利用Google Play分发的新木马Xenomorph针对欧洲地区
发布时间 2022-02-24利用Google Play分发的新木马Xenomorph针对欧洲地区
据媒体2月21日报道,安全公司ThreatFabric发现了新的Android银行木马Xenomorph。该木马伪装成性能提升应用程序(例如Fast Cleaner)通过Google Play商店分发,已被安装超过50000次。它目前仍处于早期开发阶段,目标是西班牙、葡萄牙、意大利和比利时等欧洲国家的56家金融机构。研究人员还发现该木马的代码与Alien有所重叠,这表明二者存在某种联系:要么Xenomorph是Alien的继任者,要么Xenomorph的开发人员一直在研究Alien。
https://thehackernews.com/2022/02/xenomorph-android-banking.html
美国Meyer遭到Conti勒索攻击导致大量员工信息泄露
据2月21日报道,美国最大的炊具公司Meyer遭到Conti勒索攻击。攻击发生在2021年10月25日,检测到攻击后该公司立即展开调查,并于12月1日确定Meyer员工的信息可能已遭到未经授权的访问。研究人员在Conti的信息泄露网站发现一个可追溯到11月7日的列表,据称包含了在Meyer窃取的2%的数据,但至今仍未公布剩余的98%。Meyer表示将为受影响的员工及其家属提供两年的身份保护服务。
https://www.bleepingcomputer.com/news/security/cookware-giant-meyer-discloses-cyberattack-that-impacted-employees/
Ahn Lab发现CryptBot新变体利用盗版软件网站传播
Ahn Lab在2月21日发布的研究显示,CryptBot新变体正在通过盗版软件网站进行传播。CryptBot是一种Windows信息窃取程序,可从目标窃取浏览器凭据、cookie、加密货币钱包和信用卡等信息。攻击者利用破解软件和密钥生成器等网站分发恶意软件,并通过搜索引擎优化将这些网站在谷歌的搜索结果中置顶。此外,该版本比以往有较大的改动,删除了反沙盒功能和备用C2等冗余的功能,并已可适用于所有Chrome版本。
https://asec.ahnlab.com/en/31802/
Kaspersky发布2021年移动恶意软件态势的分析报告
2月21日,Kaspersky发布了2021年移动恶意软件态势的分析报告。报告指出,Kaspersky在2021年总计检测到3464756个恶意安装包、97661个新的移动银行木马和17372个新的移动勒索软件。受移动恶意软件攻击最多的国家是伊朗,其次是中国、沙特阿拉伯和阿尔及利亚。检测到的恶意软件中广告软件(42.42%)的占比最大,其次为RiskTool应用程序(35.27%)和木马(8.86%)。
https://securelist.com/mobile-malware-evolution-2021/105876/
Trend Micro披露新的Mac恶意挖矿软件的技术细节
Trend Micro在2月21日披露了新Mac恶意挖矿软件的技术细节。恶意软件样本被检测为Coinminer.MacOS.MALXMR.H,于2022年1月初首次被发现,是一个Mach-O文件。执行时,它利用AuthorizationExecuteWithPrivileges API通过提示用户输入凭据来提升权限。除此之外,该样本还使用了i2pd(又名I2P守护程序)来隐藏其网络流量,而其它Mac恶意软件通常使用Tor。
https://www.trendmicro.com/en_us/research/22/b/latest-mac-coinminer-utilizes-open-source-binaries-and-the-i2p-network.html
研究团队发现针对Microsoft SQL数据库的攻击活动
媒体2月21日称,研究团队发现了针对Microsoft SQL数据库的攻击活动。攻击者首先扫描TCP端口1433开放的服务,然后通过暴力破解和字典攻击来破解密码。一旦获得管理员帐户的访问权限,攻击者就会立即安装Lemon Duck、KingMiner和Vollgar等恶意矿工软件。最后,他们还会使用Cobalt Strike在数据库中建立后门,以保持持久性并进行横向移动。
https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/
安全工具
coraza
golang 企业级 Web 应用防火墙框架,支持 Modsecurity 的 seclang 语言,与 OWASP Core Ruleset 100% 兼容。
https://github.com/corazawaf/coraza
m3
移动恶意软件模仿框架(简称m3)是一个简单且可扩展的 Android 机器人模拟框架。
https://github.com/ThisIsLibra/m3/
SecureBank
包含所有 OWASP TOP 10 安全漏洞的金融科技应用程序。
https://ssrd.gitbook.io/securebank/
Talisman
可将hook安装到存储库,以确保潜在的敏感信息不会离开开发人员的工作站。
https://github.com/thoughtworks/talisman#what-is-talisman
SharpCookieMonster
cookie-crimes模块的一个 Sharp 端口,这个 C# 项目将为所有站点转储 cookie。
https://github.com/m0rv4i/SharpCookieMonster
安全分析
整数溢出:它是如何发生的以及如何预防
https://www.welivesecurity.com/2022/02/21/integer-overflow-how-it-occur-can-be-prevented/
攻击者利用SMS PVA 服务进行恶意活动
https://securityaffairs.co/wordpress/128242/cyber-crime/sms-pva-services.html
葡萄牙威胁报告:2021 年第四季度
https://seguranca-informatica.pt/threat-report-portugal-q3-2021/
微软更新了 Your Phone 应用程序的一项新功能
https://news.softpedia.com/news/microsoft-announces-a-new-feature-for-the-your-phone-app-534911.shtml
CVE-2022-0290:Chrome RenderFrameHostImpl释放后使用漏洞
https://packetstormsecurity.com/files/166080/GS20220221155706.tgz