Vultur 银行恶意软件伪装成 McAfee Security 应用法式

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Vultur 银行恶意软件伪装成 McAfee Security 应用法式

宣布时间 2024-04-01

1. Vultur 银行恶意软件伪装成 McAfee Security 应用法式

3月30日，宁静研究人员发现了 Android 版 Vultur 银行木马的新版本，其中包罗更先进的远程控制功效和革新的规避机制。研究人员于 2021 年 3 月首次记录了该恶意软件，并在 2022 年底发现该恶意软件通过植入应用法式在 Google Play 上流传。2023 年底，移动宁静平台 Zimperium 将 Vultur 列入年度十大最活跃银行木马之列，并指出其中 9 个变种针对 15 个国家/地域的 122 个银行应用法式。一种新的、更具规避性的 Vultur 版本通过一种混合攻击流传给受害者，这种攻击依赖于短信钓鱼（短信网络钓鱼）和电话，诱骗目标安装一个版本的 Vultur。伪装成 McAfee Security 应用法式的恶意软件。Vultur 最新的熏染链始于受害者收到一条短信，提醒未经授权的交易，并指示拨打提供的号码寻求指导。诈骗者接听电话，说服受害者打开第二条短信发送的链接，该链接指向提供 McAfee Security 应用法式修改版本的网站。

https://www.bleepingcomputer.com/news/security/vultur-banking-malware-for-android-poses-as-mcafee-security-app/

2. PyPI 暂停新用户注册以阻止恶意软件活动

3月28日，PyPI 是 Python 项目的索引，可资助开发人员查找和安装 Python 包。该存储库拥有数千个可用软件包，对于威胁行为者来说是一个有吸引力的目标，他们经常上传拼写错误或伪造的软件包来危害软件开发人员和潜在的供应链攻击。此类活动迫使 PyPI 管理员今天早些时候宣布暂停所有新用户注册，以减少恶意活动。Checkmarx 的一份陈诉显示，威胁行为者昨天开始向 PyPI 365 上传具有模仿合法项目名称的软件包。这些软件包的“setup.py”文件中包罗恶意代码，该代码在安装时执行，试图从远程服务器检索特别的有效负载。为了逃避检测，恶意代码使用 Fernet 模块进行加密，并在需要时动态构建远程资源的 URL。最终的有效负载是一个具有持久性功效的信息窃取法式，其目标是存储在网络浏览器中的数据，例如登录密码、cookie 和加密货币等。

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/?&web_view=true

3. 英国塞拉菲尔德核电站因网络宁静故障被起诉

3月29日，英国独立核宁静监管机构宣布，将起诉管理塞拉菲尔德核电站的公司，指控其“在 2019 年至 2023 年初的四年期间涉嫌信息技术宁静犯罪”。目前尚不清楚国有塞拉菲尔德有限公司的高级管理人员是否会面临指控。凭据2003 年《核工业宁静条例》，被治罪的个人可面临最高两年的监禁。正如英国首席核监察员去年的年度陈诉所披露的那样，塞拉菲尔德此前因其网络宁静缺陷而成为监管机构加强关注的焦点。与此同时，在英国运营数座核电站的法国电力公司也受到了类似措施。正如英国民用核网络宁静战略所述，国家网络宁静中心 (NCSC) 威胁评估警告称，勒索软件“几乎肯定是最有可能的破坏性威胁”。尽管工业系统设计有多个故障宁静装置来防止放射性事故，但对核电站使用的 IT 系统的勒索软件攻击可能会扰乱其运行。塞拉菲尔德的核反映堆于 2003 年关闭，但这个庞大的综合体仍然是欧洲最大的核电站，ONR 将其描述为“世界上最庞大、最危险的核电站之一”。

https://therecord.media/sellafield-site-prosecution-nuclear-facility-cybersecurity

4. 针对印度国防和能源部门的钓鱼攻击

3月29日，EclecticIQ 网络宁静研究人员发现了一项名为“Operation FlightNight”的网络间谍活动，目标是印度政府实体和能源公司。攻击者可能是由国家资助的，他们利用开源信息窃取法式 HackBrowserData 的修改版原来窃取敏感数据。EclecticIQ 发现攻击者使用流行的通信平台 Slack 通道作为渗透点。攻击者乐成渗透到多个卖力通信、IT 和国防的政府机构。此外，私营能源公司也受到损害，有关财政文件、员工信息、甚至石油和天然气钻探活动的详细信息被盗。高达 8.81 GB 的数据被泄露，可能有助于未来的入侵。攻击者使用了一种技巧来让受害者安装恶意软件。他们发送伪装成印度空军邀请的电子邮件。这些电子邮件包罗一个 ISO 文件，该文件似乎是无害的存档。当受害者打开ISO文件时，它实际上启动了一个伪装成PDF文档的快捷方式文件（LNK）。单击 LNK 文件会在不知不觉中激活恶意软件。然后，恶意软件会窃取机密文档、私人电子邮件和缓存的网络浏览器数据。

https://gbhackers.com/weaponized-air-force-invitation-pdf-indian-defense-energy/

5. Linux 漏洞可能导致用户密码泄露和剪贴板劫持

3月28日，研究人员发现Linux 操作系统中的util-linux软件包的wall命令中存在漏洞，可能导致非特权攻击者窃取密码或更改受害者的剪贴板。该宁静问题被追踪为CVE-2024-28085，被称为 WallEscape，而且在过去 11 年中一直存在于该软件包的每个版本中，直到最近宣布的2.40。尽管该漏洞是攻击者如何欺骗用户提供管理员密码的一个有趣示例，但利用该漏洞可能仅限于某些情况。攻击者需要访问已经有多个用户通过终端同时连接的 Linux 服务器。WallEscape 影响“wall”命令，该命令通常在 Linux 系统中用于向登录到同一系统（例如服务器）的所有用户的终端广播消息。由于在通过命令行参数处置输入时未正确过滤转义序列，因此非特权用户可以使用转义控制字符利用该漏洞在其他用户的终端上创建虚假的 SUDO 提示符，并诱骗他们输入管理员密码。研究人员指出，这两种情况在 Ubuntu 22.04 LTS (Jammy Jellyfish) 和 Debian 12.5 (Bookworm) 上都存在，但在 CentOS 上不存在。

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/?&web_view=true

6. 马萨诸塞州健康保险公司数据泄露影响 280 万人

3月29日，马萨诸塞州第二大健康保险公司 Point32Health 透露，凌驾 280 万人的个人信息在2023 年 4 月的勒索软件攻击中被盗。此次攻击影响了与 Point32Health 的哈佛 Pilgrim 医疗保健品牌相关的系统，包罗为哈佛 Pilgrim 医疗保健商业和 Medicare Advantage Stride 计划提供服务的系统，以及“用于为会员、账户、经纪人和提供商提供服务”的系统。视察发现，有迹象表明数据在 2023 年 3 月 28 日至 2023 年 4 月 17 日期间从哈佛 Pilgrim 系统中被复制和获取。被盗信息包罗姓名、地址、出生日期、电话号码、社会宁静号码、健康保险账户信息、财政账户信息、病史、诊断和治疗信息等。

https://www.securityweek.com/massachusetts-health-insurer-data-breach-impacts-2-8-million/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究