研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕，该版本具有改进的能力，可以建立持久性并避免被安全软件发现。 安全实验室的研究人员在本周发表的一份报告中表示：RustBucket的变种是一个针对macOS系统的恶意软件集合，它增加了持久隐藏能力，同时利用动态网络基础设施方法进行指挥和控制。 该恶意软件于2023年4月曝光，当时Jamf威胁实验室将其描述为一个基于AppleScript的后门，能够从远程服务器检索第二级有效载荷。 第二阶段的恶意软件是用 Swift 编译的，旨在从命令和控制 （C2） 服务器下载主要恶意软件，这是一种基于 Rust 的二进制文件，具有收集大量信息以及在受感染系统上获取和运行其他 Mach-O 二进制文件或 shell 脚本的功能。 BlueNoroff恶意软件是第一个专门针对macOS用户的例子，现在.NET版本的RustBucket已经以类似的功能在野外浮出水面。 感染链由一个macOS安装文件组成，该文件安装了一个带有后门但功能正常的PDF阅读器。当使用PDF阅读器启动PDF文件时，就会触发恶意活动。最初的入侵载体包括钓鱼邮件，以及在LinkedIn等社交网络上采用假的角色。 安全人员还观察到该攻击具有很强的针对性，集中在亚洲、欧洲和美国的金融相关机构，这也表明该恶意活动是以非法创收为目的。 新发现的版本值得注意的是它不寻常的持久隐匿机制和使用动态DNS域名（docsend.linkpc[.net]）进行指挥和控制。 最后，研究人员表示，此次更新的RustBucket样本中，通过在路径/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist添加一个plist文件来建立自己的持久性，并且它将恶意软件的二进制文件复制到以下路径/Users/<user>/Library/Metadata/System Update。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370920.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月25日消息，堪称经典的《超级马里奥 3：永远的马里奥》游戏正被网络攻击者植入恶意软件，导致众多玩家设备受到感染。 《超级马里奥 3：永远的马里奥》是由 Buziol Games 开发并于 2003 年在 Windows 平台上发布的免费重制版。该游戏一经推出便颇受欢迎，被认为是既保留了马里奥系列的经典机制，又具有更现代化的图形、造型和声音，目前已经发布多个后续版本，修复了错误并进行了改进。 但Cyble的研究人员发现，攻击者正在分发《超级马里奥 3：永远的马里奥》安装程序的修改样本，并通过游戏论坛、社交媒体群组、恶意广告等渠道进行分发。 研究人员观察到这些恶意游戏文件包含3个可执行文件，其中1个用于安装正常的游戏（“super-mario-forever-v702e.exe”），另外两个“java.exe”和“atom.exe”则会被安装到受害者的 AppData中的游戏安装目录，用来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端 除了上述文件外，另一个名为“Umbral Stealer”的文件则会从受害者的Windows 设备中窃取数据，包括存储在网络浏览器中的信息，例如存储的密码和包含会话令牌的 cookie、加密货币钱包以及 Discord、Minecraft、Roblox 和 Telegram 的凭证和身份验证令牌。 Umbral Stealer 还能创建受害者 Windows 桌面的屏幕截图或操纵网络摄像头，所有被盗数据在传输到 对方的C2服务器之前都将存储在本地。对于未开启篡改保护的设备，Umbral Stealer 能够通过禁用该程序来逃避Windows Defender的检测，但即便开启了防篡改，也能将进程排除在威胁列表之外。 此外，Umbral Stealer 还会修改 Windows 主机文件，以损害防病毒程序与其公司服务器的通信，从而破坏防病毒程序的有效性。 完整的感染链 安全专家建议，如果用户最近下载了这款游戏，应尽快对设备进行恶意软件扫描，删除检测到的任何恶意软件，并在检测到恶意软件后，将存储的任何敏感密码信息重置，并使用密码管理器进行存储。 同样，下载游戏或任何软件时，要确保从经认证的发行方网站或权威数字内容分发平台等官方来源进行下载。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370266.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，国际网络安全公司 Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。 从 Group-IB 统计的数据来看，2022 年 6 月至 2023 年 5 月期间，暗网平台有许多 ChatGPT 账户正在”待售“，买卖高峰期出现在 2023 年 5 月，当时威胁者发布了 26800 个新 ChatGPT 用户信息。值得一提的是，Group-IB 表示按照 ChatGPT 帐户所属地区划分，亚太地区为 40999 条、中东和非洲地区 24925 条、欧洲 16951 条。 【受害者分布（Group-IB）】 信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。这些类型的恶意软件通过从程序 SQLite 数据库中提取证书，并滥用 CryptProtectData 功能对存储的数据信息进行反向加密，从而窃取保存在网络浏览器中的凭证。一旦得手，凭证和其它被盗数据就会立刻被打包到日志文档中，发送回攻击者的服务器进行检索。 部分大企业禁止内部使用 ChatGPT Group-IB 的 Dmitry Shestakov 表示许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。 正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 Group-IB 的数据显示，随着时间推移，被盗 ChatGPT 日志数量稳步增长，几乎 80% 的日志来自 Raccoon 窃取者，其次是 Vidar（13%）和 Redline（7%）。 被入侵的 ChatGPT 账户(Group-IB) 考虑到数据安全性，如果用户在 ChatGPT 上输入了敏感数据，请认真考虑在设置菜单中禁用聊天保存功能或在使用完工具后立即手动删除这些对话。 值得警惕的是，许多信息窃取者会对受感染的系统进行截图或进行键盘记录，因此即使不把对话保存到 ChatGPT 账户，恶意软件感染仍可能导致数据泄漏。最后，规劝需要处理极其敏感信息的工作人员，尽量在本地构建和自托管工具上输入信息。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370036.html 封面来源于网络，如有侵权请联系删除

一个新的基于Golang的恶意软件 Skuld，已经危及欧洲、东南亚和美国的Windows系统。 Trellix研究员Ernesto Fernández Provecho在星期二的分析中说：这种新的恶意软件试图从受害者那里窃取敏感信息。主要是搜索存储在 Discord 和网络浏览器等应用程序中的数据。 Skuld与Creal Stealer、Luna Grabber和BlackCap Grabber等公开的恶意窃取软件有相似之处，都是一位化名为Deathined的开发者的“杰作”。 该恶意软件在执行时，会检查它是否在虚拟环境中运行，以试图阻挠分析。从而进一步提取正在运行的进程列表，并将其与预定义的阻止列表进行比较。如果有进程与阻止列表中的进程相匹配，Skuld就会终止相匹配的进程。 除了收集系统元数据，该恶意软件还具有收集存储在网络浏览器中的cookies和凭证以及Windows用户配置文件夹的能力，包括桌面、文档、下载、图片、音乐、视频和OneDrive。 Skuld的部分样本还包含一个剪切器模块，用于更改剪贴板内容并通过交换钱包地址来窃取加密货币资产，网络安全公司推测这项功能可能正在开发中。 数据渗出是通过攻击者参与控制的Discord网络钩子或Gofile上传服务实现的。在后者的情况下，使用相同的 Discord 网络钩子功能将向攻击者发送一个参考 URL，以窃取包含被盗数据的上传 ZIP 文件。 这一发展表明，由于Go编程语言的 “简单、高效和跨平台兼容性”，在攻击者中被积极采用，从而使其成为针对多个操作系统并扩大其受害者池的有吸引力的工具。 此外，Golang的编译性质使恶意软件作者能够生成二进制可执行文件，这些可执行文件在分析和逆向工程方面更具挑战性。这也使得安全研究人员和传统的反恶意软件解决方案更难有效地检测和缓解这些威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/369456.html 封面来源于网络，如有侵权请联系删除

CyberNews最近刊载了一篇文章，较为详细地披露了一项针对WordPress的恶意软件注入活动“Balada”，该活动已经渗透了超过100万个网站。 2023 年 4 月，Bleeping Computer 和 TechRadar 等科技媒体开始报道网络攻击者利用漏洞攻击了WordPress，通过通过流行插件 Elementor Pro Premium（网页生成器）和 WooCommerce（在线店面）组合获得访问权限。 据悉，该漏洞的CVSS 分数达到了8.8分，但到 2023 年 5 月，官方 CVE 编号仍未确定。建议运行 Elementor Pro 3.11.6 或更早版本以及激活WooCommerce 插件的网站将 ElementorPro 至少升级到 3.11.7，否则面临认证用户通过利用受损的访问控制实现对网站完全控制的风险，这也是 OWASP 十大风险中最严重的风险。 虽然有关此漏洞的报告已在互联网上广泛传播，但本文将重点关注广泛且高度持久的恶意软件注入活动“Balada”。 什么是Balada 网络安全公司 Sucuri 自 2017 年以来一直在跟踪 Balada注入活动，但直到最近才给这个长期运行的活动命名。 Balada 通常利用已知但未修补的WordPress插件和其他软件漏洞等方式实现初始感染，然后通过执行一系列编排好的攻击策略、跨网站感染和安装后门来传播并保持持久性。 由于Elementor Pro 和 WooCommerce 妥协路径允许经过身份验证的用户修改 WordPress 配置，创建管理员帐户或将 URL 重定向注入网站页面或帖子，Balada可以窃取数据库凭据、存档文件、日志数据或未得到充分保护的有价值文档，同时建立大量命令和控制 (C2) 通道以实现持久性。 Sucuri指出，Balada 注入活动遵循一个确定的月度时间表，通常在周末开始，在周中左右结束。 Balada 主要利用基于 Linux 的主机，但基于 Microsoft 的 Web 服务器（如 IIS）也不能幸免。Balada 遵循其他当代恶意软件活动中的做法，利用由随机、不相关的词组成的新注册域来吸引受害者点击并将其重定向到提供恶意负载的网站。 这些网站通常会以虚假的IT支持服务、现金奖励通知、甚至像CAPTCHAs这样的安全验证服务为幌子。图一总结了Balada将寻求利用的初始攻击载体、试图滥用的服务或插件以及一些公认的持久性载体。巴拉达一旦植入，将很难移除。 图一：针对 WordPress CMS 的基本 Balada 注入工作流程和功能 识别 Balada 注入 Sucuri 的研究进一步证实，Balada 的主要恶意软件例程通常位于受感染设备上的“ C:/Users/host/Desktop/balada/client/main.go”路径。一个半维护的Virus Total集合突出显示了与 Balada 提供的恶意软件及其感染相关的常见文件哈希、URL 和其他指标。 Sucuri还在被入侵的机器日志中反复观察到，从2020年底开始，Balada利用一个过时但反复出现的用户代理 “Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36″。自 2017 年以来，Balada 活动已与 100 多个独特域相关联。Balada 利用“ main.ex_domains ”功能来存储和重用域，以便在每月的感染活动中进行未来攻击。图二的列表突出显示了在最近分析的Balada注入活动中观察到的一小部分常见域。 图二：Balada注入活动中观察到的一小部分常见域 防御措施 对于预防 Balada 感染，除了确保网络服务器主机、网站插件、主题或相关软件保持最新状态，还应该通过 Cisco Umbrella 或 DNSFilter 等解决方案确保DNS 安全可靠。这些功能可以提供网络级或漫游客户端解决方案，以识别、阻止重定向尝试和已知恶意网站的DNS请求。 企业还应该执行强密码政策，特权用户必须满足多因素认证或其他有条件的访问政策，创建特权账户应向有关团队发出提醒。此外企业还应考虑实施或定期评估以下内容： 定期审核 Web 应用程序必要的插件、主题或软件，删除所有不必要或未使用的软件。 针对 Web 应用程序进行内部和常规渗透测试或类似评估，以在 Balada 之前识别可利用的弱点。 对关键系统文件启用文件完整性监控 (FIM)。 严格限制对 wp-config、网站备份数据、日志文件或数据库存档等敏感文件的访问，并确保数据保留策略在不再需要时清除此数据的旧版本。 禁用不必要的或不安全的服务器服务和协议，如 FTP。     转自 Freebuf，原文链接：https://www.freebuf.com/news/369456.html 封面来源于网络，如有侵权请联系删除

来自Adlumin威胁研究的研究人员发现了一个新的恶意PowerShell脚本，被称为PowerDrop，被用于针对美国航空航天领域的组织的攻击。 这种基于PowerShell的恶意软件使用先进的技术来躲避检测，包括欺骗、编码和加密。 Adlumin在发表的分析报告中说：目前尚不确定该恶意软件背后的攻击者，但介于俄乌战争仍在持续且NASA一直在增加导弹发射的研发，所以攻击者可能是带有民族倾向的。 研究人员于2023年5月在一家国内航空航天国防承包商的网络中发现了PowerDrop into。 这个名字来自Windows PowerShell工具，Drop来自代码中用于填充的DROP（DRP）字符串。 该恶意软件被用来在受感染的系统上远程执行命令，并从目标网络收集信息。恶意脚本向C2发送互联网控制消息协议（ICMP）回波请求消息，而C2则回复类似的ICMP ping以进行数据渗透。 报告还说道：使用PowerShell进行远程访问并不新鲜，基于WMI的PowerShell脚本的持久性或ICMP触发也不新鲜，但这种恶意软件的新颖之处在于，以前没有出现过类似的代码，它跨越了认知。 Adlumin建议航空航天国防工业的组织对PowerDrop保持警惕。该公司也敦促在Windows系统的核心运行漏洞扫描，寻找从其网络到外部的异常ping活动。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368892.html 封面来源于网络，如有侵权请联系删除

知名安全厂商Bitdefender 发布的一份报告称，他们在过去6个月中发现了 6万款不同类型的 Android 应用秘密地嵌入了广告软件安全程序。 报告指出，经分析，该活动旨在将广告软件传播到用户的Android系统设备，以此来增加收入。然而，网络攻击者可以轻松地改变策略，将用户重定向到其他类型的恶意软件，如针对银行账户的窃取程序。 据统计，该广告软件主要针对美国用户（55.27%），其次是韩国（9.8%）、巴西（5.96%）和德国（2.93%）。大量独特样本表明，有人设计了一个自动化过程来创建带有恶意软件的应用程序，通过仿冒游戏破解程序、免费 VPN、Netflix 虚假教程、无广告版YouTube/TikTok以及虚假的安全程序来分发。 广告软件活动的国家分布 偷偷安装以逃避检测 这些应用程序托管在第三方网站上，研究人员没有在 Google Play 的应用程序中发现相同的广告软件。访问这些网站时，用户将被重定向到这些应用的下载站点，当用户安装这些应用程序后，并不会将自身配置为自动运行，因为这需要额外的权限。相反，它依赖于正常的 Android 应用程序安装流程，该流程会提示用户在安装后“打开”应用程序。 此外，这些应用程序不会显示图标，并在应用程序标签中使用 UTF-8 字符，因此更难被发现。这是一把双刃剑，因为这也意味着如果用户在安装后不启动该应用程序，则该应用程序很可能不会在安装后启动。 如果启动，该应用程序将显示一条错误消息，指出“应用程序在您所在的地区不可用。点击确定卸载。”但实际上，应用程序并没有被卸载，而只是在注册两个意图（Intent）之前进行了休眠，这两个意图可让应用程序在设备启动或设备解锁时开始运作。Bitdefender 表示后一种意图在前两天被禁用，可能是为了逃避用户的检测。 注册启动广告程序的 Android 意图 启动后，该应用程序将连接到运营方的服务器并检索要在移动浏览器中显示或作为全屏 WebView 广告显示的广告链接。 Android 设备是恶意软件开发人员的高度攻击目标，因为用户能够在不受 Google Play 商店保护之外的其他地方安装应用程序。但目前，即便在Google Play 中也未必安全。近期，来自 Dr. Web 和 CloudSEK 的研究人员发现，恶意间谍软件 SDK  通过 Google Play 上的应用程序在 Android 设备上竟安装了超过 4 亿次。 虽然 Google Play 仍然有恶意应用程序，但从官方商店安装 Android 应用程序总体还是要安全得多，强烈建议用户不要从第三方站点安装任何 Android 应用程序，因为它们是恶意软件的常见载体。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368848.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现了一种新的 Android 木马，它可能危害到 4.21 亿台设备。 Doctor Web团队在上周发布的公告中，公布了有关木马的信息，该木马被称为 Android.Spy.SpinOk 。 SpinOk 具有多种间谍软件功能，包括文件收集和剪贴板内容捕获。该木马可以嵌入其他应用程序中，这就是它传播以感染数百万设备的方式。 SpinOk 模块似乎可以为用户提供吸引人的功能，例如迷你游戏、任务和奖品机会。但是，在激活后，此特洛伊木马 SDK 会建立与命令和控制 (C2) 服务器的连接，传输有关受感染设备的大量技术数据。 Dr.Web点名被恶意植入木马病毒的App多达101个，累积下载量超过4.2亿次，其中甚至不乏被用户大量下载的热门App，如影片剪辑 工具”Noizz”、文档传输工具”Zapya”，这些APP的下载量都超过1亿次。 以下为Dr.Web列出10款最热门的受影响App： 影片剪辑工具Noizz（下载量1亿次以上） 文档传输工具 Zapya（下载量1亿次以上） 影片剪辑工具 VFly（下载量5千万次以上） MV剪辑工具 MVBit（下载量5千万次以上）  影片制作 Biugo（下载量5千万次以上） 手机小游戏 Crazy Drop（下载量1千万次以上） 每日金钱奖励 Cashzine （下载量1千万次以上） 脱机阅读工具 Fizzo Novel（下载量1千万次以上） 每日奖励 CashEM（下载量5百万次以上） 观看影片获取奖励 Tick（下载量5百万次以上） Viakoo首席执行官巴德·布鲁姆黑德 (Bud Broomhead)表示：“威胁行为者已深入挖掘 Android 游戏的利基市场，这些游戏专注于为玩家赚钱。” 他还表示，“他们很可能出于某种原因专注于该利基市场，例如观察这些资金转移到银行账户或玩家将拥有可以进一步利用的特定文件的可能性。” 这些数据包括来自各种传感器（陀螺仪、磁力计等）的信息，使模块能够识别仿真器环境并调整其操作以避免被安全研究人员检测到。 此外，恶意软件可以忽略设备代理设置，从而在分析过程中隐藏网络连接。作为回报，它会从服务器接收 URL 列表，并将其加载到 WebView 中以展示广告横幅。 Doctor Web 专家在 Google Play 上的几个应用程序中检测到木马模块及其各种迭代的存在。虽然有些仍然包含恶意软件开发工具包 (SDK)，但其他一些仅包含特定版本或已从平台中完全删除。 Zimperium 产品战略副总裁 Krishna Vishnubhotla 解释说：“对于移动应用程序开发人员来说，SDK 大多是黑盒子。所有这些都集成在一起以完成特定的已知任务，无论是免费的还是付费的。但没有人检查 SDK 还能做什么，尤其是当它在最终用户设备上的应用程序中运行时。” Krishna Vishnubhotla 说道：“恶意行为者也不会让这变得简单，因为大多数可疑活动代码只有在设备上满足特定条件时才会下载，以避免被发现。” Doctor Web 表示，其分析显示该木马存在于 101 个应用程序中，总下载量为 421,290,300 次。该公司证实他们已将这一威胁通知了谷歌。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/2Rfv6iFrnQfZQ6L8fs2SJA 封面来源于网络，如有侵权请联系删除  

伪装成营销软件开发工具包（SDK）的间谍软件被发现进入101个安卓应用程序，其中许多以前在Google Play上，下载量超过4亿次。 Doctor Web的研究人员称这种恶意SDK为 “SpinOk”，并报告说，它拥有一揽子营销功能，如小游戏和抽奖，以保持访问者长时间使用应用程序。 研究人员进一步解释说：”在初始化时，这个木马SDK通过发送一个包含有关受感染设备的的请求，连接到一个C2服务器。包括来自传感器的数据，如陀螺仪、磁力计等，可用于检测模拟器环境并调整模块的操作程序，以避免被安全研究人员发现”。 Doctor Web表示，它向谷歌通报了分发SpinOk木马的应用程序，这些应用程序已经得到解决，但已经下载这些应用程序的用户仍然面临风险。该团队观察到的10个下载量最大的受影响的安卓应用包括： Noizz – 带有音乐的视频编辑器（至少100,000,000次安装） Zapya – 文件传输、共享（至少100,000,000次安装；木马模块在6.3.3至6.4版本中存在，在目前的6.4.1版本中已不存在） VFly – 视频编辑器和视频制作器（至少50,000,000个安装） MVBit – MV视频状态制作器（至少50,000,000次安装） Biugo – 视频制作者和视频编辑（至少50,000,000次安装） Crazy Drop – (至少10,000,000次安装) Cashzine – 挣钱奖励（至少10,000,000次安装） Fizzo Novel – 离线阅读 (至少10,000,000次安装) CashEM – 获得奖励 (至少5,000,000次安装) Tick-观看赚钱（至少5,000,000次安装）     转自 Freebuf，原文链接：https://www.freebuf.com/news/368071.html 封面来源于网络，如有侵权请联系删除

自2016年以来，出现了一种名为AceCryptor的加密恶意软件，被用于打包各种恶意软件。 斯洛伐克网络安全公司ESET表示，他们在2021年和2022年的遥测中发现了超过24万次密码检测，且每月的点击量超过1万次。 AceCryptor中包含一些比较知名的恶意软件，比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等，且多发现于秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度。 Avast于2022年8月首次对AceCryptor进行了详细说明，介绍了该恶意软件以7-Zip文件的形式在Discord上分发Stop勒索软件和红线窃取器。 加密器的原理与打包器类似，但不是使用压缩，而是用加密来混淆恶意软件的代码，使检测和反向工程更具挑战性。 ESET研究员Jakub kalonik说：尽管威胁行为者可以创建和维护他们自己的自定义密码，但对于犯罪软件威胁行为者来说，将他们的密码保持在所谓的FUD(完全不可检测)状态通常是一项耗时或技术上困难的任务。 对这种保护的需求创造了多种打包恶意软件的加密即服务(CaaS)选项。acecryptor包装的恶意软件是通过盗版软件的木马安装程序、带有恶意附件的垃圾邮件或其他已经危及主机的恶意软件来传递的。它也被怀疑是作为CaaS出售的，因为它被多个威胁者用来传播不同的恶意软件。 据悉，该加密器被严重混淆，并纳入了一个三层架构，以逐步解密和解包每个阶段，并最终启动有效载荷，同时还具有反虚拟机、反调试和反分析技术，以便在雷达下飞行。 据ESET称，第二层似乎是在2019年引入的，作为一种额外的保护机制。另一个代号为ScrubCrypt的加密器服务曾被8220团伙等加密劫持组织利用，因其在受感染的主机上非法挖掘加密货币。 今年1月初，Check Point还发现了一个名为TrickGate的打包器，它被用来部署各种恶意软件，比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367971.html 封面来源于网络，如有侵权请联系删除