Vultur 银行恶意软件假装成 McAfee Security 利用法式

首页 > 安全钻研 > 安全传递 > 安全简讯

Vultur 银行恶意软件假装成 McAfee Security 利用法式

颁布功夫 2024-04-01

1. Vultur 银行恶意软件假装成 McAfee Security 利用法式

3月30日，安全钻研人员发现了 Android 版 Vultur 银行木马的新版本，其中蕴含更先进的远程节造职能和改进的躲避机造。钻研人员于 2021 年 3 月初次纪录了该恶意软件，并在 2022 年底发现该恶意软件通过植入利用法式在 Google Play 上传布。2023 年底，移动安全平台 Zimperium 将 Vultur 列入年度十大最活跃银行木马之列，并指出其中 9 个变种针对 15 个国度/地域的 122 个银行利用法式。一种新的、更具躲避性的 Vultur 版本通过一种混合攻击传布给受害者，这种攻击依赖于短信垂钓（短信网络垂钓）和电话，诱骗指标装置一个版本的 Vultur。假装成 McAfee Security 利用法式的恶意软件。Vultur 最新的习染链始于受害者收到一条短信，提醒未经授权的买卖，并批示拨打提供的号码追求领导。诳骗者接听电话，说服受害者打开第二条短信发送的链接，该链接指向提供 McAfee Security 利用法式批改版本的网站。

https://www.bleepingcomputer.com/news/security/vultur-banking-malware-for-android-poses-as-mcafee-security-app/

2. PyPI 暂停新用户注册以阻止恶意软件活动

3月28日，PyPI 是 Python 项主张索引，可援手开发人员查找和装置 Python 包。该存储库拥罕见千个可用软件包，对于威胁行为者来说是一个有吸引力的指标，他们时时上传拼写谬误或伪造的软件包来风险软件开发人员和潜在的供给链攻击。此类活动迫使 PyPI 治理员今天早些时辰颁发暂停所有新用户注册，以削减恶意活动。Checkmarx 的一份汇报显示，威胁行为者昨天起头向 PyPI 365 上传拥有仿照合法项目名称的软件包。这些软件包的“setup.py”文件中蕴含恶意代码，该代码在装置时执行，试图从远程服务器检索额表的有效负载。为了逃避检测，恶意代码使用 Fernet �？榻屑用�，并在必要时动态构建远程资源的 URL。最终的有效负载是一个拥有悠久性职能的信息窃取法式，其指标是存储在网络浏览器中的数据，例如登录密码、cookie 和加密钱币等。

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/?&web_view=true

3. 英国塞拉菲尔德核电站因网络安全故障被告状

3月29日，英国独立核安全监管机构颁发，将告状治理塞拉菲尔德核电站的公司，指控其“在 2019 年至 2023 岁首的四年期间涉嫌信息技术安全犯罪”。目前尚不明显国有塞拉菲尔德有限公司的高级治理人员是否会晤对指控。凭据2003 年《核工业安全条例》，被定罪的幼我可面对最高两年的禁锢。正如英国首席核监察员去年的年度汇报所披露的那样，塞拉菲尔德此前因其网络安全缺点而成为监管机构加强关注的焦点。与此同时，在英国运营数座核电站的法国电力公司也受到了类似措施。正如英国民用核网络安全战术所述，国度网络安全中心 (NCSC) 威胁评估忠告称，勒索软件“险些注定是最有可能的粉碎性威胁”。只管工业系统设计有多个故障安全装置来预防放射性变乱，但对核电站使用的 IT 系统的勒索软件攻击可能会侵扰其运行。塞拉菲尔德的核反映堆于 2003 年关关，但这个重大的综合体依然是欧洲最大的核电站，ONR 将其描述为“世界上最复杂、最危险的核电站之一”。

https://therecord.media/sellafield-site-prosecution-nuclear-facility-cybersecurity

4. 针对印度国防和能源部门的垂钓攻击

3月29日，EclecticIQ 网络安全钻研人员发现了一项名为“Operation FlightNight”的网络间谍活动，指标是印度敌灾实体和能源公司。攻击者可能是由国度赞助的，他们利用开源信息窃取法式 HackBrowserData 的批改版正本窃取敏感数据。EclecticIQ 发现攻击者使用盛行的通讯平台 Slack 通路作为渗入点。攻击者成功渗入到多个掌管通讯、IT 和国防确当局机构。此表，私营能源公司也受到侵害，有关财政文件、员工信息、甚至石油和天然气钻探活动的具体信息被盗。高达 8.81 GB 的数据被泄露，可能有助于将来的入侵。攻击者使用了一种技巧来让受害者装置恶意软件。他们发送假装成印度空军约请的电子邮件。这些电子邮件蕴含一个 ISO 文件，该文件似乎是无害的存档。当受害者打开ISO文件时，它现实上启动了一个假装成PDF文档的快捷方式文件（LNK）。单击 LNK 文件会在不知不觉中激活恶意软件。而后，恶意软件会窃取机密文档、个人电子邮件缓和存的网络浏览器数据。

https://gbhackers.com/weaponized-air-force-invitation-pdf-indian-defense-energy/

5. Linux 缝隙可能导致用户密码泄露和剪贴板劫持

3月28日，钻研人员发现Linux 操作系统中的util-linux软件包的wall号令中存在缝隙，可能导致非特权攻击者窃取密码或更改受害者的剪贴板。该安全问题被追踪为CVE-2024-28085，被称为 WallEscape，并且在从前 11 年中一向存在于该软件包的每个版本中，直到最近颁布的2.40。只管该缝隙是攻击者若何糊弄用户提供治理员密码的一个有趣示例，但利用该缝隙可能仅限于某些情况。攻击者必要接见已经有多个用户通过终端同时衔接的 Linux 服务器。WallEscape 影响“wall”号令，该号令通常在 Linux 系统中用于向登录到统一系统（例如服务器）的所有效户的终端广播新闻。由于在通过号令行参数处置输入时未正确过滤转义序列，因而非特权用户能够使用转义节造字符利用该缝隙在其他用户的终端上创建虚伪的 SUDO 提醒符，并诱骗他们输入治理员密码。钻研人员指出，这两种情况在 Ubuntu 22.04 LTS (Jammy Jellyfish) 和 Debian 12.5 (Bookworm) 上都存在，但在 CentOS 上不存在。

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/?&web_view=true

6. 马萨诸塞州健全保险公司数据泄露影响 280 万人

3月29日，马萨诸塞州第二大健全保险公司 Point32Health 泄漏，超过 280 万人的幼我信息在2023 年 4 月的勒索软件攻击中被盗。这次攻击影响了与 Point32Health 的哈佛 Pilgrim 医疗保健品牌有关的系统，蕴含为哈佛 Pilgrim 医疗保健贸易和 Medicare Advantage Stride 打算提供服务的系统，以及“用于为会员、账户、经纪人和提供商提供服务”的系统。调查发现，有迹象批注数据在 2023 年 3 月 28 日至 2023 年 4 月 17 日期间从哈佛 Pilgrim 系统中被复造和获取。被盗信息蕴含姓名、地址、诞生日期、电话号码、社会安全号码、健全保险账户信息、财政账户信息、病史、诊断和医治信息等。

https://www.securityweek.com/massachusetts-health-insurer-data-breach-impacts-2-8-million/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研