| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-1924] 作者: 对不起 发表于: [2018-09-15]
本文共 [451] 位读者顶过
研究人员发现黑客建立虚假的Jaxx加密货币钱包网站进行网络钓鱼攻击,通过恶意链接窃取用户虚拟资金的备用凭证。黑客注册了与Jaxx网站相似的域名并且逐行复制其网站内容。用户下载安装钱包时,假网站会显示下载失败,从而避免用户怀疑。与此同时,恶意软件在macOS或Windows系统上以JAR和 .NET app的形式下载到后台。当用户下载钱包的移动版本,恶意软件就会获取合法文件。Windows恶意软件可以将文件泄露到C2服务器,以及下载KPOT Stealer和Clipper。Clipper的目的是监控数字钱包地址的剪贴板窃取信息,macOS JAR文件使用俄语IDE编译,二者都俄罗斯地下论坛上销售,研究人员还发现虚假网站被俄罗斯的VPS供应商托管。[出自:jiwo.org]
https://www.bleepingcomputer.com ... -jaxx-wallet-users/
2 研究人员发现Feedify被注入MageCart恶意代码
客户服务使用的脚本Feedify被黑客入侵,注入了MageCart脚本。MageCart是从电子商务网站窃取信用卡详细信息和其他信息的恶意代码。要使用Feedify服务,电商网站需在其网站添加Feedify JavaScript脚本,一旦脚本被注入恶意代码,所有的访问者都会被加载恶意软件。当研究人员公布了该事件,MageCart就从Feedify脚本中删除了。不久,MageCart很快又被加在脚本的.js文件中。
https://www.bleepingcomputer.com ... on-stealing-script/
3 研究人员发现恶意软件使用PowerShell混淆方法
研究人员表示越来越多的恶意软件开始使用混淆技术从而规避检测,其正在分析的恶意软件文件使用了罕见的PowerShell混淆方法。VBS脚本使用Base64编码来混淆第一层。此VBS脚本通过PowerShell使用一系列命令下载并执行文件。文件“1cr.dat”使用C#中固有的字符串加密方法SecureString,这通常用于加密Microsoft的内置DPAPI应用程序中的敏感字符串。研究人员表示通过串联和变量赋值进行字符串拆分,以及使用引号和随机字母大写,都可以用来躲避反病毒厂商的PowerShell识别。
https://threatvector.cylance.com ... g-securestring.html
4 安全厂商发布基于CobInt恶意软件的活动分析
Cobalt组织在其活动中使用名为CobInt的下载器,研究人员披露后该组织停止使用CobInt作为第一阶段下载器,但七月份的活动中,该下载器又被使用。在8月和9月初发生的几次攻击中,研究人员都发现了CobInt。CobInt是用C编写的下载恶意软件,分为三个阶段:下载主要组件的初始下载程序、主要组件本身以及各种附加模块。通过对三个阶段的详细分析,研究人员发现越来越多的攻击者希望通过不易察觉的下载器在最初感染系统,从而选择用户下载恶意软件。
https://www.proofpoint.com/us/th ... stems-part-3-cobint
5 印度FreshMenu数据泄露影响超11万名客户
印度的在线食品交付平台FreshMenu2016年发生严重的数据泄露事件,影响超过11万名客户。泄露的信息包括客户的姓名、电子邮件地址、电话号码、家庭住址、设备信息和订单历史记录。公司发现数据泄露后选择了隐瞒客户。维护泄露数据的数据库网站HIBP(Have I Been Pwned)披露了这个事件,泄露的数据9月10日添加到HIBP数据库。FreshMenu创始人承认此事并道歉,表示公司将专注于加强其安全性。
https://cyware.com/news/freshmen ... nder-wraps-bf8a5a4d
6 微软发布安全更新修补ALPC零日在内的62个漏洞
微软发布了安全更新,修补了62个漏洞,包括被用于恶意攻击的ALPC零日漏洞,该漏洞被跟踪为CVE-2018-8440。另外三个公开但未被利用的漏洞分别为:System.IO.Pipelines拒绝服务漏洞CVE-2018-8409、脚本引擎内存损坏漏洞CVE-2018-8457、Windows远程执行代码漏洞CVE-2018-8475。修补的62个漏洞中,有17个被评为严重。除了修补自己产品中的缺陷之外,微软还提供了Adobe Flash Player的修复程序。
https://www.bleepingcomputer.com ... -jaxx-wallet-users/
2 研究人员发现Feedify被注入MageCart恶意代码
客户服务使用的脚本Feedify被黑客入侵,注入了MageCart脚本。MageCart是从电子商务网站窃取信用卡详细信息和其他信息的恶意代码。要使用Feedify服务,电商网站需在其网站添加Feedify JavaScript脚本,一旦脚本被注入恶意代码,所有的访问者都会被加载恶意软件。当研究人员公布了该事件,MageCart就从Feedify脚本中删除了。不久,MageCart很快又被加在脚本的.js文件中。
https://www.bleepingcomputer.com ... on-stealing-script/
3 研究人员发现恶意软件使用PowerShell混淆方法
研究人员表示越来越多的恶意软件开始使用混淆技术从而规避检测,其正在分析的恶意软件文件使用了罕见的PowerShell混淆方法。VBS脚本使用Base64编码来混淆第一层。此VBS脚本通过PowerShell使用一系列命令下载并执行文件。文件“1cr.dat”使用C#中固有的字符串加密方法SecureString,这通常用于加密Microsoft的内置DPAPI应用程序中的敏感字符串。研究人员表示通过串联和变量赋值进行字符串拆分,以及使用引号和随机字母大写,都可以用来躲避反病毒厂商的PowerShell识别。
https://threatvector.cylance.com ... g-securestring.html
4 安全厂商发布基于CobInt恶意软件的活动分析
Cobalt组织在其活动中使用名为CobInt的下载器,研究人员披露后该组织停止使用CobInt作为第一阶段下载器,但七月份的活动中,该下载器又被使用。在8月和9月初发生的几次攻击中,研究人员都发现了CobInt。CobInt是用C编写的下载恶意软件,分为三个阶段:下载主要组件的初始下载程序、主要组件本身以及各种附加模块。通过对三个阶段的详细分析,研究人员发现越来越多的攻击者希望通过不易察觉的下载器在最初感染系统,从而选择用户下载恶意软件。
https://www.proofpoint.com/us/th ... stems-part-3-cobint
5 印度FreshMenu数据泄露影响超11万名客户
印度的在线食品交付平台FreshMenu2016年发生严重的数据泄露事件,影响超过11万名客户。泄露的信息包括客户的姓名、电子邮件地址、电话号码、家庭住址、设备信息和订单历史记录。公司发现数据泄露后选择了隐瞒客户。维护泄露数据的数据库网站HIBP(Have I Been Pwned)披露了这个事件,泄露的数据9月10日添加到HIBP数据库。FreshMenu创始人承认此事并道歉,表示公司将专注于加强其安全性。
https://cyware.com/news/freshmen ... nder-wraps-bf8a5a4d
6 微软发布安全更新修补ALPC零日在内的62个漏洞
微软发布了安全更新,修补了62个漏洞,包括被用于恶意攻击的ALPC零日漏洞,该漏洞被跟踪为CVE-2018-8440。另外三个公开但未被利用的漏洞分别为:System.IO.Pipelines拒绝服务漏洞CVE-2018-8409、脚本引擎内存损坏漏洞CVE-2018-8457、Windows远程执行代码漏洞CVE-2018-8475。修补的62个漏洞中,有17个被评为严重。除了修补自己产品中的缺陷之外,微软还提供了Adobe Flash Player的修复程序。
