亚太地区 (APAC) 以及中东和北非 (MENA) 的金融组织正成为名为JSOutProx的新恶意软件“不断演变的威胁”的目标。 “JSOutProx 是一个利用 JavaScript 和 .NET 的复杂攻击框架。”Resecurity在本周发布的一份技术报告中表示。 “它利用 .NET（反）序列化功能与受害者计算机上运行的核心 JavaScript 模块进行交互。一旦执行，恶意软件就会使框架加载各种插件，从而在目标上执行其他恶意活动。” Yoroi 于 2019 年 12 月首次发现 JsOutProx 活动， JSOutProx 的早期攻击被归因于名为Solar Spider 的黑客组织。 2021 年底，Quick Heal 安全实验室详细介绍了 JSOutProx 利用远程访问木马 (RAT) 针对印度小型金融银行员工的攻击活动。 攻击链利用带有恶意 JavaScript 附件的鱼叉式网络钓鱼电子邮件，这些附件伪装成包含恶意 HTA 文件的 PDF 和 ZIP 档案，以部署经过严重混淆的植入程序。 Quick Heal当时在报告中指出：“该恶意软件具有各种插件来执行各种操作，例如数据泄露、执行文件系统操作。” 这些插件使其能够从受感染的主机获取大量信息、控制代理设置、捕获剪贴板内容、访问 Microsoft Outlook 帐户详细信息以及从 Symantec VIP 收集一次性密码。该恶意软件的一个独特功能是使用 Cookie 标头字段进行命令和控制 (C2) 通信。 JSOutProx 还代表了这样一个事实：它是一个用 JavaScript 实现的功能齐全的 RAT(远程访问木马)。 Fortinet FortiGuard 实验室在 2020 年 12 月发布的一份报告中表示， “JavaScript 根本无法提供与 PE 文件一样多的灵活性”，该报告描述了一项针对亚洲政府货币和金融部门的活动。 鱼叉式网络钓鱼电子邮件 “然而，由于许多网站都使用 JavaScript，它对大多数用户来说似乎是良性的，因为具有基本安全知识的个人被教导避免打开以 .exe 结尾的附件。此外，由于 JavaScript 代码可能会被混淆，因此它很容易绕过防病毒软件检测，使其能够在未被检测到的情况下过滤。” Resecurity 记录的最新一组攻击需要使用虚假的 SWIFT 或 MoneyGram 付款通知来诱骗电子邮件收件人执行恶意代码。据说该活动从 2024 年 2 月 8 日开始出现激增。 这些工件已被观察到托管在 GitHub 和 GitLab 存储库上，后来已被封锁并删除。 该网络安全公司表示：“一旦恶意代码成功交付，攻击者就会删除存储库并创建一个新的存储库。” “这种策略可能与攻击者用来管理多个恶意负载和区分目标的方式有关。” Resecurity 认为，该恶意软件背后的电子犯罪团伙的确切起源目前尚不清楚。 这一进展发生之际，网络犯罪分子正在暗网上推广名为 GEOBOX 的新软件，该软件重新利用Raspberry Pi 设备进行欺诈和匿名化。 该工具每月仅需 80 美元（或终身许可证 700 美元），允许运营商欺骗 GPS 位置、模拟特定网络和软件设置、模仿已知 Wi-Fi 接入点的设置以及绕过反欺诈过滤器。 此类工具可能会产生严重的安全隐患，它们为各种犯罪行为打开了大门，例如国家支持的攻击、企业间谍活动、暗网市场操作、金融欺诈、匿名分发恶意软件，甚至访问地理围栏内容。 Resecurity表示：“GEOBOX 的访问便捷性引起了网络安全界对其在各种网络攻击组织中广泛采用的潜力严重担忧。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/VQPqyumVxIZE8f4MH4r5Tw 封面来源于网络，如有侵权请联系删除

固件安全厂商Binarly近日紧急发布了一款免费在线Linux后门扫描工具，用于检测可能受CVE-2024-3094漏洞影响的所有Linux可执行文件。 CVE-2024-3094是在XZ Utils中发现的，史上最危险、最复杂（但“功亏一篑”）的软件供应链攻击之一。曝出该漏洞的XZ Utils是一套广泛应用于主流Linux发行版的压缩工具和库，但Binarly推出的后门程序扫描工具的检测范围不限于XZ Utils。 去年底，微软工程师Andres Freud在调查DebianSid（滚动发行版）SSH登录异常（缓慢）时，发现最新版本的XZ Utils软件包存在后门程序。该后门由代号为“匿名贡献者”的人士引入到XZ5.6.0版本中，并延续到5.6.1版本。不过，由于采用“激进更新”方式的Linux发行版和版本较少，因此大多数使用早期安全库版本的發行版并未受到影响。 XZ后门发现后，大量部门和企业立即启动了检测和修复工作。美国网络安全与基础设施安全局(CISA)建议降级到XZUtils5.4.6稳定版，并持续追踪和报告相关恶意活动。 Binarly指出，迄今为止的XZ后门威胁缓解工作主要依靠简单的检测方法，例如字节字符串匹配、文件哈希黑名单和YARA规则，这些方法不仅会带来大量误报警报，还无法检测其他项目中类似的后门程序。 为了解决这个问题，Binarly开发了一款针对特定库和携带相同后门的任何文件的专用扫描器。 Binarly表示：“如此复杂且专业设计的综合性植入框架并非一次性操作就可以完成的。它可能已经被部署在其他地方，或部分用于其他操作。这就是我们开始专注于这种复杂后门的更通用检测方法的原因。” XZ后门通过修改IFUNC调用来拦截或挂钩执行，从而插入恶意代码。Binarly的检测方法采用静态分析二进制文件的方式，识别GNU间接函数(IFUNC)转换过程中的篡改行为。 具体来说，扫描器会检查在植入恶意IFUNC解析器过程中标记为可疑的转换。GCC编译器的IFUNC属性允许开发人员创建同一函数的多个版本，然后根据处理器类型等各种标准在运行时进行选择。 Binarly解释道：“XZ后门利用GCC编译器用于运行时解析间接函数调用的GNU间接函数(ifunc)属性，作为其在执行过程中获取初始控制的核心技术之一。植入的后门代码最初会拦截或挂钩执行。它修改ifunc调用，替换原本应该简单调用“cpuid”的“is_arch_extension_supported”检查，转而调用由有效载荷对象文件（例如liblzma_la-crc64-fast.o）导出的“_get_cpuid”，并调用植入下图所示代码中的恶意_get_cpuid()。” Binarly的扫描器通过检测除XZ Utils项目之外的各种供应链组件来提高检测率，并且检测结果的可信度也大大提高。 Binarly的首席安全研究员兼首席执行官Alex Matrosov表示：“这种检测基于行为分析，可以自动检测任何类似的后门程序变种。即使经过重新编译或代码更改，我们也能检测到它。” 该后门扫描器现已上线，网址为xz.fail，用户可免费上传二进制文件进行无限次的检测。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/B3gXXtxze233gtkBeOX4kg 封面来源于网络，如有侵权请联系删除

近日，有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件，这次他们利用广告跟踪功能，向企业用户发送 Slack 和 Notion 等流行协作群件的虚假广告。 本周，AhnLab 安全情报中心（ASEC）的研究人员发布的文章中提到，黑客利用了统计功能嵌入传播恶意软件（包括 Rhadamanthys 窃取程序）的 URL。该功能允许广告商在广告中插入外部分析网站地址，以收集和使用访问者的访问相关数据来计算广告流量。 但研究人员发现，黑客并没有插入外部统计网站的 URL，而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据ASEC的说法，当这些广告仍处于“活动”状态时，如果用户不小心点击了横幅广告，仍然会跳转到下载恶意文件的页面。 在类似的攻击活动中，Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行，它就会从黑客的服务器下载恶意文件和有效载荷。 重定向到窃取下载 ASEC 的帖子详细介绍了黑客是如何精心策划的这一活动。 该活动使用的典型安装程序是 Inno Setup 安装程序或 Nullsoft Scriptable Install System (NSIS) 安装程序；具体而言，黑客使用了以下可执行文件： Notion_software_x64_.exe、Slack_software_x64_.exe、Trello_software_x64_.exe 和 GoodNotes_software_x64_32.exe。 ASEC在其发布的博文中提到：恶意软件一旦被执行，就会使用可以保存文本的网站（如textbin或tinyurl）来访问恶意有效载荷地址。同时，他们还列出了黑客用来获取这些地址的URL，这些地址随后会被发送给用户。 据 ASEC 称，该活动的最终有效载荷是 Rhadamanthys 窃取程序，它会通过”%system32%”路径注入到合法的 Windows 文件中。研究人员指出，这使得窃取程序可以在用户不知情的情况下窃取用户的私人数据。 Rhadamanthys一个非常受黑客欢迎的信息窃取软件，可以在暗网上通过恶意软件即服务的模式购买。它是一个典型的窃取程序，可用于收集系统信息，如计算机名称、用户名、操作系统版本和其他机器详细信息。它还会查询已安装浏览器（包括 Brave、Edge、Chrome、Firefox、Opera Software）的目录，搜索并窃取浏览器历史记录、书签、cookie、自动填充、登录凭证和其他数据。 警惕广告提供的 URL 事实上，这并非黑客首次滥用谷歌广告及其相关功能来传播 Rhadamanthys 和其他恶意软件，也很可能不是最后一次。去年 1 月，就曾有研究人员发现的黑客使用了谷歌广告的网站重定向和流行远程工作软件（如 Zoom 和 AnyDesk）的虚假下载诱饵来传播 Rhadamanthys。 黑客甚至还会滥用该服务的 “动态搜索广告 “功能，通过创建有针对性的广告来发送大量恶意软件，从而扩大恶意活动的效果。 ASEC警告称，由于 “所有提供追踪功能以计算广告流量的搜索引擎都可能被用来传播恶意软件”，因此用户在访问谷歌提供的广告链接时必须保持警惕。用户应 “注意访问网站时看到的 URL，而不是广告横幅上显示的 URL”，以避免落入恶意活动的圈套。 此外，ASEC 还发布了一份与该活动不同阶段相关的 URL 综合列表，以帮助管理员识别是否有企业用户受到该活动的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396864.html 封面来源于网络，如有侵权请联系删除

“Winnti”黑客组织被发现使用一种名为 UNAPIMON 的先前未被记录的恶意软件来让恶意进程在不被发现的情况下运行。 Winnti是最古老（自 2012 年以来活跃）、最复杂 和最多产的网络间谍威胁组织之一。目标范围广泛，包括政府、硬件供应商、软件开发商、智囊团、电信服务提供商和教育机构。 趋势科技的一份新报告深入研究了他们一直在密切监控的操作中使用的前未见过的自定义恶意软件，将网络间谍攻击归因于他们命名为“Earth Freybug”的集群。 UNAPIMON 攻击 攻击首先将恶意进程注入到合法的 VMware Tools vmtoolsd.exe 进程中，该进程执行远程计划任务来运行收集系统信息（包括网络配置和用户详细信息）的批处理文件。 接下来，第二个批处理文件 (cc.bat) 利用涉及 SessionEnv 服务的 DLL 侧加载 (TSMSISrv.dll) 将 UNAPIMON 加载到内存中，并将其注入到 cmd.exe 进程中。 UNAPIMON 是一种以 DLL 形式 (_{random}.dll) 提供的 C++ 恶意软件，它使用 Microsoft Detours 来挂钩 CreateProcessW API 函数，使其能够取消挂钩子进程中的关键 API 函数。 挂钩流程 （趋势科技） 由于许多安全工具使用 API 挂钩来跟踪恶意活动，UNAPIMON 的机制允许它从恶意子进程中取消这些 API 以逃避检测。 根据趋势科技的分析，规避机制的工作步骤如下： 使用 Microsoft  Detours 挂钩“CreateProcessW”API 函数来拦截进程创建调用。 修改进程创建调用以在挂起状态下启动新进程，从而允许在进程运行之前进行操作。 在挂起的进程中搜索特定 DLL，在%User Temp%目录中创建本地副本，并在不解析引用的情况下加载这些副本以防止错误。 将复制的 DLL 与进程中的原始DLL 进行比较，查找导出地址中指示安全软件挂钩的修改。 将原始代码复制到进程内存中加载的DLL中的修改部分，从而有效地删除安全工具插入的挂钩。 卸载临时 DLL 副本并恢复子进程的主线程，从而允许不可检测的执行。 趋势科技解释说，大多数恶意软件都利用挂钩来拦截消息、捕获敏感数据和改变软件行为。因此，UNAPIMON的脱钩逃避方式是一种不寻常的技术。 趋势科技总结道：“该恶意软件的一个独特而显着的特点是它的简单性和独创性。” “它对现有技术（例如 Microsoft Detours）的使用表明，任何简单且现成的库如果创造性地使用，都可以被恶意使用。这也显示了恶意软件编写者的编码能力和创造力。” “在典型情况下，是恶意软件进行挂钩。但是，在这种情况下，情况恰恰相反。” 此外，与使用未知的自定义例程相比，使用合法的 Microsoft Detours 调试工具来执行脱钩可以使其逃避行为检测。 Winnti 黑客以其在进行攻击时逃避检测的新颖方法而闻名。2020 年，该组织滥用 Windows 打印处理器来隐藏后门并持续存在。 2022 年，黑客将 Cobalt Strike 信标分成 154 个小块以逃避检测，只有在准备好启动时才将它们重建为可执行文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rei9f36sxkGJWGDMgrR6wA 封面来源于网络，如有侵权请联系删除

上周末，红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告，称流行的Linux压缩工具XZ Utils存在影响广泛的高危漏洞（CVSS评分10分）。由于XZ压缩工具广泛存在于各种Linux发行版本中，因此检查并修复该漏洞是本周企业IT和安全团队的头等大事。 根据红帽公司上周六发布的安全公告。该漏洞编号为CVE-2024-3094，影响用于压缩和解压缩文件格式的XZ Utils工具（5.6.0和5.6.1版本）。红帽表示，该工具几乎存在于所有Linux发行版中。 CISA表示，他们正与开源社区合作，“响应有关恶意代码嵌入在XZ Utils 5.6.0和5.6.1版本中的报告”，该恶意代码可能允许未经授权访问受影响的系统。 CISA拒绝透露更多详细信息，例如受影响的系统数量、幕后黑手以及受害者分布等信息，目前尚未有官方回应。 最可怕的供应链攻击 微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行Debian Sid（Debian发行版的滚动开发版本）的Linux设备SSH登录速度过慢问题时发现了该安全漏洞（后门）。弗伦德发现，该漏洞最早可追溯到3月26日。 安全研究机构Bad Sector Labs透露，这是一次极为复杂的供应链攻击，如果不是该漏洞拖慢了sshd速度，未来很长一段时间都难以被发现。 微软高级威胁研究员Thomas Roccia也表示XZ攻击的复杂程度令人震惊，他绘制了一个初步的攻击流程图如下： 目前的调查显示，从5.6.0版本开始，xz的上游代码库和tarball下载包中被植入恶意代码。liblzma（xz包的一部分）构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件，用于修改liblzma代码中的特定函数，生成一个被篡改的liblzma库，该库可以被任何链接到此库的软件使用，从而截取并修改与该库的数据交互。 值得注意的是，xz版本5.6.0和5.6.1库中存在的恶意注入仅包含在tarball下载包中。Xz的上游Git代码库缺少触发恶意代码构建的M4宏，但是“预埋”了二级恶意文件，可在恶意M4宏存在的环境中发挥作用。如果不合并到构建过程中，这个恶意二级文件本身是无害的。 研究人员发现该漏洞会影响OpenSSH守护进程。虽然OpenSSH不直接链接到liblzma库，但它会以一种方式与systemd通信，由于systemd链接到liblzma，这使得OpenSSH暴露于恶意软件攻击。 目前已有众多安全研究人员踊跃追查恶意代码的来源。很多安全专家认为，这是一次针对开源供应链的极为复杂的特工攻击（人力情报HUMINT），历时长达两年。发动攻击的APT组织并成功让特工人员（Jia Tan）晋升为XZ项目的维护者。该判断如果坐实，将意味着整个开源社区都会掀起一场反间谍行动。 安全研究人员Alexander Patrakov指出：通过对xz后门的逆向工程初步分析发现，这可能是历史上执行得最好，同时也是最可怕的供应链攻击，黑客控制了广泛使用的代码库的授权上游。在理想情况下（该后门顺利进入Linux稳定发行版），黑客可以利用此后门远程入侵并控制整个系统。 缓解措施：立级停用或降级 安全专家建议，xz5.6.0和5.6.1版本的用户应该立级降级版本或停用该工具。Linux管理员可以查询包管理器或运行安全研究员Kostas分享的shell脚本（下图）来检查系统安装了哪个版本的XZ： 该脚本可以帮用户在不运行后门可执行文件的情况下确定版本。 网络安全专家约翰·班贝内克(John Bambenek)表示，受影响的库“在现代Linux发行版中往往会默认安装，因此，即使企业不使用该工具，也应立即将该漏洞的修复升级到最高优先级。” 红帽的公告则强烈建议相关用户立即停止个人或工作用途的XZUtils使用，并提供了用于修复漏洞的更新链接。 “目前调查表明，在红帽社区生态系统中，只有Fedora 41和Fedora Rawhide受到影响。所有版本的红帽企业级Linux (RHEL)均未受影响，”红帽表示：“有报告和证据表明，在为Debian不稳定版本(Sid)开发的xz 5.6.x版本发现恶意注入，其他Linux发行版也可能受到影响。建议用户咨询发行版维护者获取指导。” 对于个人和企业用户，红帽建议立即停止使用Fedora 41或Fedora Rawhide。如果在商务环境中使用受影响的发行版，建议用户联系信息安全团队获取进一步措施。 CISA在公告中建议用户降级到安全版本：“开发人员和用户应将XZ Utils降级到未受损版本（例如，XZ Utils 5.4.6稳定版），并主动排查系统中可疑活动。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/t2llszsv1zOOqcyAfaS0_Q 封面来源于网络，如有侵权请联系删除

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。 这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。 据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。 据 NCC Group 观察，该恶意软件是通过谷歌Play商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是 “Brunhilda “的插件即服务（DaaS）的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付（TOAD）。 Joshua Kamp 表示：该插件发出的第一条短信会引导受害者拨打电话。当受害者拨打该号码时，欺诈者会向受害者发送第二条短信，其中包括指向恶意程序的链接。 第一条短信的目的是通过指示收件人拨打号码以完成授权涉及大笔资金的虚假交易，从而诱发一种虚假的紧迫感。待受害者安装后，恶意程序就会执行三个相关的有效载荷（两个 APK 和一个 DEX 文件），这些有效载荷会将机器人注册到 C2 服务器，通过 AlphaVNC 和 ngrok 获取远程访问服务权限，并运行从 C2 服务器获取的命令。 Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。 此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。 Joshua Kamp 认为，Vultur最近的发展表明其重点已转向最大限度地实现对受感染设备的远程控制。Vultur能够发出滚动、轻扫手势、点击、音量控制、阻止应用程序运行等指令，甚至还集成了文件管理器功能，显然其主要目的是获得对受感染设备的完全控制权。 赛姆鲁团队近日披露了 Octo（又名 Coper）安卓银行木马向恶意软件即服务（malware-as-a-service）业务转型的进展，该软件正向其他威胁行为者提供信息窃取服务。 此外，该恶意软件还提供多种高级功能，包括键盘记录、拦截短信和推送通知，以及控制设备屏幕。它利用各种注入程序，通过显示伪造屏幕或覆盖层来窃取密码和登录凭证等敏感信息。此外，它还利用 VNC（虚拟网络计算）远程访问设备，增强其监控能力。 据统计，Octo 至少已入侵了 4.5 万台设备，这些设备主要分布在葡萄牙、西班牙、土耳其、美国、法国、荷兰、加拿大、印度和日本。 该恶意软件通过恶意软件即服务（MaaS）分发恶意 APK 包，冒充在线预订、计费和快递服务。 博通公司旗下的赛门铁克公司在一份公告中提到，该恶意软件 的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。 麦克菲实验室对此进行了进一步研究说明，称该恶意软件已被嵌入到了 800 多个应用程序中。并且有超过 3700 台安卓设备已被入侵。麦克菲实验室称是一个名为 Elvia Infotech的印度网络组织开发了这种 MaaS 服务。 骗子通常会通过电话、短信、电子邮件或社交应用联系受害者，告知他们需要重新为其安排银行账户服务。这种欺诈攻击是一种典型而有效的欺诈方法。 受害者会被要求下载一个特定的应用程序，并提交个人信息。一旦这些信息落入骗子手中，他们就可以轻松地从受害者的银行账户中窃取资金。   转自Freebuf，原文链接：https://www.freebuf.com/news/396732.html 封面来源于网络，如有侵权请联系删除

研究人员在 Google Play 商店中发现了多个恶意 Android 应用程序，这些应用程序将运行安卓系统的移动设备转变为其他攻击者使用的住宅代理 (RESIP)。 PROXYLIB 第一个变体的两个应用程序 该调查结果来自 HUMAN 的 Satori 威胁情报团队，该团队表示，VPN 应用程序集群配备了一个 Golang 库，可以在用户不知情的情况下将用户的设备转变为代理节点。 该公司将该行动代号命名为PROXYLIB 。此后，这 29 个有问题的应用程序已被 Google 删除。 住宅代理是源自互联网服务提供商 (ISP) 提供的真实 IP 地址的代理服务器网络，通过中间服务器路由互联网流量，帮助用户隐藏其实际 IP 地址。 抛开匿名性的好处不谈，攻击者滥用它们的时机已经成熟，不仅可以混淆其来源，还可以进行广泛的攻击。 安全研究人员表示：“当攻击者使用住宅代理时，这些攻击的流量似乎来自不同的住宅 IP 地址，而不是数据中心的 IP 或黑客组织基础设施的其他部分。” “许多攻击者购买这些网络的访问权限以促进他们的行动。” 其中一些网络可能是由恶意软件运营商创建的，他们诱骗毫无戒心的用户安装虚假应用程序，这些应用程序本质上将设备围入僵尸网络，然后通过向其他客户出售访问权限来获利。 HUMAN 发现的 Android VPN 应用程序旨在与远程服务器建立联系，将受感染的设备注册到网络，并处理来自代理网络的任何请求。 这些应用程序的另一个值得注意的方面是，2023 年 5 月至 10 月期间确定的其中一个子集包含了 LumiApps 的软件开发套件 (SDK)，其中包含代理软件功能。在这两种情况下，恶意功能都是使用本机 Golang 库来实现的。 LumiApps 还提供一项服务，本质上允许用户上传他们选择的任何 APK 文件（包括合法应用程序），并将 SDK 捆绑到其中，而无需创建用户帐户，然后可以重新下载并与其他人共享。 这家以色列公司在其网站上表示：“LumiApps 帮助公司收集互联网上公开的信息。” “它使用用户的 IP 地址在后台加载知名网站的多个网页。” “这样做的方式不会打扰用户，并且完全符合 GDPR/CCPA。然后将网页发送给公司，公司使用它们来改进数据库，提供更好的产品、服务和定价。” 这些修改后的应用程序（称为 mods）在 Google Play 商店内外分发。LumiApps 将自身和 SDK 宣传为渲染广告的替代应用程序盈利方法。 有证据表明，PROXYLIB 背后的黑客组织正在通过 LumiApps 和 Asocks 出售对受感染设备创建的代理网络的访问权限，Asocks 是一家自称为住宅代理卖家的公司。 此外，为了将 SDK 融入到尽可能多的应用程序中并扩大僵尸网络的规模，LumiApps 根据通过已安装应用程序的用户设备路由的流量向开发人员提供现金奖励。SDK服务也在社交媒体和黑帽论坛上进行广告宣传。 Orange Cyberdefense 和 Sekoia 最近发表的研究将住宅代理描述为“分散但相互关联的生态系统”的一部分，其中代理软件服务以各种方式进行广告，从自愿贡献到专门商店和转售渠道。 “[就 SDK 而言]，代理软件通常嵌入在产品或服务中。”这些公司指出。用户可能没有注意到在接受嵌入的主应用程序的使用条款时将安装代理软件，这种缺乏透明度导致用户在没有明确了解的情况下共享他们的互联网连接。” 安装了 LumiApps SDK 的一款应用程序 Lumen Black Lotus Labs透露，报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备正受到名为 TheMoon 的僵尸网络的攻击，该僵尸网络为名为 Faceless 的犯罪代理服务提供支持。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IcZSLkfOGPwJFI2EVkKhzw 封面来源于网络，如有侵权请联系删除

安全研究人员观察到 Red Hat 和 Ubuntu 系统受到 Linux 版本的 DinodasRAT（也称为 XDealer）的攻击，该版本可能自 2022 年以来一直在运行。 该恶意软件的第一个版本已追踪至 2021 年，但 Linux 变体尚未公开披露过。 网络安全公司 ESET 此前曾发现 DinodasRAT 在一项名为“Operation Jacana（水雉行动）”的针对政府实体的间谍活动中损害了 Windows 系统。 本月早些时候，趋势科技报道了他们追踪的一个名为“Earth Krahang”的 APT 组织，该组织使用 XDealer 破坏了全球多国政府的 Windows 和 Linux 系统。 DinodasRAT 详细信息 在本周早些时候的一份报告中，卡巴斯基的研究人员表示，DinodasRAT 的 Linux 变体在执行时会在其二进制文件所在的目录中创建一个隐藏文件，该文件充当互斥体，以防止多个实例在受感染的设备上运行。 接下来，恶意软件使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测变得复杂，恶意软件会在父进程等待时再次执行。 恶意软件的执行逻辑 （卡巴斯基） 使用感染、硬件和系统详细信息对受感染的计算机进行标记，并将报告发送到命令和控制 (C2) 服务器以管理受害主机。 为受害者创建唯一 ID （卡巴斯基） 与 C2 服务器的通信通过 TCP 或 UDP 进行，而恶意软件在 CBC 模式下利用微型加密算法 (TEA)，确保安全的数据交换。 Dinodas网络数据包结构 （卡巴斯基） DinodasRAT 具有旨在监视、控制和从受感染系统中窃取数据的功能。其主要特点包括： 监视和收集有关用户活动、系统配置和运行流程的数据。 接收来自 C2 的执行命令，包括文件和目录操作、shell 命令执行以及更新 C2 地址。 枚举、启动、停止和管理受感染系统上的进程和服务。 为攻击者提供远程shell，以便在单独的威胁中直接执行命令或文件。 通过远程服务器代理 C2 通信。 下载可能包含改进和附加功能的恶意软件的新版本。 自行卸载并从系统中擦除其先前活动的所有痕迹。 研究人员表示，DinodasRAT 使攻击者能够完全控制受感染的系统。他们指出，攻击者主要使用恶意软件来通过 Linux 服务器获取和维护对攻击目标的访问。 卡巴斯基表示：“后门功能齐全，使操作员能够完全控制受感染的机器，从而实现数据泄露和间谍活动。” 卡巴斯基没有提供有关初始感染方法的详细信息，但指出自 2023 年 10 月以来，该恶意软件影响多国受害者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pmf5FbBtJ4ri0SJDMI-JIg 封面来源于网络，如有侵权请联系删除

研究发现“TheMoon”恶意软件僵尸网络的新变种感染了 88 个国家/地区数千个小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。 TheMoon 与“Faceless”代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。 Black Lotus Labs 研究人员对 2024 年 3 月上旬开始的最新 TheMoon 活动进行监控，发现 72 小时内有 6,000 台华硕路由器成为攻击目标。 威胁分析师报告称，IcedID 和 SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。 Faceless 代理服务概述 针对华硕路由器 TheMoon 首次被发现 于 2014 年，当时研究人员警告称，该恶意软件正在利用漏洞感染 LinkSys 设备。 该恶意软件的最新活动在一周内感染了近 7,000 台设备，Black Lotus Labs 表示它们主要针对华硕路由器。 Black Lotus 警告称：“通过 Lumen 的全球网络可见性，Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图，其中包括一项于 2024 年 3 月第一周开始的活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。 研究人员没有具体说明用于破坏华硕路由器的确切方法，但鉴于目标设备型号已停产，攻击者很可能利用了固件中的已知漏洞。 攻击者还可能暴力破解管理员密码或测试默认和弱凭据。 一旦恶意软件获得对设备的访问权限，它就会检查是否存在特定的 shell 环境（“/bin/bash”、“/bin/ash”或“/bin/sh”）；否则，它会停止执行。 如果检测到兼容的 shell，加载程序会解密、删除并执行名为“.nttpd”的有效负载，该有效负载会创建一个具有版本号（当前为 26）的 PID 文件。 随后，恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可以保护受感染的设备免受外部干扰。 接下来，恶意软件会尝试联系合法 NTP 服务器列表，以检测沙箱环境并验证互联网连接。 最后，恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接，C2 会用指令进行响应。 在某些情况下，C2 可能会指示恶意软件检索其他组件，例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。 Sox 与 Faceless 服务器通信的样本 Faceless 代理服务 Faceless 是一项网络犯罪代理服务，可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。该服务不使用“了解您的客户”验证流程，任何人都可以使用。 购买 Faceless 代理服务的访问权限 为了保护他们的基础设施不被研究人员绘制地图，Faceless 操作员确保每台受感染的设备在感染持续期间仅与一台服务器通信。Black Lotus Labs 报告称，三分之一的感染会持续 50 天以上，而 15% 的感染会在 48 小时内消失。这表明后者受到更好的监控，并且可以快速检测到危害。 受感染设备的生命周期 尽管 TheMoon 和 Faceless 之间存在明显的联系，但这两个操作似乎是独立的网络犯罪生态系统，因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。为了防御这些僵尸网络，请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。如果设备已达到 EoL，请将其替换为有效支持的型号。路由器和物联网上恶意软件感染的常见迹象包括连接问题、过热和可疑的设置更改。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9j5k-AMo3CjD8M_28Ln-ug 封面来源于网络，如有侵权请联系删除

近日，研究人员发现一种名为 “Darcula “的新型网络钓鱼即服务（PhaaS）使用 20000 个虚假域名，盗取了大量 Android 和 iPhone 用户的凭证。 Darcula 目前已被用于针对全球 100 多个国家的各种服务和组织，涵盖了邮政、金融、政府、税务部门、电信公司、航空公司公用事业公司，为威胁攻击者提供了 200 多个“模板”供其选择。 值得一提的是，Darcula 服务与其它类型的钓鱼服务有一些差别，它主要使用谷歌信息和 iMessage 的富通信服务（RCS）协议发送钓鱼信息（其它类型的钓鱼服务大都使用短信）。 Darcula 网络钓鱼服务 安全研究人员 Oshri Kalfon 去年夏天首次记录了 Darcula 网络钓鱼服务。Netcraft 分析师指出，目前该服务在网络犯罪领域越来越受欢迎，已经被用于几起备受瞩目的案件中。 相比传统网络钓鱼服务，Darcula 采用了 JavaScript、React、Docker 和 Harbor 等现代技术，成功实现了持续更新和新功能添加，“客户”无需重新安装网络钓鱼工具包。 从研究人员透露的信息来看，Darcula 网络钓鱼工具包提供 200 个网络钓鱼模板，可假冒 100 多个国家的品牌和组织。不仅如此，Darcula 使用了正确的本地语言、徽标和内容，虚假登陆页面质量非常高。 Darcula 工具包中的登陆页面 威胁攻击者只需选择一个想要假冒的组织品牌，然后运行一个设置脚本，将相应的钓鱼网站及其管理面板直接安装到 Docker 环境中。 研究人员指出，Darcula 服务通常使用”.top “和”.com “顶级域名来托管用于钓鱼攻击的目的注册域名，其中大约三分之一的域名由 Cloudflare 支持。Netcraft 已经成功绘制了横跨 11000 个 IP 地址的 20000 个 Darcula 域名。（据悉，欺诈域名以每天 120 个的数量激增） Darcula 服务放弃了短信欺诈 Darcula 服务放弃了传统的基于短信的策略，改为利用 RCS（Android）和 iMessage（iOS）向受害者发送带有钓鱼 URL 链接的信息，这样做收件人更容易上当。此外，由于 RCS 和 iMessage 支持端到端加密，因此无法根据其内容拦截和阻止网络钓鱼信息。 从 Darcula 发送的 RCS 消息 Netcraft 表示，全球范围内正在加紧通过遏制基于短信的网络犯罪活动的立法，以期推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议，但这些协议都有自身的局限性。例如，苹果禁止账户向多个收件人发送大量信息，谷歌最近也实施了一项限制措施，禁止已 root 的安卓设备发送或接收 RCS 信息。 然而，网络犯罪分子试图通过创建多个 Apple ID 和使用大量设备，从每个设备中发送处少量信息来规避这些限制。 此外，iMessage 中还有一项保护措施，即只有收件人回复了信息，才被允许点击 URL 链接。为了绕过这些防御措施，钓鱼信息指示收件人回复 “Y “或”1″，然后重新打开信息，点击链接。 通过 iMessage 发送的钓鱼信息 最后，研究人员强调，用户应该以怀疑的态度对待所有催促其点击 URL 链接的信息，尤其是在发件人不明确的情况下。   转自会Freebuf，原文链接：https://www.freebuf.com/news/396192.html 封面来源于网络，如有侵权请联系删除