一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关，其目的是窃取凭证并提供其他有效载荷。 拉丁美洲网络安全公司 Metabase Q 的 Ocelot 团队在与黑客新闻分享的一份报告中表示，这项活动于 2022 年 8 月开始，目前正在进行中。 certutil 方法使 Mispadu 能够绕过各种安全软件的检测，并从超过 17,500 个独特的网站获取超过 90,000 个银行账户凭证，其中包括许多政府网站：智利 105 个，墨西哥 431 个，秘鲁 265 个。 Mispadu（又名 URSA）于 2019 年 11 月首次被 ESET记录，描述了其进行货币和凭据盗窃以及通过截屏和捕获击键充当后门的能力。 “他们的主要策略之一是破坏合法网站，搜索易受攻击的 WordPress 版本，将它们变成他们的命令和控制服务器，从那里传播恶意软件，过滤掉他们不想感染的国家，丢弃不同类型的基于被感染国家的恶意软件。”研究人员 Fernando García 和 Dan Regalado 说。 据说它还与其他针对该地区的银行木马有相似之处，例如Grandoreiro、Javali和Lampion。涉及Delphi 恶意软件的攻击链利用电子邮件消息敦促收件人打开虚假的逾期发票，从而触发多阶段感染过程。 如果受害者打开通过垃圾邮件发送的 HTML 附件，它会验证该文件是从桌面设备打开的，然后重定向到远程服务器以获取第一阶段的恶意软件。 RAR 或 ZIP 存档在启动时旨在利用流氓数字证书（一个是 Mispadu 恶意软件，另一个是 AutoIT 安装程序）通过滥用合法的 certutil 命令行实用程序来解码和执行木马。 Mispadu 能够收集受感染主机上安装的防病毒解决方案列表，从 Google Chrome 和 Microsoft Outlook 窃取凭据，并促进检索其他恶意软件。 这包括一个混淆的 Visual Basic Script dropper，用于从硬编码域下载另一个有效载荷，一个基于.NET 的远程访问工具，可以运行由参与者控制的服务器发出的命令，以及一个用 Rust 编写的加载器，再反过来，执行 PowerShell 加载程序以直接从内存运行文件。 更重要的是，该恶意软件利用恶意覆盖屏幕来获取与在线银行门户和其他敏感信息相关的凭据。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/XWi07oilpA2ind0tlS8J_w 封面来源于网络，如有侵权请联系删除

近日，针对安卓系统的银行木马Xenomorph发布第三个版本，攻击力大增，其全新的自动转账系统（ATS）框架可以窃取全球400多家银行的用户账户。更可怕的是，该木马可以绕过包括身份验证器在内的多因素认证方法。 最先进、最危险的木马之一 2022年2月，ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本，累计下载量超过了5万次。 Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击，并滥用可访问性服务权限来执行通知拦截，以窃取一次性口令。 整个2022年，Xenomorph的作者“Hadoken Security”都在持续开发，但新版本的分发量很少。 虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构，更加模块化和灵活，但是“雷声大雨点小”，在野外只有短暂的测试活动。 但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕，该版本比以前的版本更加强大和成熟，能够自动窃取数据，包括凭据、账户余额、执行银行交易和完成资金转账。 “有了这些新功能，Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化，这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。 通过MaaS模式挣钱 ThreatFabric报告称，Hadoken很可能计划通过MaaS（恶意软件即服务）平台向网络犯罪组织出售Xenomorph，并且还推出一个推广新版恶意软件的网站（下图）。   目前，Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发，冒充货币转换器，并在用户安装恶意负载后切换到Play Protect图标。 威胁全球400多家银行 最新版本的Xenomorph针对全球400家金融机构，主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 目标银行的国家分布 数据来源：ThreatFabric Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。 ThreatFabric在其报告（链接在文末）的附录中列出了所有400家目标银行。 此外，Xenomorph还可攻击多达13个加密货币钱包，包括币安、BitPay、KuCoin、Gemini和Coinbase。 自动绕过多因素认证 新版Xenomorph最引人注目的新功能是ATS框架，能为网络犯罪分子自动提取受害者账户凭据，检查账户余额，进行交易以及从目标应用程序中窃取资金，而无需执行远程操作。操作员只需发送JSON脚本，Xenomorph将其转换为操作列表，并在受感染的设备上自主执行操作。 “Xenomorph的ATS执行引擎在竞争中脱颖而出，这主要是因为ATS脚本支持添加大量可编程操作，此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。 Xenomorph的ATS框架最危险也令人印象深刻的功能是：能够记录第三方身份验证应用程序的验证码，从而绕过MFA（多因素身份验证）保护。 Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码  来源：ThreatFabric 如今，全球越来越多的银行开始放弃不安全的短信多因素认证，转而建议客户使用身份验证器程序，但Xenomorph的新版本使得（同一部安卓手机安装的）身份验证器也变得不安全了。 Cookies窃取器 除此之外，新版Xenomorph还包含一个cookie窃取器，可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。 窃取器会启动一个浏览器窗口，其中包含启用了JavaScript界面的合法服务的URL，诱骗受害者输入登录详细信息。 通过窃取用户的cookie，攻击者可以劫持受害者的网络会话并接管他们的账户。 安全建议 虽然进入网络犯罪领域仅一年，但Xenomorph已经成为最危险的新恶意软件之一。 随着第三个版本的发布，Xenomorph对全球安卓手机用户的威胁大增。 除了需要降低对Google Play商店的信任外，安卓用户还需要意识到，基于身份验证器的多因素认证也未必靠谱，在安卓手机上已经可以被恶意软件绕过（建议将身份验证器程序和银行客户端程序安装在不同的设备上）。 最后，建议用户采用“最少可用原则”，手机上运行的应用程序数量尽可能少，并且仅安装值得信赖的供应商的应用程序。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/-atuaDQ7_ueOn6ZgAb2m6Q 封面来源于网络，如有侵权请联系删除

2月27日，卡巴斯基公布的《2022 年移动威胁》显示，去年出现了近20万个新型手机银行木马，比前一年增长了 100%，达到了近六年来的最快增幅。 2019-2022卡巴斯基检测到的移动银行木马数量 报告列出了在检出次数中排名前10的手机银行木马，显示名为Trojan-Banker.AndroidOS.Bian.h的木马达到了接近30%的比例。 检测到的次数最多的手机银行木马Top 10 报告也统计了被攻击用户排名前 10 的国家及地区，显示西班牙受到攻击的独立用户最多，而其中 85.90% 的受影响用户是被上述排名第一的 Trojan-Banker.AndroidOS.Bian.h所攻击。 受手机银行木马攻击的用户所在国家/地区Top 10 报告指出，虽然在非官方应用商店最有可能遭遇银行木马，但 Google Play 已经反复充斥着伪装成正常软件的银行木马下载程序，例如Sharkbot、Anatsa/Teaban、Octo/Coper 和 Xenomorph。其中Sharkbot 伪装成一个文件管理器，这种类型的软件能够请求更多系统权限，以安装其他恶意软件包来执行恶意银行木马活动。 在Google Play上伪装成文件管理器的手机银行木马Sharkbot 银行木马旨在窃取手机银行帐户凭证或电子支付详细信息，但它们通常可以重新用于其他类型的数据窃取或安装其他恶意软件，例如Emotet和TrickBot之类臭名昭著的恶意软件变种最初就源于银行木马。 报告认为，银行木马开发的急剧增加表明网络犯罪分子正以移动用户为目标，虽然网络犯罪活动在 2022 年总体趋于平稳，攻击数量在 2021 年有所下降后保持稳定，但也说明网络犯罪分子仍在努力改进恶意软件功能和传播媒介，用户需要警惕官方应用市场和虚假热门程序下载广告中隐藏的恶意木马。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358895.html 封面来源于网络，如有侵权请联系删除

近日，趋势科技发现了一波新的攻击，目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。 经研究人员分析x32dbg.exe有一个有效的数字签名，因此它被错认为是安全的。这让攻击者能够逃避检测，保持持久性，提升权限，并绕过文件执行限制。 该RAT使用DLL侧面加载，如x32dbg调试工具（x32dbg.exe）时，恶意加载自身有效载荷DLL。 攻击者通过修改注册表和创建计划任务来实现持久性，即使在系统重新启动时也能保持访问。 专家报告说，x32dbg.exe被用来投放一个后门，一个UDP shell客户端，收集系统信息，收集主机信息，并创建一个线程来持续等待C2命令，并使用硬编码的密钥来解密C&C通信。 最后，报告总结说，尽管安全技术有所进步，但攻击者继续使用这种技术，因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库，这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358876.html 封面来源于网络，如有侵权请联系删除

外媒黑客新闻报道称，恶意黑客正在利用向日葵（Sunlogin）软件的已知漏洞来部署Silver C2框架，以实施后续入侵活动。 这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心（ASEC）发布。该中心发现，中国远程桌面控制软件向日葵的安全漏洞已遭到利用，攻击者正借此部署各种恶意载荷。 研究人员表示，“恶意黑客不仅使用了Silver后门，还使用了BYOVD（自带易受攻击驱动程序）来破坏安全产品并安装反向shell。” 攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞（CNVD-2022-03672 和 CNVD-2022-10270）打开局面，然后借此传播Silver或其他恶意软件，例如Gh0st RAT和XMRig加密货币采矿程序。 在相关案例中，恶意黑客据称利用向日葵漏洞安装了PowerShell脚本，该脚本又利用BYOVD技术使得系统中已安装的安全软件失效，最后使用Powercat投放了反向shell。 BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名，可获得更高权限并终止反病毒进程。 值得注意的是，趋势科技此前曾经披露过，有攻击者利用原神冲击（Genshin Impact）游戏的反作弊驱动程序（包括mhyprot2.sys）部署勒索软件。 研究人员指出，“目前还不确定，这次是否出自同一批恶意黑客之手，但几个小时之后，日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。” 从调查结果来看，这批黑客打算利用由Go语言编写的合法渗透测试工具Silver，替代以往的Cobalt Strike和Metasploit。 研究人员总结道，“Silver提供必要的分步功能，例如账户信息窃取、内部网络横移以及企业内网越界，跟Cobalt Strike非常相似。”     转自 安全内参，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

微软发现，被称为XorDdos的Linux木马的网络犯罪活动正在增加，该报告发现，在过去六个月中，针对 Linux 端点使用该恶意软件的恶意活动增加了 254%，主要针对云、物联网。 该木马由安全研究组织 MalwareMustDie 于2014年首次发现，以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势，这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上，”Redmond警告说。 为了说明这一趋势，Redmond 指出，在XorDdos恶意软件长达8年的恐怖统治过程中，它已经达到了惊人的水平，感染了无法估量设备。博客没有说。它也没有为 254% 的增长提供任何基线，微软表示要到下周中旬才会拥有它们。 Microsoft 365 Defender 研究团队写道：“由于多种原因，DDoS 攻击本身可能存在很大问题，但此类攻击也可以用作隐藏进一步恶意活动的掩护，例如部署恶意软件和渗透目标系统。” 与Linux僵尸网络同样危险的Windows 僵尸网络 以 Windows 设备为目标的 Purple Fox 恶意软件为例，该恶意软件也在 2018 年被发现。 Guardicore 安全研究人员最近写了一篇关于这个僵尸网络的恶意活动如何自 2020 年 5 月以来跃升 600%，仅在过去一年就感染了 90,000 多台设备的文章。但微软并没有在博客中提到这一点。 本周微软的安全情报团队确实警告过针对Linux和Windows系统的Sysrv moreno-mining僵尸网络的新变种。 XorDdos 如何逃避检测 微软指出该恶意软件使用安全外壳 (SSH) 暴力攻击来控制目标设备。一旦成功找到正确的根凭证组合，它就会使用两种方法之一进行初始访问，这两种方法都会导致运行恶意 ELF 文件——XorDdos 恶意软件。 据研究团队称，该二进制文件是用 C/C++ 编写的，其代码是模块化的。它使用特定的功能来逃避检测。 如上所述，其中之一是基于 XOR 的加密来混淆数据。此外，XorDdos 使用守护进程（这些是在后台运行的进程）来破坏基于进程树的分析。该恶意软件还使用其内核 rootkit 组件隐藏其进程和端口，从而帮助其逃避基于规则的检测。 此外，隐形恶意软件使用多种持久性机制来支持不同的 Linux 发行版，因此它擅长感染一系列不同的系统。 XorDdos和其他针对Linux设备的威胁强调了拥有涵盖众多Linux操作系统发行版的全面功能和完整可见性的安全解决方案的重要性。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/HcUPLGwbtqxLEP9ykws6xg 封面来源于网络，如有侵权请联系删除

在周一发布的联合公告中，美国网络与基础设施安全局（CISA）、联邦调查局（FBI）和财政部指出 —— 被称作 Lazarus Group 的黑客组织，正在使用被植入木马的加密货币应用程序，向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币（NFT）的公司，以及参与其中的个人。 CryptAIS 网站截图 几天前，美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织，与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链，它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段，将黑手伸向了加密货币企业的员工。 公告提醒道：攻击者会发送具有高度针对性的欺诈（钓鱼）邮件，声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”（TraderTraitor），似乎是所谓的“梦想工作”（Dream Job）攻击事件的一个延续。 后者在 2020 年被首次观察到，可知黑客将目光瞄向了国防、航空航天和化工行业的工作者，此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动，黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序，包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck，声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标（IOC）和应对策略、技术与程序（TTP）细节，以敦促区块链和加密货币行业组织加强防御措施。 最后，美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序，可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个新的安卓银行木马通过官方的 Google Play Store 分发，安装量超过50,000次，其目的是针对56家欧洲银行，从受损的设备中获取敏感信息。 这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph，据说它与另一个名为 Alien 的银行木马有很多相同部分，同时在功能方面也与其前身“截然不同”。 公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中，Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外，它具有一个非常详细和模块化的引擎，可以随意使用无障碍服务，这在未来可以提供非常先进的能力，如 ATS。” Alien，一个远程访问木马(RAT)，具备通知嗅探和基于认证的2FA盗窃功能，在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起，发现了其他的Cerberus分支，包括2021年9月的  ERMAC。 跟 Alien 和 ERMAC 一样，Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序，欺骗不知情的受害者安装恶意软件，从而绕过谷歌 Play Store 的安全保护。 值得注意的是，去年11月，一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒，并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。 手机应用市场情报公司 Sensor Tower 的数据显示，“Fast Cleaner”在葡萄牙和西班牙最受欢迎，其软件包名为“ vizeeva.Fast.Cleaner”，目前仍可在应用商店购买。2022年1月底，“Fast Cleaner”首次出现在 Play Store 上。 此外，用户对该应用程序的评论还警告说，“该应用程序含有恶意软件”，并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件，除此之外，它还有一个自我保护系统，所以你不能卸载它。” Xenomorph 还使用了一种经典的策略，即引导受害者授予其无障碍服务特权，并滥用权限进行覆盖攻击，其中，恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕，以窃取凭证和其他个人信息。 此外，它还配备了通知拦截功能，可以提取通过 SMS 接收的双因素身份验证令牌，并获取已安装的应用程序列表，其结果将被提取到远程命令控制服务器。 研究人员表示: “ Xenomorph 的出现再次表明，黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快，犯罪分子开始采用更精细的开发实践来支持未来的更新。”  消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网络安全仍然是一个不断发展的领域，对威胁者和安全专家来说都是如此。尽管如此，最近产生的一个积极因素是，公司更愿意与合作伙伴、专家和更大的社区分享信息，共同应对威胁。这方面的一个例子是，微软与苹果合作修补macOS设备中的”Shrootless”漏洞。微软已经提供了有关一个针对Mac的复杂木马的详细信息。 该木马被称为”UpdateAgent”，早在2020年9月就出现了，是一个相对基本的信息窃取者。然而，从那时起发展到现在，它已经进化了很多，其最近的升级版本实际上已经开始对外”承揽生意”，分发二级有效载荷，如Adload广告软件。微软提醒说，UpdateAgent不断发展的持续渗透方法意味着它在未来的活动中可能会进一步发展，并分发更危险的载荷。 UpdateAgent通常会伪装成用户在其Mac上下载的合法软件。然后，它绕过几个macOS控件，在设备中持续存在。这方面的一个例子是绕过Gatekeeper，原本这一机制是为了确保只有受信任的应用程序可以在计算机硬件上运行。然后，该木马程序利用现有的用户权限来执行恶意活动，之后就会掩盖其踪迹。 微软还指出，UpdateAgent从S3和AWS的Cloudfront下载其恶意的载荷。因此，该公司已与亚马逊合作，删除了一些已知的问题URL。从UpdateAgent在2020年9月首次出现到2021年10月的最新活动，可以从下面的图中看到它的演变。 微软表示，2021年10月的UpdateAgent活动是其迄今为止最复杂的活动之一。该木马以.zip和.pkg格式打包，并通过驱动下载进行传播，但最终结果也包括对Sudoer列表的修改。微软的调查还显示，最新攻击的基础设施是在2021年9月创建的，同时还发现了其他恶意域名。这表明，UpdateAgent正在积极开发，并可能在接下来继续变得更加复杂和危险。 该公司对现有的Adload Adware载荷提供了以下细节分享： 一旦广告软件被安装，它就会使用广告注入软件和技术来拦截设备的在线通信，并通过广告软件运营商的服务器重定向用户的流量，将广告和促销活动注入到网页和搜索结果。更具体地说，Adload利用中间人（PiTM）攻击，通过安装一个网络代理来劫持搜索引擎结果，并将广告注入网页，从而将广告收入从官方网站持有人那里抽走，转给广告软件运营商。 Adload也是一种异常持久的广告软件。它能够打开一个后门，下载和安装其他广告软件载荷，此外还能收集系统信息，并将其发送到攻击者的C2服务器。考虑到UpdateAgent和Adload都有能力安装额外的有效载荷，攻击者可以利用这些载体中的任何一个或两个，在未来的活动中可能向目标系统提供更危险的威胁。 就目前而言，微软有一些针对UpdateAgent的保护建议。对于公众来说，这些建议包括限制对特权资源的访问，只从受信任的来源安装应用程序，部署最新的软件安全更新，以及使用能自动阻止恶意网站的浏览器。 微软希望通过分享所有这些信息，强调不断演变的恶意软件的威胁，以及供应商必须提供的安全解决方案的类型，以保护Windows和非Windows机器。   （消息及封面来源：cnBeta）