Dr.Web发现利用Win10 ISO和EFI分区分发Clipper的活动Dr.Web发现利用Win10 ISO和EFI分区分发Clipper的活动

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Dr.Web发现利用Win10 ISO和EFI分区分发Clipper的活动

宣布时间 2023-06-15

1、Dr.Web发现利用Win10 ISO和EFI分区分发Clipper的活动

Dr.Web在6月13日称其在一些盗版Windows 10 ISO中发现了加密货币劫持法式，攻击者通过Torrent tracker分发它们。这个木马被称为Trojan.Clipper.231，可将剪贴板中的加密货币钱包地址替换成攻击者的地址。截至目前，攻击者已乐成窃取了价值约19000美元的加密货币。该活动还使用EFI（可扩展固件接口）分区作为Clipper组件的宁静存储空间，旨在绕过恶意软件检测。研究人员建议不要下载盗版操作系统。

https://news.drweb.com/show/?i=14712&lng=en

2、南非开发银行透露其服务器和文件等被Akira团伙加密

据媒体6月14日报道，南非开发银行（DBSA）遭到了Akira团伙的勒索攻击。这家国有银行透露，攻击始于5月21日左右，其服务器、日志文件和文件被加密。部门信息可能已被非法访问，涉及董事和股东的个人信息，与DBSA存在商业或雇佣关系的详细信息，以及利益相关者的财政信息。目前，该事件仍在视察中，DBSA已经能够恢复其IT系统，并将勒索软件组件从其系统中删除。

https://therecord.media/development-bank-of-southern-africa-akira-ransomware-attack

3、Mandiant宣布UNC3886利用VMware ESXi漏洞的技术细节

6月13日，Mandiant宣布了关于UNC3886利用VMware ESXi中零日漏洞的技术细节。这是VMware Tools的vgauth�？橹械囊桓錾矸菅橹と乒┒矗–VE-2023-20867），已于6月13日被修复。此次活动中，攻击者利用这一漏洞在目标ESXi主机的guest VM上部署VirtualPita和VirtualPie后门，并将权限升级到root。研究人员还发现第三种恶意软件变种(VirtualGate)作为一个memory-only dropper，对被劫持虚拟机上的第二阶段DLL payload进行去混淆处置。

https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass

4、Spotify因违反GDPR被瑞典政府�？�540万美元

据6月14日报道，音乐流媒体公司Spotify因未正确见告用户其收集的数据是如何被使用的，被瑞典隐私�；ぞ�(IMY)�？�5800万瑞典克朗（约合540万美元）。该监管机构指出，凭据GDPR的规定，用户有权了解公司拥有关于个人的哪些数据以及这些数据的使用方式。但由于Spotify提供的信息一直不明确，个人很难了解他们的数据是如何被处置的，也很难检查处置是否合法。IMY还称，总的来说，该问题被认为是较低严重性的。Spotify体现计划对该决定提出上诉。

https://www.securityweek.com/spotify-fined-5-million-for-breaching-eu-data-rules/

5、研究人员果然WP支付插件中的漏洞CVE-2023-34000

媒体6月13日称，研究人员披露了WordPress的WooCommerce Stripe Gateway插件中的漏洞（CVE-2023-34000）。这是电商网站的支付网关插件，目前有凌驾900000的安装量。该漏洞是未经身份验证的不宁静直接工具引用(IDOR)漏洞，会影响7.4.0及以下版本，已于5月30日被修复。漏洞源于订单工具的不宁静处置以及插件的javascript_params和payment_fields函数中缺乏适当的访问控制措施，可被攻击者用来绕过授权并访问敏感信息。

https://patchstack.com/articles/unauthenticated-idor-to-pii-disclosure-vulnerability-in-woocommerce-stripe-gateway-plugin/

6、Bolster披露针对上百个服装品牌的大规模钓鱼活动

6月13日，Bolster披露针对上百个服装品牌的大规模钓鱼活动，旨在窃取目标的账户凭证和财政信息。该活动自2022年6月以来一直活跃，在2022年11月至2023年2月到达峰值。钓鱼网站冒充的品牌包罗耐克、彪马、万斯、阿迪达斯、哥伦比亚、和卡西欧等，Bolster称已识别出3000多个活跃的域名。与此活动相关的域名被追溯到自主系统编号AS48950，由两个特定的互联网服务提供商Packet Exchange Limited和Global Colocation Limited托管。

https://bolster.ai/blog/brand-impersonation-scam

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究