PIXM发现利用Facebook和Messenger的钓鱼活动

发布时间 2022-06-10
1、PIXM发现利用Facebook和Messenger的大规模钓鱼活动


据6月8日报道,安全公司PIXM发现了一起大规模的钓鱼活动。该活动至少自2021年9月开始,在2022年4月至5月达到顶峰。攻击者利用了Facebook和Messenger,诱使数百万用户访问钓鱼页面,输入帐户凭据并观看广告。这些已被攻击的帐户还会向他们的朋友发送更多的钓鱼信息,攻击者通过广告佣金获得可观的收入。钓鱼邮件使用了合法的URL生成服务,据统计,在2021年,有270万用户访问了其中一个钓鱼网站,到2022年该数字增加到850万,这反映了此次活动大规模增长的趋势。


https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/


2、勒索软件Cuba回归并利用优化的新变体攻击多个目标


6月8日,Trend Micro披露了关于勒索软件Cuba新变体的细节。Cuba自2020年2月首次被检测到,在2021年达到顶峰。今年开始该团伙几乎没有新动作,直到3月份卷土重来,其在网站上列出了多个被攻击的目标(4月份3个,5月份1个)。研究人员称,在3月和4月检测到的样本使用了新的自定义下载程序BUGHATCH,并会在加密前终止更多进程,包括Outlook、MS Exchange和MySQL。这表明攻击者仍在积极开发其加密器,旨在优化其攻击过程。


https://www.trendmicro.com/en_us/research/22/f/cuba-ransomware-group-s-new-variant-found-using-optimized-infect.html


3、Avast发现分发窃取信息的恶意软件的新活动FakeCrack


Avast在6月8日称其发现了一个新的恶意软件活动FakeCrack。该活动冒充了破解版的优化程序CCleaner Pro Windows,来分发可窃取密码、信用卡信息和加密钱包的恶意软件。此外,攻击活动还利用了Black SEO技术,使恶意网站在谷歌搜索结果中的排名更加靠前。中毒的搜索结果会将目标带到多个网站,最终都会指向一个下载ZIP文件的登录页面。该ZIP会用类似于"1234"之类的弱密码保护,以免恶意payload被杀毒软件检测到。Avast表示,平均每天检测到约10000次感染尝试,主要针对法国、巴西、印度尼西亚和印度。


https://blog.avast.com/fakecrack-campaign


4、Aoqin Dragon针对东南亚地区和澳大利亚的攻击长达十年


据媒体6月9日报道,SentinelOne发现了Aoqin Dragon针对东南亚地区和澳大利亚长达十年的攻击活动。该团伙主要针对新加坡、中国香港、越南、柬埔寨和澳大利亚的政府、教育和电信相关组织。攻击者利用了文档中的漏洞和假的可移动设备来获得初始访问权限。据观察,攻击者使用的其它技术包括DLL劫持、Themida包装的文件和DNS隧道,用来绕过检测。经过对Aoqin Dragon活动的目标、基础设施和恶意软件结构的分析,研究人员推断该团伙可能与UNC94(Mandiant)有关联。


https://thehackernews.com/2022/06/a-decade-long-chinese-espionage.html


5、Kaspersky发布2021年路由器安全态势的分析报告


6月8日,Kaspersky发布了关于2021年路由器安全态势的分析报告。报告指出,在过去十年中,在各种路由器中发现的漏洞数量不断增加,2020年和2021期间,发现了500多个路由器漏洞。不幸的是,并非所有供应商都很快修复漏洞,截至目前,在2021年发布的87个严重的漏洞中,29.9%仍未被修复。针对路由器的恶意软件主要为Backdoor.Linux.Mirai.b(占比48.25%)、Trojan-Downloader.Linux.NyaDrop.b(13.57%)和Backdoor.Linux.Mirai.ba(6.54%)。


https://securelist.com/router-security-2021/106711/


6、Malwarebytes发布关于MakeMoney攻击活动的分析报告


Malwarebytes在6月8日发布了MakeMoney攻击活动的分析报告。研究人员近期发现了一个新的恶意广告活动,会安装伪造的Firefox更新。这个伪造的更新包含几个脚本,用来下载加密的payload。初始可执行文件包含一个加载程序,会检索被检测为BrowserAssistant的广告软件。恶意广告基础设施与自2019年底以来许多活动中使用的基础设施基本相同,可能出于某种原因,攻击者重复使用了相同的服务器,这将该活动与MakeMoney联系起来。


https://blog.malwarebytes.com/threat-intelligence/2022/06/makemoney-malvertising-campaign-adds-fake-update-template/