的几年里，全球大流行为各种网络钓鱼诈骗提供了掩护，对最新的COVID-19变体Omicron的传播引起的恐慌也不例外。

随着全球公共卫生专业人员努力应对他们担心的可能是比Delta更危险的COVID-19变体，威胁行为者已经抓住机会将不确定性转化为现金。

英国消费者监管机构“哪个？”已经发出警报，称一种新的网络钓鱼骗局，经过篡改，看起来像是来自国家卫生服务(NHS)的官方通讯，其目标是提供欺诈性报价的人，可提供针对COVID-19 Omicron变体的免费PCR测试。

除了疫苗诱饵，大流行还激发了鱼叉式网络钓鱼活动，提供虚假的COVID-19救济支票，甚至为因广泛停工而失业的人提供工作机会。即使是那些保住工作的人在重返工作岗位后也成为攻击目标，诈骗电子邮件声称提供新的办公室COVID-19协议，钓鱼邮件窃取了受害者的登录凭据。

新闻来源：

https://threatpost.com/omicron-phishing-scam-uk/176771/

密码窃取和键盘记录器正通过恶意CHROME扩展程序传播

研究人员详细介绍了一个称之为Magnat的攻击者，在可追溯到2018年的恶意软件攻击中部署了一个新的后门和未记录的恶意Google Chrome扩展程序。

Magnat——这个名字源于该活动恶意软件构建路径中的用户名——一直在使用假软件安装程序作为诱饵，说服用户在他们的系统上执行恶意软件，文件名包括viber-25164.exe和wechat-35355可执行程序。Cisco Talos的研究人员周四表示，他们认为威胁行为者正在窃取凭证，目的是在地下论坛上出售凭证。

Cisco Talos安全研究技术负责人Tiago Pereira表示：“由于这种威胁提供多种不同的有效载荷，包括信息窃取程序，因此可能对企业构成重大威胁。我们已经看到这些窃取程序窃取的凭据是初始感染。指向更大的攻击，包括勒索软件事件。

研究人员评估称，该活动使用恶意广告——使用恶意广告，通常通过将恶意代码注入广告中——作为接触可能有兴趣下载流行软件的用户的初始手段。大多数目标受害者都在加拿大、美国和澳大利亚，其中大约50%的感染发生在加拿大。

一旦运行，虚假安装程序就会执行一个伪装成软件安装程序的加载程序（通常是.exe或.iso文件）。实际上，加载程序会创建多个文件并部署导致执行三个恶意软件组件的各种命令。其中之一是恶意的GoogleChrome扩展程序，研究人员将其称为“MagnatExtension”。

其中包括捕获受害者键入的密钥的键盘记录器和从Web数据表单中检索凭据的表单抓取器。该扩展程序还会抓取密码的屏幕截图及浏览器cookie。

新闻来源：

https://duo.com/decipher/malicious-chrome-extension-backdoor-uncovered-in-malware-campaign

恶意Excel XLL加载项推送RedLine密码窃取恶意软件

网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件，以分发下载和安装RedLine密码和信息窃取恶意软件的Excel XLL文件。

RedLine是一种信息窃取特洛伊木马程序，它会窃取存储在Web浏览器中的cookie、用户名和密码以及信用卡，以及来自受感染设备的FTP凭据和文件。

除了窃取数据，RedLine还可以执行命令、下载和运行更多恶意软件，以及创建活动Windows屏幕的屏幕截图。

在BleepingComputer发现的一些网络钓鱼诱饵中，攻击者创建了虚假网站来托管用于安装恶意软件的恶意ExcelXLL文件。针对网站所有者的钓鱼诱饵，这些网站所有者请求在他们的网站上做广告并要求他们查看要约的条款，这会导致安装恶意“terms.xll”文件。

这些垃圾邮件活动旨在推送恶意Excel XLL文件，这些文件会在受害者的Windows设备上下载并安装RedLine恶意软件。

XLL文件是一个加载项，允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展Excel的功能。一旦恶意软件被执行，它将搜索有价值的数据来窃取，包括存储在Chrome、Edge、Firefox、Brave和Opera浏览器中的登录凭据和信用卡信息。

新闻来源：

https://www.bleepingcomputer.com/news/security/malicious-excel-xll-add-ins-push-redline-password-stealing-malware/

安全漏洞威胁

在发现大约226个安全漏洞后，来自流行品牌的数百万个WiFi路由器面临风险

新发现的安全漏洞影响了许多品牌的WiFi路由器，包括Netgear、Asus、Synology、D-Link、AVM、TP-Link和Edimax。

IoT Inspector首席技术官Florian Lukavsky表示：“该测试超出了对安全小型企业和家用路由器的所有预期。”“并非所有漏洞都同样严重——但在测试时，所有设备都显示出严重的安全漏洞，可以让黑客的生活变得更加轻松，”Lukavsky补充道。

预计该问题的主要原因是缺少较新的组件。包括Linux内核在内的旧版本核心组件以及其他过时的服务很可能是攻击者利用的目标。

该报告还提到，供应商在路由器上使用简单的默认密码，这使他们很容易猜到。众所周知，一些用户使用带有默认凭据的路由器，这使他们非常容易成为攻击者的目标。

研究人员还指出，在某些情况下，SOHO路由器也在不安全的证书中使用未加密的连接。对旧版BusyBox的过度依赖、使用“admin”等弱默认密码以及以纯文本形式存在硬编码凭据也是罪魁祸首。

用户应尽快更新其WiFi路由器的固件以应用最新的修复程序并远离任何潜在的攻击。

新闻来源：

https://indianexpress.com/article/technology/tech-news-technology/millions-of-wi-fi-routers-at-risk-as-hundreds-of-security-vulnerabilities-discovered-7655437/