尽管苹果一直在警告侧载应用程序的危险性，并坚持对上架 App Store 的应用展开严格的审查。但由于 TestFlight 和 WebClips 这两项功能的存在，越来越多的恶意软件开发者正在积极利用这两大“官方漏洞”。比如欺诈者可忽悠 iPhone / iPad 用户侧带有恶意软件的应用程序，进而窃取加密货币、账户凭证等敏感信息，或开展其它不为人知的恶意活动。   通过严格的审查，这家库比蒂诺科技巨头很好地保证了 App Store 的软件质量和用户体验。 但若某恶意应用可在未通过安全审查的情况下轻松潜入 iPhone 或 iPad，后果就不堪设想了。 安全公司 Sophos 在一篇帖子中指出，通过推送虚假的加密货币 App，近期冒头的 CryptoRom 活动，正在将魔爪伸向毫无戒备的 iOS 和 Android 用户。 长期以来，Android 系统一直有开放“侧载”的选项。在提供极大自由度的同时，此举也让小白用户面临着相当大的恶意软件风险。 Sophos 指出，CryptoRom 恶意软件活动严重依赖于 TestFlight 功能来传播，该渠道允许 iOS 用户下载并安装尚未通过 App Store 审核的应用程序。 在道高一尺魔高一丈的网络安全攻防战中，诈骗者们绝对不会轻易放过各种漏洞。 除了伪装加密货币交易所，他们还丧心病狂地通过 TestFlight 测试通道来忽悠 iOS 用户去安装恶意软件。一旦在受害者的设备上被顺利安装，推送带有恶意软件的应用程序，也就轻而易举了。 此外 CryptoRom 的幕后黑手，还有更加可怕的第二种手段 —— 利用苹果提供的 WebClips 功能。通过将网页链接直接添加到 iPhone 主屏，诈骗者可轻易将链接伪装成来自合法服务或平台的普通 App 。 Sophos 指出，目前 CryptoRom 活动正在社交网络、约会网站 / App 上大肆兜售，表明幕后组织者正在积极部署社工策略。作为预防措施，还请 iPhone / iPad 用户千万不要在官方 App Store 渠道之外获取应用程序。     转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248183.htm 封面来源于网络，如有侵权请联系删除

研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件（以破坏关键文件和数据为目的），这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的，他们在周一发布的推文中分享了细节。 据研究人员称，该恶意软件会从连接到被攻击机器的任何驱动器中删除用户数据和分区信息。在 Twitter 上分享的样本代码表明，该恶意软件通过用空字节字符覆盖它们来破坏机器上的文件，使它们无法恢复。 ESET 威胁研究主管 Jean-Ian Boutin 告诉 The Verge：“我们知道，如果擦除起作用，它将有效地使系统失去作用。然而，目前还不清楚这种攻击的整体影响是什么”。 Boutin 说，到目前为止，被攻击的案件数量似乎不多，ESET 的研究已经观察到一个组织被 CaddyWiper 作为目标。 ESET 的研究先前发现了另外 2 款针对乌克兰电脑的擦除恶意软件。第一个毒株被研究人员称为 HermeticWiper，是在2月23日发现的，即俄罗斯开始军事入侵乌克兰的前一天。另一个被称为 IsaacWiper 的狙击手于2月24日在乌克兰部署。然而，ESET分享的时间线表明，IsaacWiper和HermeticWiper在发布前几个月都在开发中。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247013.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动，攻击者使用Valorant当做诱饵，诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的，因为黑客发现绕过YouTube的新内容提交审核，或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区，这是一款免费的Windows第一人称射击游戏，在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称，这些骗术是安装在游戏中的外挂，以帮助玩家快速精准瞄准敌人，不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎，因为它们可以自动瞄准，玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面，在那里他们会获取一个RAR存档，其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上，这个文件是RedLine 信息窃取程序的副本，RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一，它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码)，Minecraft(帐户凭据，级别，排名)，Steam(客户端会话)，Discord(令牌信息) 在收集了这些信息之后，RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中，并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外，电子游戏中的作弊行为会破坏游戏的乐趣，另外，它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写的，也没有数字签名(所以反病毒警告肯定会被忽略)，而且很多确实是恶意软件。 ASEC的报告包含了最近的一个例子，但这只是恶意下载链接的海洋中的一小部分，它们藏在在YouTube宣传各种各样的免费软件的视频中。 宣传这些工具的视频通常是从其他地方偷来的，并在新创建的渠道上恶意转发，充当诱饵。 即使这些视频下面的评论称赞上传者，并声称该工具如宣称的那样有效，它们也不应该被信任，因为这些很容易被伪造。       消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据，被盗的代码签名证书被用于远程访问未受保护的 PC，其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道，这些证书被用于“开发一种新型恶意软件”，BleepingComputer 将 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 (RAT) 列为通过这种方式部署的一些恶意软件。 代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说，这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名，否则操作系统将拒绝打开文件。 如果某些流氓使用来自英伟达的正版代码签署恶意软件，用户的 PC 可能无法在恶意软件解包，对系统造成严重破坏之前拦截它。 现在，这些代码与 Quasar RAT 一起被用于签署 Windows 驱动程序的证书。VirusTotal 目前显示“46 家安全供应商和 1 个沙箱将此文件标记为恶意文件。” 由于安全研究人员 Kevin Beaumont 和 Will Dormann 的热心报道，BleepingComputer 注意到以下序列号需要注意： · 43BB437D609866286DD839E1D00309F5 · 14781bc862e8dc503a559346f5dcc518 这两个代码实际上都是过期的英伟达签名，但您的操作系统仍会让它们以同样的方式通过。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节，这些设备可以链接到未经身份验证的远程代码执行，且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示，这些问题存在于 TerraMaster 操作系统（TOS）中，“只要知道受害者的 IP 地址，就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统，使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露，上周3月1日发布的 TOS 版本4.2.30中，这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990，与一个名为“ webNasIPS”的组件中的信息泄露案例有关，导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面，第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关，导致出现这样一种情况，即这两个漏洞可以同时出现，以提交一个特别制作的命令来实现远程代码执行。 “总而言之，这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件，另一个是机器时间的信息泄漏，并将其与经过身份验证的操作系统命令注入链接起来，以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击， 与 QNAP 和  ASUSTOR 一样也是受害者，该公司称，它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验，如果有进展，我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明，并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ，以防止未加密文件被加密。     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

利用窃取过来的 NVIDIA 代码，威胁者利用签名证书来签署恶意软件，使其看起来值得信赖，并允许在 Windows 中加载恶意驱动程序。本周，NVIDIA 公司证实，他们遭受了一次网络攻击，使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示，他们已经窃取了 1TB 的数据，并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书，这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。 代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名，以便 Windows 和终端用户能够验证文件的所有者，以及它们是否被第三方篡改过。为了提高 Windows 的安全性，微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。 在 Lapsus$ 泄露了英伟达的代码签名证书后，安全研究人员很快发现，这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本，被盗的证书被用来签署各种恶意软件和黑客工具，如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。 例如，一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal]，而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal]。虽然这 2 个被盗的英伟达证书都已过期，但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service，简称 caa)解决方案，被各种黑客用来提供下一阶段的有效载荷，比如勒索软件。TrickBot似乎正在做出转变，自今年年初以来没有新的活动记录。 Intel 471的研究人员在与The Hacker News分享的一份报告中说，恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变，变化包括与 Emotet 运营商的合作”。 最近一次涉及 TrickBot 的攻击发生在2021年12月28日，但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。 有趣的是，TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ，在执法部门解决恶意软件10个月之后，Emotet 在去年年底死灰复燃。 2021年11月首次观察到的攻击包含一个感染序列，使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道，而在攻击之前，Emotet 经常被用来传递 TrickBot 的样本。 研究人员说: “很有可能，TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除，转而使用其他平台，比如 Emotet。”“毕竟，TrickBot 是一个相对老旧的恶意软件，还没有进行过大规模的更新。” 此外，Intel 471表示，它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中，这再次暗示了幕后重组正在转移到其他平台。 随着 TrickBot 在2021年越来越多地受到执法者的关注，它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。 根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告，Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者，让他们放弃这种恶意软件，转而使用BazarBackdoor 等增强型工具。 研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护，因为剩下的机器人仍然有一些经济价值。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一个P2P的Golang僵尸网络在一年多后重新浮出水面，在一个月内侵入了医疗、教育和政府部门实体的服务器，感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称，这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。” 2021年12月初开始的新一轮攻击，在一个月的时间内加快了速度，感染率增长了10倍，而在2022年1月达到高峰，每天发生500起感染事件。这家网络安全公司表示，他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。 FritzFrog 在2020年8月由 Guardicore 首次记录，详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面，新感染病例大量集中在中国。 安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力，不仅可以感染新的机器，还可以运行恶意的有效负载，比如 Monero crypto miner。” 僵尸网络P2P体系结构使其具有适应性，因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器，而不是单一的集中式主机。更重要的是，僵尸网络的再次出现伴随着其新功能的增加，包括使用代理网络和瞄准 WordPress 服务器。 感染链通过 SSH 传播，植入一个恶意软件有效载荷，然后执行从 c2服务器接收到的指令，运行额外的恶意软件二进制程序，收集系统信息和文件，然后再将它们转移回服务器。 值得注意的是，FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”，但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。 这款恶意软件还包含了其他新特性，包括使用安全复制协议(SCP)将自身复制到远程服务器，使用 Tor 代理链接来掩护输出的 SSH 连接，跟踪 WordPress 服务器进行后续攻击的基础设施，以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。 “封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞，所以它可能是一个蜜罐,”研究人员说。“此外，第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明，操作人员试图逃避侦查和分析。” 包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出，这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。 第二条将恶意软件与中国联系起来的线索是另一起事件，即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分，其操作者于去年9月在中国被捕。 研究人员得出结论: “这些证据虽不确凿，但让我们相信，可能存在与在中国黑客或伪装成中国人的黑客之间的联系。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

昨晚，据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖，公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的，该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政策下让网络犯罪分子已经感到担忧。 Maze 勒索软件于 2019 年 5 月开始运作，并迅速成名，因为他们负责使用现在许多勒索软件运作所使用的数据盗窃和双重勒索战术。在 Maze 于 2020 年 10 月宣布关闭后，他们在 9 月重新命名为 Egregor，后来在成员在乌克兰被捕后，他们消失了。Sekhmet行动在某种程度上是一个例外，因为它在2020年3月启动，而Maze仍在活动。 在 14 个月之后，上述三款勒索软件的解密密钥由一名网名为“Topleak”的用户泄露，他自称是所有三款勒索软件的开发者。 发帖人说，这是一次有计划的泄漏，与最近的执法行动没有关系，这些行动导致服务器被查封，赎金软件的附属公司被逮捕。 “Topleak”表示：“公开解密密钥是因为引起太多的线索，而且大部分都是假的，所以有必要强调这是一次有计划的泄漏，与最近的逮捕和取缔行动没有任何联系”。他们进一步表示，他们的团队成员都不会再回到勒索软件领域，而且他们销毁了勒索软件的所有源代码。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 一个APT攻击黑客组织可能与巴勒斯坦结盟，不怀好意，利用以前没有记录的名为NimbleMamba的植入物，已经开始了一项新的攻击。 企业安全公司 Proofpoint 在一份报告中说，这些入侵利用了一个复杂的攻击链，目标是中东政府、外交政策智囊团和一家国有航空公司。该报告将隐蔽攻击归咎于一个名为 Molerats (又名 TA402)的威胁攻击者。  该APT 组织不断更新他们的恶意软件植入和传播方式，因而臭名昭著。最近它似乎与针对巴勒斯坦和土耳其的人权活动家和记者的间谍攻击有一定联系，在2021年6月曝光的一次攻击中部署了一个叫做  LastConn的后门。 攻击并未停止，背后的攻击者们积极重组武器库，开发了NimbleMamba，这个产品被设计用来取代 LastConn，而LastConn被认为是另一个叫做SharpStage的后门的升级版本，该组织在2020年12月的攻击中使用了这个后门。 “ NimbleMamba 使用护栏来确保所有被感染的受害者都在TA402的目标区域内,”研究人员说，并补充道，这个恶意软件“使用 Dropbox API 来进行命令和控制以及渗透”，表明它被用于“高度针对性的情报收集活动” 另外还使用了一个名为 BrittleBush 的木马，它与远程服务器建立通信，检索 base64编码的命令，以便在受感染的机器上执行。此外，据说这些袭击与上述针对巴勒斯坦和土耳其的恶意活动是同时发生的。 感染序列反映了攻击者用来破坏其目标用了完全相同的技术。鱼叉式网络钓鱼邮件是起点，包含地理链接，指向恶意软件的有效载荷，但只有在收件人在目标区域之一的情况下才可行。如果目标位于攻击半径之外，链接会将用户重定向到一个良性的新闻网站，比如 Emarat Al Youm。 然而，最近在2021年12月和2022年1月的攻击中，攻击者使用了 Dropbox 的网址和攻击者控制的 WordPress 网站来传输包含 NimbleMamba 和 BrittleBush 的恶意 RAR 文件。 这一进展是对手使用云服务(如 Dropbox)发动攻击的最新例证，更不用说那些狡猾的攻击者能够多迅速地对公开披露的入侵方法做出反应，从而创造出一些强有力的、有效的方法，可以突破安全和检测层。 研究人员总结说: “ ta402仍然是一个效率高的攻击者，它通过针对中东的高度有针对性的行动表明了自己的持久性。”“(这两次)攻击表明，Molerats仍然有能力根据情报目标修改攻击链。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文