新型Crocodilus恶意软件窃取Android用户加密钱包密钥

首页 > 安全钻研 > 安全传递 > 安全简讯

新型Crocodilus恶意软件窃取Android用户加密钱包密钥

颁布功夫 2025-03-31

1. 新型Crocodilus恶意软件窃取Android用户加密钱包密钥

3月30日，新发现的Android银行恶意软件"Crocodilus"通过整合社会工程学攻击与高级渗入技术，展示出对加密钱币钱包及金融账户的严沉威胁。该恶意软件利用专有植入器绕过Android 13及以上版本的安全机造，通过恶意网站、社交诓骗或第三方利用商店执行初始习染。其攻击链的主题在于诱导用户泄露加密钱包的"种子短语"，攻击者通过伪造系统忠告界面，督促用户在12幼时内备份钱包密钥，实则利用辅助职能服务纪录用户输入信息，进而齐全节造数字资产。技术分析显示，Crocodilus具备齐全的RAT（远程接见木马）职能，可执行23项设备节造指令，蕴含拦截短信、篡改认证器截图窃取双成分令牌、覆盖屏幕界面盗取银行凭证等。其特殊能力在于激活黑屏静默模式暗藏攻击行为，同时滥用辅助职能服务突破无阻碍权限限度。当前攻击指标集中于土耳其和西班牙的金融用户，但�？榛杓瓢凳酒渚弑讣本缋┐蠊セ髅娴那绷�。安全专家建议用户应严格遵循官方利用商店下载准则，维持Play Protect实时防护，并对要求提供敏感信息的异常系统提醒维持警惕。

https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/

2. Oracle Health旧服务器遭入侵致美多家医院患者数据泄露

3月28日，驰名医疗信息化服务商Oracle Health（前身为Cerner）确认其遗留服务器遭未授权接见，导致多家美国医疗机构患者数据泄露。据调查，攻击者利用泄露的客户凭证于2025年1月入侵未迁徙至Oracle Cloud的旧版Cerner服务器，窃取了可能蕴含电子健全纪录（EHR）的敏感信息。只管Oracle在私密通知中仅表述为"部门数据受影响"，但多个新闻源证实患者信息确已被盗。这次事务露出Oracle在�；χ弥械耐鞫炔患埃菏苡跋煲皆菏盏降耐ㄖ∪⊥ǔ０字蕉枪俜叫偶�，且公司未公开认可安全违规。更引发关注的是，威胁行为者"安德鲁"通过明网网站执行勒索，要求数百万美元加密钱币以阻止数据公开，其攻击手法与已知勒索团伙无关联。医疗机构被迫自行评估是否违反HIPAA律例并承�；颊咄ㄖ鹑�，而Oracle仅提供有限协助模板和用度赔偿。技术细节显示，攻击者将盗取数据转移至远程服务器，其作案手法与近期Oracle Cloud结合单点登录（SSO）服务器遭入侵事务存在潜在关联。此前威胁者曾宣称窃取600万条LDAP认证数据，只管Oracle官方否定，但客户验证样本证实数据有效性。安全专家指出，Oracle在处置两起事务中的信息封关战术，可能加剧医疗客户在合规应对和患者信赖沉建中的困境。

https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/

3. Grandoreiro木马再发全球垂钓攻击，假装税务窃取金融数据

3月28日，网络安全公司Forcepoint近期颁布的威胁谍报显示，持久活跃的Grandoreiro银行木马正通过新型网络垂钓攻势对全球金融系统组成严沉威胁。该恶意软件自2016年初次现身巴西后，逐步将攻击领域扩大至墨西哥、葡萄牙、西班牙等拉美及欧洲国度，并在2024年进一步将指标锁定亚洲金融机构，形成覆盖1700家银行及276个加密钱包的全球攻击网络。值得关注的是，Grandoreiro选取"恶意软件即服务"（MaaS）贸易模式运营，其背后的Tetrade犯罪集团即便在2021年与2024年屡次法律进攻中成员遭捕，仍持续更新攻击手法。最新攻击活动利用OVHcloud基础设施假装税务�？钔ㄖ�，通过Mediafire平台分发的PDF文档加载恶意载荷，受害者收到的混合型Visual Basic剧本与虚伪Delphi可执行文件，可窃取账户凭证并通过加密压缩文件躲避安全检测。技术层面，该木马展示出高度�？榛墓セ魈氐悖褐葱泻蟛唤銮匀∮没局�，还会扫描比特币钱包蹊径并与攻击者节造的contaboserver[.]net子域名成立C&C通讯，通过频仍更换子域名域名来逃避追踪。Forcepoint出格强调，攻击者正利用合法托管服务Contabo的诺言执行犯罪，凸显了网络犯罪链条中基础设施滥用的新趋向。

https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/

4. Twitter(X)涉嫌内部人员操作导致28亿幼我资料数据泄露

3月29日，社交媒体平台X（原Twitter）遭逢史上最大规模用户数据泄露事务，涉及高达28亿用户信息，但该公司至今未作官方回应。安全社区Breach Forums上，用户ThinkingOne颁布申明称，这次泄露源于X公司裁员期间某员工的不满行为，并提供了蕴含400GB原始数据的证据。这次事务与2023年泄露形成鲜明对比。2023年龄务涉及2.09亿用户，重要露出电子邮件、用户名等公开信息，X公司其时以"无敏感数据"为由淡化影响。而2025年泄露虽不含电子邮件，却蕴含用户ID、账户创建日期、地理地位、推文汗青等动态元数据，内容构建了用户行为的全维度画像。值妥贴心的是，ThinkingOne将两次泄露数据归并天生34GB数据集，导致公家误判2025年泄露蕴含邮件信息。现实上，邮件数据仅来自2023年龄务。这种混合操作放大了事务影响，引发对数据齐全性的质疑。关于28亿用户的异常数字，安全专家指出可能存在多沉统计误差：蕴含已删除账户、机械人账号、API服务账号等非真实用户实体，或是汗青数据叠加导致沉复计数。此表，ThinkingOne的数据起源仍存疑，其身份更左袒数据分析师而非传统黑客，其获取蹊径可能涉及内部泄密或复杂的数据聚合。

https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/

5. 山姆会员店调查Clop勒索软件，零日缝隙威胁数据安全

3月28日，沃尔玛旗下仓储零售巨头山姆会员商店（Sam's Club）正面对Clop勒索软件团伙的入侵指控，该组织已在其暗网泄密平台颁布有关条款。作为全美占有600余家门店、海表覆盖中墨两国的仓储连锁企业，山姆占有230万员工及843亿美元年交易额，其信息资产价值使其成为网络犯罪的高价值指标。山姆讲话人证实已启动安全事务调查，强调"客户数据安满是首要关切"。只管企业未披露技术细节，但Clop团伙的指控模式显示其惯用零日缝隙执行供给链攻击——今岁首该团伙已利用Cleo文件传输软件的未披露缝隙（CVE-2024-50623）执行大规模数据窃取，导致西部同盟银行等4000余家机构中招。值得关注的是，Clop这次攻击与去年针对Accellion FTA等文件传输系统的零日缝隙利用千篇一律，反映出其对关键基础设施的精准进攻战术。而山姆并非初次遭逢安全�；�2020年曾产生凭证填充攻击，迫使企业沉置数万客户密码，其时公司强调系表部垂钓活动所致而非系统被突破。当前调查焦点在于确认Clop是否成功渗入山姆系统，以及是否利用Cleo缝隙执行攻击。鉴于山姆会员数据蕴含消费纪录等敏感信息，潜在泄露风险可能引发大规模诓骗及合规风险。

https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/

6. Morphing Meerkat垂钓即服务利用DoH与MX纪录躲避检测

3月28日，网络犯罪领域近期浮现的"Morphing Meerkat"垂钓即服务（PhaaS）平台，展示出高度精密的攻击技术链。该组织自2020年起持续活跃，通过DNS over HTTPS（DoH）加密和谈与DNS邮件互换（MX）纪录查问构建动态攻击基础设施，成功躲避传统安全监测。钻研显示，该团伙运营着蕴含114个品牌仿冒模板的垂钓工具包，利用iomart和HostPapa的SMTP服务分发多说话垂钓邮件。攻击邮件选取"账户停用"等垂危主题，共同发件人地址伪造技术，诱导受害者点击恶意链接。后续攻击链经过精心设计的盛开沉定向蹊径，涉及被入侵的WordPress站点、虚伪域名及免费托管服务，最终通过Google/Cloudflare的DoH服务加载垂钓页面。技术突破体此刻其双沉躲避战术：一方面，DoH加密查问使DNS流量分析失效；另一方面，实时解析受害者邮箱域的MX纪录，动态天生与其邮件服务商匹配的垂钓页面。攻击者甚至设置"密码谬误"虚伪提醒，诱骗用户沉复提交凭证，并通过AJAX要求与PHP剧本即时回传数据，辅以Telegram机械人实现实时数据转发。防御分析指出，企业应加强DNS层管控，限度非业务有关的DoH通讯，阻断与告白技术、文件共享等高风险基础设施的交互。

https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研