Vultur 银行恶意软件伪装成 McAfee Security 应用程序

首页 > 清静研究 > 清静转达 > 清静简讯

Vultur 银行恶意软件伪装成 McAfee Security 应用程序

宣布时间 2024-04-01

1. Vultur 银行恶意软件伪装成 McAfee Security 应用程序

3月30日，清静研究职员发明了 Android 版 Vultur 银行木马的新版本，其中包括更先进的远程控制功效和刷新的规避机制。研究职员于 2021 年 3 月首次纪录了该恶意软件，并在 2022 年底发明该恶意软件通过植入应用程序在 Google Play 上撒播。2023 年底，移动清静平台 Zimperium 将 Vultur 列入年度十大最活跃银行木马之列，并指出其中 9 个变种针对 15 个国家/地区的 122 个银行应用程序。一种新的、更具规避性的 Vultur 版本通过一种混淆攻击撒播给受害者，这种攻击依赖于短信垂纶（短信网络垂纶）和电话，诱骗目的装置一个版本的 Vultur。伪装成 McAfee Security 应用程序的恶意软件。Vultur 最新的熏染链始于受害者收到一条短信，提醒未经授权的生意，并指示拨打提供的号码追求指导。诈骗者接听电话，说服受害者翻开第二条短信发送的链接，该链接指向提供 McAfee Security 应用程序修改版本的网站。

https://www.bleepingcomputer.com/news/security/vultur-banking-malware-for-android-poses-as-mcafee-security-app/

2. PyPI 暂停新用户注册以阻止恶意软件活动

3月28日，PyPI 是 Python 项目的索引，可资助开发职员查找和装置 Python 包。该存储库拥有数千个可用软件包，关于威胁行为者来说是一个有吸引力的目的，他们经常上传拼写过失或伪造的软件包来危害软件开发职员和潜在的供应链攻击。此类活动迫使 PyPI 管理员今天早些时间宣布暂停所有新用户注册，以镌汰恶意活动。Checkmarx 的一份报告显示，威胁行为者昨天最先向 PyPI 365 上传具有模拟正当项目名称的软件包。这些软件包的“setup.py”文件中包括恶意代码，该代码在装置时执行，试图从远程服务器检索特另外有用负载。为了逃避检测，恶意代码使用 Fernet �？榫傩屑用�，并在需要时动态构建远程资源的 URL。最终的有用负载是一个具有长期性功效的信息窃取程序，其目的是存储在网络浏览器中的数据，例如登录密码、cookie 和加密钱币等。

https://www.bleepingcomputer.com/news/security/pypi-suspends-new-user-registration-to-block-malware-campaign/?&web_view=true

3. 英国塞拉菲尔德核电站因网络清静故障被起诉

3月29日，英国自力核清静羁系机构宣布，将起诉管理塞拉菲尔德核电站的公司，指控其“在 2019 年至 2023 年头的四年时代涉嫌信息手艺清静犯法”。现在尚不清晰国有塞拉菲尔德有限公司的高级管理职员是否碰面临指控。凭证2003 年《核工业清静条例》，被治罪的小我私家可面临最高两年的羁系。正如英国首席核监察员去年的年度报告所披露的那样，塞拉菲尔德此前因其网络清静缺陷而成为羁系机构增强关注的焦点。与此同时，在英国运营数座核电站的法国电力公司也受到了类似步伐。正如英国民用核网络清静战略所述，国家网络清静中心 (NCSC) 威胁评估忠言称，勒索软件“险些一定是最有可能的破损性威胁”。只管工业系统设计有多个故障清静装置来避免放射性事故，但对核电站使用的 IT 系统的勒索软件攻击可能会扰乱其运行。塞拉菲尔德的核反应堆于 2003 年关闭，但这个重大的综合体仍然是欧洲最大的核电站，ONR 将其形貌为“天下上最重大、最危险的核电站之一”。

https://therecord.media/sellafield-site-prosecution-nuclear-facility-cybersecurity

4. 针对印度国防和能源部分的垂纶攻击

3月29日，EclecticIQ 网络清静研究职员发明了一项名为“Operation FlightNight”的网络特工活动，目的是印度政府实体和能源公司。攻击者可能是由国家资助的，他们使用开源信息窃取程序 HackBrowserData 的修改版原来窃取敏感数据。EclecticIQ 发明攻击者使用盛行的通讯平台 Slack 通道作为渗透点。攻击者乐成渗透到多个认真通讯、IT 和国防的政府机构。别的，私营能源公司也受到损害，有关财务文件、员工信息、甚至石油和自然气钻探活动的详细信息被盗。高达 8.81 GB 的数据被泄露，可能有助于未来的入侵。攻击者使用了一种技巧来让受害者装置恶意软件。他们发送伪装成印度空军约请的电子邮件。这些电子邮件包括一个 ISO 文件，该文件似乎是无害的存档。当受害者翻开ISO文件时，它现实上启动了一个伪装成PDF文档的快捷方法文件（LNK）。单击 LNK 文件会在不知不觉中激活恶意软件。然后，恶意软件会窃取神秘文档、私人电子邮件缓和存的网络浏览器数据。

https://gbhackers.com/weaponized-air-force-invitation-pdf-indian-defense-energy/

5. Linux 误差可能导致用户密码泄露和剪贴板挟制

3月28日，研究职员发明Linux 操作系统中的util-linux软件包的wall下令中保存误差，可能导致非特权攻击者窃取密码或更改受害者的剪贴板。该清静问题被追踪为CVE-2024-28085，被称为 WallEscape，并且在已往 11 年中一直保存于该软件包的每个版本中，直到最近宣布的2.40。只管该误差是攻击者怎样诱骗用户提供管理员密码的一个有趣示例，但使用该误差可能仅限于某些情形。攻击者需要会见已经有多个用户通过终端同时毗连的 Linux 服务器。WallEscape 影响“wall”下令，该下令通常在 Linux 系统中用于向登录到统一系统（例如服务器）的所有用户的终端广播新闻。由于在通过下令行参数处置惩罚输入时未准确过滤转义序列，因此非特权用户可以使用转义控制字符使用该误差在其他用户的终端上建设虚伪的 SUDO 提醒符，并诱骗他们输入管理员密码。研究职员指出，这两种情形在 Ubuntu 22.04 LTS (Jammy Jellyfish) 和 Debian 12.5 (Bookworm) 上都保存，但在 CentOS 上不保存。

https://www.bleepingcomputer.com/news/security/decade-old-linux-wall-bug-helps-make-fake-sudo-prompts-steal-passwords/?&web_view=true

6. 马萨诸塞州康健包管公司数据泄露影响 280 万人

3月29日，马萨诸塞州第二大康健包管公司 Point32Health 透露，凌驾 280 万人的小我私家信息在2023 年 4 月的勒索软件攻击中被盗。此次攻击影响了与 Point32Health 的哈佛 Pilgrim 医疗保健品牌相关的系统，包括为哈佛 Pilgrim 医疗保健商业和 Medicare Advantage Stride 妄想提供服务的系统，以及“用于为会员、账户、经纪人和提供商提供服务”的系统。视察发明，有迹象批注数据在 2023 年 3 月 28 日至 2023 年 4 月 17 日时代从哈佛 Pilgrim 系统中被复制和获取。被盗信息包括姓名、地址、出生日期、电话号码、社会清静号码、康健包管账户信息、财务账户信息、病史、诊断和治疗信息等。

https://www.securityweek.com/massachusetts-health-insurer-data-breach-impacts-2-8-million/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究