网络安全研究人员发现了 Microsoft 的 Windows Smart App Control 和 SmartScreen 中的设计弱点，这些弱点可能使威胁行为者能够在不发出任何警告的情况下获得目标环境的初始访问权限。 智能应用控制 （SAC） 是 Microsoft 在 Windows 11 中引入的一项云驱动的安全功能，用于阻止恶意、不受信任和可能不需要的应用在系统上运行。如果服务无法对应用进行预测，它会检查应用是否已签名或是否具有有效的签名，以便执行。 与 Windows 10 一起发布的 SmartScreen 是一种类似的安全功能，可确定网站或下载的应用程序是否具有潜在的恶意。它还利用基于声誉的方法进行 URL 和应用保护。 “Microsoft Defender SmartScreen 评估网站的 URL，以确定它们是否已知分发或托管不安全的内容，”Redmond 在其文档中指出。 “它还为应用程序提供声誉检查，检查下载的程序以及用于签署文件的数字签名。如果 URL、文件、应用或证书已建立信誉，则用户不会看到任何警告。如果没有声誉，则该项目将被标记为风险较高，并向用户发出警告。” 还值得一提的是，当启用 SAC 时，它会替换和禁用 Defender SmartScreen。 Elastic Security Labs 在与 The Hacker News 分享的一份报告中表示：“Smart App Control 和 SmartScreen 存在许多基本的设计弱点，这些弱点允许在没有安全警告和最少用户交互的情况下进行初始访问。 绕过这些保护的最简单方法之一是使用合法的扩展验证 （EV） 证书对应用程序进行签名，恶意行为者已经利用这种技术来分发恶意软件，正如最近在 HotPage 中所证明的那样。 下面列出了一些可用于检测规避的其他方法： Reputation Hijacking，涉及识别和重新利用具有良好声誉的应用程序以绕过系统（例如，JamPlus 或已知的 AutoHotkey 解释器） Reputation Seeding，涉及使用看似无害的攻击者控制的二进制文件来触发由于应用程序中的漏洞而导致的恶意行为，或者在经过一定时间后触发恶意行为。 Reputation Tampering，涉及更改合法二进制文件（例如计算器）的某些部分以注入 shellcode，而不会失去其整体声誉 LNK Stomping，涉及利用 Windows 快捷方式 （LNK） 文件处理方式中的错误来删除 Web 标记 （MotW） 标签并绕过 SAC 保护，因为 SAC 会阻止带有标签的文件。 “它涉及制作具有非标准目标路径或内部结构的LNK文件，”研究人员说。“当单击时，这些LNK文件被explorer.exe与规范格式修改。这种修改导致在执行安全检查之前删除 MotW 标签。” “基于声誉的保护系统是阻止恶意软件的重要保障，”该公司表示。“然而，像任何保护技术一样，它们也有一些弱点，也可以绕过。安全团队应仔细检查其检测堆栈中的下载内容，而不是仅依赖操作系统原生安全功能在此区域提供保护。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。 网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。 安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。 目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。 LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。 它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。 某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。 Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式’^frame_.+.png$’匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。” 并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。 LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。 它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。 LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为”mu”的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。 此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。 LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”   转自Freebuf，原文链接：https://www.freebuf.com/news/408008.html 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

网络安全公司eSentire 和 Proofpoint 发现，滥用 Clouflare 的 TryCloudflare 免费服务进行恶意软件传播的情况有所增加，涉及多个恶意软件系列。 该攻击方式需要使用 TryCloudflare 创建一个速率限制隧道，该隧道充当管道，通过 Cloudflare 的基础设施将流量从攻击者控制的服务器中继到本地机器。 据观察，利用这种技术的攻击链可传播一系列恶意软件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。 攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件，该压缩文件包含一个 URL 快捷方式文件，可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件，该服务器由 TryCloudflare 托管代理。快捷方式文件会执行下一阶段的批处理脚本，这些脚本负责检索和执行额外的 Python 有效载荷，同时显示托管在同一 WebDAV 服务器上的诱饵 PDF 文档。 eSentire 指出，这些脚本执行的操作包括启动诱饵 PDF、下载额外的恶意有效载荷以及更改文件属性以避免被检测。 据 Proofpoint 称，这些网络钓鱼邮件以英语、法语、西班牙语和德语编写，电子邮件数量从数百到数万不等，目标是世界各地的组织机构。 这些邮件主题涵盖了发票、文件请求、包裹递送和税收等。 虽然该活动被归因于一个相关活动集群，但并未与特定的攻击者或团体联系起来。据电子邮件安全厂商评估，该活动是出于经济动机。 去年，Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况，一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞，利用Cloudflare隧道渗透目标并掩盖其命令与控制（C2）服务器。 此外，由于使用WebDAV和服务器消息块（SMB）进行有效载荷的部署，企业必须将外部文件共享服务的访问权限限制在已知的、允许列表的服务器上。“使用Cloudflare隧道为攻击者提供了一种使用临时基础设施来扩展其攻击的方法，并为及时构建和关闭攻击提供了灵活性，”Proofpoint研究人员Joe Wise和Selena Larson表示。 临时 Cloudflare 实例允许攻击者以一种低成本的方法使用辅助脚本进行攻击，同时限制了检测和删除工作的风险。因为攻击者利用其服务来掩盖恶意行为并通过所谓的“依赖信任的服务”（LoTS） 来增强其运营安全性，Spamhaus 项目呼吁 Cloudflare 审查其反滥用政策。   转自Freebuf，原文链接：https://www.freebuf.com/news/407793.html 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。 趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。 研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。 趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。 攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。 到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。 网络钓鱼导致页面被劫持 此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。 信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。 如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 “业务支持中心 “核实信息的页面。点击屏幕上的 “在此验证您的信息 “链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。 在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。 Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。 然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷–Lumma 窃取程序。 研究人员建议用户应定期更新并使用强大的密码 研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。 企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。 最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。   转自Freebuf，原文链接：https://www.freebuf.com/news/407579.html 封面来源于网络，如有侵权请联系删除

一种拥有超过 10.7万个样本的新型恶意软件，已经针对 Android 设备进行了两年多的攻击，它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据，以进行进一步的恶意活动。 移动安全提供商 Zimperium zLabs 的研究人员发现，这种恶意软件被称为“SMS Stealer”，它背后有着庞大的网络犯罪基础设施，通过动态变化的移动应用程序进行传播，这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。 Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示：“自 2022 年 2 月以来研究人员一直在追踪该窃取程序，到目前为止，该程序已被113 个国家的用户下载，其中印度和俄罗斯位居榜首。” 该活动似乎是组织严密的攻击者出于经济动机而推动的，他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。 这种不断演变的活动十分危险，因为它可以逃避“传统的基于签名的检测方法”，这使得防御者很难发现，“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。 他说：“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序，该威胁行为者具有很高的复杂性和适应性。” 事实上，研究人员分析的恶意软件样本中，有超过9.9万个是未知的，在公开可用的存储库中也无法找到，这表明在过去的两年半中，这类活动几乎未被记录。此外，通过拦截恶意软件的OTP消息，我们发现攻击者针对的是60多个全球顶级品牌，其中一些品牌拥有数亿用户。 谷歌发言人告诉 Dark Reading：“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件，该功能在搭载 Google Play 服务的 Android 设备上启用。Google  Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序，即使这些应用程序来自 Play 商店以外的来源。” 多阶段战役 研究人员发现，恶意软件感染并窃取短信及其他数据的过程分为多个阶段，可能想利用所窃取的数据进行进一步的恶意活动。 研究人员在帖子中写道：“这些被盗凭证为进一步欺诈活动提供了跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。” 当Android 用户被诱骗侧载恶意应用程序，要么通过模仿合法应用商店的欺骗性广告，要么通过使用自动 Telegram 机器人直接与目标用户沟通，并通过社交工程手段引诱他们参与。安装后，恶意应用程序会请求读取短信的权限，根据帖子，这是“Android 上的高风险权限，可广泛访问敏感的个人数据”。 研究人员写道：“尽管合法的应用程序可能需要请求短信权限以实现特定的功能，但这个应用程序的请求可能是未经授权的，目的是窃取受害者的私人短信信息。” 一旦获得权限，恶意软件就会寻找 C2 服务器的地址，然后建立连接以传输要执行的命令和被盗的短信。在第五阶段，也就是最后阶段，攻击者将受害者的设备变成“静默拦截器”，恶意软件会隐藏在其中，并不断监控传入的短信，主要是寻找有价值的 OTP 来进行在线帐户验证。 “迫切需要”加强移动防御 Chiaravigli 指出，虽然窃取短信获取经济利益不是一种新的威胁方式，但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”，需要立即做出反应。 事实上，专家表示，移动恶意软件日益泛滥，尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序，对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私，而且还为一系列恶意活动提供了跳板，例如凭证盗窃、金融欺诈和勒索软件等。 证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出：“我们过去曾见过短信窃取恶意软件，但是，短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透，这带来了严重的风险。” 他说，这凸显了组织机构“迫切需要”采用增强的移动安全策略，特别强调应用程序权限的管理和持续的威胁监控，“以保护数字身份和企业完整性”。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说，新的防御策略应该是多层次的，包括高级行为分析、机器学习和实时威胁情报的组合。他表示：“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”   消息来源：darkreading，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种被研究人员称为”BingoMod”的新型安卓恶意软件，在成功利用设备上的欺诈技术从受害者的银行账户中窃取资金后，可以清除设备数据。 BingoMod通过短信推广，通常伪装成一个合法的移动安全工具，每次交易最多可窃取15000欧元。根据研究人员的分析，BingoMod目前正在积极开发中，其开发者专注于添加代码混淆和各种逃避机制，以降低被检测率。 BingoMod的详细信息 在线欺诈管理和预防解决方案公司Cleafy的研究人员发现，BingoMod是通过smishing（短信钓鱼）活动传播的，并使用通常表明移动安全工具的各种名称（例如APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, APKAppScudo）。 为了在设备上进行欺诈（ODF），恶意软件建立了一个基于套接字的通道来接收命令，以及一个基于HTTP的通道来发送屏幕截图源，从而实现几乎实时的远程操作。 虚拟网络计算 （VNC） 机制和数据交换 来源：Cleafy ODF是一种从受害者的设备发起欺诈交易的常用技术，可以骗过依赖身份验证和认证的标准反欺诈系统。 Cleafy研究人员在报告中解释说，“VNC程序滥用安卓的Media Projection API来获取实时屏幕内容。一旦接收到这些内容，就会将其转换为合适的格式，并通过HTTP传输到威胁行为者的基础设施。” 该程序的一个特点是，它可以利用无障碍服务“冒充用户并启用由Media Projection API公开的屏幕投影请求。” BingoMod 的 VNC 路由器 来源：Cleafy 远程操作者可以向BingoMod发送的命令包括点击特定区域、在指定的输入元素上写文本和启动应用程序。 该恶意软件还允许通过威胁行为者发起的虚假通知手动进行覆盖攻击。此外，感染了BingoMod的设备还可以通过短信进一步传播恶意软件。 禁用防御和清除数据 BingoMod可以从受害者的设备中移除安全解决方案或阻止威胁行为者在命令中指定的应用程序的活动。 为了逃避检测，BingoMod的创建者添加了代码扁平化和字符串混淆层，根据VirusTotal上的扫描结果，实现了预期的目标。 VirusTotal 扫描结果 来源：Cleafy 如果BingoMod作为设备管理应用程序注册在设备上，操作者就可以发送远程命令来清除系统。根据研究人员的说法，这个功能只有在成功转账后才会执行，并且只影响外部存储。 数据清除程序 来源：Cleafy 如果要彻底清除系统，威胁行为者可能使用远程访问功能从系统设置中清除所有数据并重置手机。 虽然BingoMod目前的版本是1.5.1，但Cleafy表示它似乎处于早期开发阶段。根据代码中的注释，研究人员认为BingoMod可能是罗马尼亚开发者的作品。不过，也有可能是其他国家的开发者所为。   转自Freebuf，原文链接：https://www.freebuf.com/news/407491.html 封面来源于网络，如有侵权请联系删除

7月29日，安全企业Zimperium研究人员发布报告，他们发现一起针对全球Android设备的恶意活动，涉及113个国家的不同行业安卓用户。 研究者称自2022年2月以来，发现事件超过10.7万个恶意软件样本。 Telegram诱捕 攻击者利用数千个Telegram机器人，这些机器人感染并植入了能够窃取短信的恶意软件，目的是窃取一次性双因素认证密码OTP，成功绕过这一安全措施。短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。1、通过恶意广告：这种方式中，受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量，以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段，目的是让用户相信这些页面是可信的，从而下载恶意软件。 2、通过Telegram机器人：在这种方式中，Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前，机器人会要求用户提供他们的电话号码。然后，Telegram机器人使用这个电话号码生成一个新的APK文件，这使得对特定用户进行个性化跟踪或未来攻击成为可能。 Telegram bot将SMS窃取工具发送给受害者 来源：Zimperium Zimperium表示，该行动使用2600个Telegram机器人来推广各种Android APK，这些机器人由13个命令和控制（C2）服务器控制。 此次行动的大多数受害者位于印度和俄罗斯，巴西、墨西哥和美国也有大量的受害者。 谋取经济利益 媒体称，网络犯罪分子的动机主要是经济利益，他们很可能利用被感染的设备来实现身份验证和匿名化中继。Zimperium发现，该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。该网站允许访问者购买外国“虚拟”电话号码的访问权，他们可以使用这些号码进行匿名化，并对在线平台和服务进行身份验证。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1mkWb9ZgKudhSEfKoGpE3A 封面来源于网络，如有侵权请联系删除

针对软件开发人员的持续攻击活动背后的黑客展示了新的战术和策略，并将其重点扩大到 Windows、Linux 和 macOS 系统。 该攻击群被称为DEV#POPPER，与朝鲜有关，其目标人群遍布韩国、北美、欧洲和中东。 Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一篇报告中表示：“这种攻击形式是社会工程学的一种高级形式，旨在操纵个人泄露机密信息或执行他们通常不会做的事情。” DEV#POPPER 是一个活跃恶意软件活动的绰号，该活动以求职面试为幌子诱骗软件开发人员下载托管在 GitHub 上的陷阱软件。它与 Palo Alto Networks Unit 42 跟踪的名为Contagious Interview的活动有相似之处。 本月早些时候，研究人员发现针对 Windows 和 macOS 的恶意软件发布了名为 BeaverTail 的更新版本，这表明该活动的范围更广泛且跨平台。 Securonix 的攻击链文档或多或少是一致的，攻击者冒充开发人员职位的面试官，并敦促候选人下载 ZIP 存档文件以完成编码作业。 档案中有一个 npm 模块，一旦安装，就会触发混淆的 JavaScript（即 BeaverTail）的执行，该模块确定其运行的操作系统并与远程服务器建立联系以窃取感兴趣的数据。 它还能够下载下一阶段的有效载荷，包括一个名为 InvisibleFerret 的 Python 后门，旨在收集详细的系统元数据、访问存储在 Web 浏览器中的 cookie、执行命令、上传/下载文件以及记录击键和剪贴板内容。 最近的样本中添加的新功能包括使用增强混淆、AnyDesk 远程监控和管理 (RMM) 软件来实现持久性，以及对用于数据泄露的 FTP 机制的改进。此外，Python 脚本还充当运行辅助脚本的管道，该脚本负责从不同操作系统的各种网络浏览器（Google Chrome、Opera 和 Brave）窃取敏感信息。 研究人员表示：“原始 DEV#POPPER 活动的这一复杂扩展继续利用 Python 脚本执行多阶段攻击，重点是从受害者那里窃取敏感信息，但现在其功能更加强大。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5n1bi4EfPBogESvi1Y7U4A 封面来源于网络，如有侵权请联系删除