Cuckoo macOS恶意软件可控制Mac并窃取密码

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Cuckoo macOS恶意软件可控制Mac并窃取密码

宣布时间 2024-05-08

1. Cuckoo macOS恶意软件可控制Mac并窃取密码

5月7日，黑客正在使用新的 Mac 恶意软件对运行 Apple Silicon 的新型 Mac 以及基于 Intel 的旧 Mac 提倡攻击。据《黑客新闻》报道，Kandji 的宁静研究人员将这种恶意软件称为 Cuckoo。除了针对较新和较旧的 Mac 电脑外，Cuckoo 的与众差异之处还在于它的行为类似于信息窃取恶意软件和间谍软件的混合体。在一篇博客文章中，Kandji 的 Adam Kohler 和 Christopher Lopez 解释说，他们在恶意软件跟踪网站 VirusTotal 上发现了一个以前未检测到的恶意 Mach-O 二进制文件，其名称为“DumpMedia Spotify Music Converter”。然后，他们在网上查找该法式的名称，发现该法式是从一个名为 dumpmedia[.]com 的网站分发的，该网站提供多个应用法式，可以资助用户将流媒体服务中的音乐转换为 MP3 文件。

https://news.hitb.org/content/new-cuckoo-macos-malware-can-take-over-all-macs-and-steals-your-passwords-too

2. 研究团队演示针对所有VPN法式的攻击TunnelVision

5月7日，研究人员设计了一种针对几乎所有虚拟专用网络应用法式的攻击，迫使它们在加密隧道之外发送和接收部门或全部流量，旨在�；て涿庠饪交蚋亩�。研究人员将其攻击命名为 TunnelVision，将传入和传出的互联网流量封装在加密隧道中并隐藏用户的 IP 地址。研究人员认为，当所有 VPN 应用法式连接到恶意网络时，它都市影响它们，而且除了当用户的 VPN 在 Linux 或 Android 上运行时之外，没有其他要领可以防止此类攻击。他们还体现，他们的攻击技术可能自 2002 年以来就已成为可能，而且从那时起就已经被发现并在野外使用。一段视频演示解释道，TunnelVision 的效果是“受害者的流量现在已被揭开并直接通过攻击者进行路由”。“攻击者可以读取、删除或修改泄露的流量，而受害者则保持与 VPN 和互联网的连接。”

https://news.hitb.org/content/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose

3. 伪装成证书的 LNK 文件分发 RokRAT 恶意软件

5月7日，AhnLab宁静情报中心（ASEC）已确认连续流传异常巨细的快捷方式文件（*.LNK），用于流传后门类型的恶意软件。最近确认的快捷方式文件（*.LNK）被发现是针对韩国用户，特别是与朝鲜有关的用户。确认的LNK文件名如下：国家信息学院第八期综合课程证书（最终）.lnk、门禁名册2024.lnk、东北项目（美国国会研究服务处（CRS 陈诉）.lnk和设施清单.lnk。已确认的LNK文件包罗通过CMD执行PowerShell的命令，其类型与去年宣布的“RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)” [1]中发现的类型类似。关于这种类型的一个值得注意的事实是，它在 LNK 文件中包罗合法文档文件、脚本代码和恶意 PE 数据。

https://asec.ahnlab.com/en/65076/

4. 2023年第三方造成的数据泄露增加了68%

5月7日，近年来供应链违规事件一直呈上升趋势。凭据 Verizon 最新的数据泄露视察陈诉 (DBIR)，近几个月来这一增长尤为急剧。2023 年所有违规行为中约有 15% 涉及第三方，比 2022 年的 9% 显着增加。不外，这些数字与会计和攻击的关系同样重要。事实上，被利用的漏洞是 DBIR 供应链指标中最常见的事件记录和事件共享 (VERIS) 行为词汇，其次是后门/命令与控制 (C2) 和勒索。Verizon 威胁情报副总监 Alex Pinto 体现：去年，在勒索软件领域，我们看到，无论是自己研究还是购置，[威胁行为者]已经掌握了如此多的零日漏洞。对于 DBIR 团队来说，解决错误不仅仅是在错误泛起时进行修补。这是关于组织如何选择供应商并与其合作的问题。没有组织可以阻止他们使用的软件中的每个潜在漏洞，但供应商确实“泄漏”了某些可能表明其价值的信号。

https://www.darkreading.com/cyber-risk/supply-chain-breaches-up-68-yoy-according-to-dbir

5. Tinyproxy严重漏洞导致凌驾5万台主机可执行远程代码

5月6日，90310 台主机中凌驾 50% 被发现在互联网上袒露了Tinyproxy 服务，该服务容易受到 HTTP/HTTPS 署理工具中未修补的严重宁静漏洞的影响。凭据 Cisco Talos ，该问题的编号为CVE-2023-49606，CVSS 评分为 9.8 分（满分 10 分），该问题将其描述为影响版本 1.10.0 和 1.11.1 的释放后使用错误。Talos在一份通告中体现：特制的 HTTP 标头可能会触发先前释放的内存的重用，从而导致内存损坏并可能导致远程代码执行。攻击者需要发出未经身份验证的 HTTP 请求才气触发此漏洞�；痪浠八�，未经身份验证的威胁加入者可以发送特制的HTTP 连接标头来触发内存损坏，从而导致远程代码执行。凭据攻击面管理公司 Censys 共享的数据，截至 2024 年 5 月 3 日，在向公共互联网果然 Tinyproxy 服务的 90,310 台主机中，其中 52,000 台（约 57%）运行着存在漏洞的 Tinyproxy 版本。大多数可果然访问的主机位于美国（32,846）、韩国（18,358）、中国（7,808）、法国（5,208）和德国（3,680）。

https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html

6. 俄罗斯 BTC-e 加密货币交易所运营商认可洗钱罪

5月6日，凭据美国司法部的一份声明，曾经是世界上最大的虚拟货币交易所之一的俄罗斯运营商 BTC-e 认可加入洗钱计划。44 岁的亚历山大·文尼克 (Alexander Vinnik) 在 2011 年至 2017 年期间运营 BTC-e，后来该服务被执法部门关闭。在此期间，该交易所处置了凌驾 90 亿美元的交易，并为全球凌驾 100 万用户提供服务，其中包罗众多美国客户。凭据法庭文件，作为非法活动的一部门，Vinnik 通过 BTC-e 造成了至少 1.21 亿美元的损失。他还在全球范围内设立了众多空壳公司和金融账户，以允许 BTC-e 无需将该平台注册为货币服务业务即可运营。应美国要求，文尼克最初于 2017 年在希腊被捕。2020 年，他被引渡到法国，当地法院指控他入侵数千个电子邮件帐户并向其所有者勒索钱财。随后，他被遣返回希腊，然后被引渡到美国。与此同时，俄罗斯还要求希腊政府将文尼克遣送回国，以指控他犯有较小的欺诈罪。

https://therecord.media/btce-cryptocurrency-exchange-alexander-vinnik-money-laundering-guilty-plea

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究