由 Epic 与苹果在法庭上展开交锋期间披露的电子邮件信息可知，2015 年的时候，共有 1.28 亿 iOS 用户下载了被 XcodeGhost 恶意软件感染的应用程序。当时逃过官方检测的 XcodeGhost，旨在通过挖掘用户数据来牟利。尽管苹果很快采取了行动，但有关 XcodeGhost 攻击影响的完整细节，仍不被外界所知晓。 在本周的 Epic Games 诉苹果 App Store 案件审理期间，我们终于对 XcodeGhost 黑客攻击事件的影响范围有了更清晰的了解。 率先曝光这一系列邮件的 Motherboard 指出：期间共有 1.28 亿用户下载了含有恶意代码的 2500 多款应用程序，且其中约 1800 万用户均位于美国地区。 邮件中还详细说明了苹果是如何努力确定攻击的严重程度，并向受害者发出通知的。 App Store 副总裁 Matt Fischer 说到：由于大量潜在的客户受到了影响，我们是否有必要向所有客户发送电子邮件通知？ 请注意，这在电子邮件的语言本地化方面也带来了一些挑战，因为 App 下载发生在全球各个区域的 App Store 市场。 对于此事，时任 iTunes 客户体验经理 Dale Bagwell 表示同意，理由是大规模的通知将极具挑战性。 我们有一款能够发送批量请求的工具，但目前仍处于测试阶段，以确保我们能够正确地向每个用户通报确切的应用程序名称。 不过 Bagwell 也提到了该工具的一些局限性，比如向 1.28 亿人发送大量电子邮件的话，可能需要耗费一周的时间。 最后需要指出的是，尽管 XcodeGhost 恶意软件在 App Store 上非常普遍，但事情并不特别复杂或危险。 当时苹果表示，没有任何信息表明它被用于任何恶意的事情、或收集可识别的个人身份信息。     （消息及封面来源：cnBeta）

Apple Insider 报道称：早在 2016 年，苹果就已经收购了恶意软件检测初创企业 SourceDNA 。但直到其被扯进 Epic Games 诉苹果 App Store 案件，外界才正式获知了这一消息。作为一家初创企业，SourceDNA 打造了一款用于检查应用程序是否存在恶意软件或恶意代码的自动化系统。而在近日的案件审理期间披露的电子邮件表明，苹果于 2015 年产生了收购 SourceDNA 的意向。 苹果应用审查流程高级主管 Trystan Kosmynka 表示，XcodeGhost 引发的问题，让他们提起了收购 SourceDNA 的浓厚兴趣。 作为一款臭名昭著的恶意软件，XcodeGhost 在 2015 年污染了苹果 App Store 上的诸多应用程序。2015 年的时候，SourceDNA 还揭示了第三方开发人员工具的一些违规行为，比如秘密地记录了某些信息。 此外由披露的电子邮件信息可知，这起收购将世界顶尖的工程师兼安全专家创始人 Nate Lawson、及其获得专利的二进制分析和定制的逆向编译器等技术，也纳入了苹果麾下。 最后，在周四的证词中，Trystan Kosmynka 扩展讲述了苹果在 App Store 在应用审核过程中用于捕获恶意软件的相关工具。 在收购了 SourceDNA 之后，他们利用这家初创企业的相关技术，重新打造了一款较新的工具。   （消息及封面来源：cnBeta）

随着互联网的普及和不断发展，躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来，我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道，且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁，都使用了欺骗性的电子邮件作为攻击媒介，以诱使受害人在设备上安装恶意软件。 今天，软件巨头微软再次发布了面向组织机构的反诈宣传文案，并且强调了已经泛滥成灾的礼品卡骗局。 文中指出，攻击者正在利用企业电子邮件泄露（BEC）。作为一种网络钓鱼技术，其旨在访问企业信息或窃取金钱。 在本例中，攻击者利用了域名抢注，来诱骗受信任误以为发件人是老朋友，且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中，行政助理收到了一封伪装成其老板的电子邮件，称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作，因而交代行政人员立即采购一批礼品卡，并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后，最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单，但微软还是指出了 BEC 攻击的不同寻常之处。有些时候，攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后，冒名者通常会立即访问特定的站点，以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中，大部分都是在攻击发生数日前抢注的，意味着背后的组织协调性可能也极高。 微软补充道：我们注意到这些域名并未启用隐私保护，更谈不上欧盟《通用数据保护条例》（GDPR）的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址（首选 Gmail 等免费邮件服务），且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样，微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击，它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     （消息及封面来源：cnBeta）

本周，趋势科技（Trend Micro）安全研究人员分享了有关“Panda Stealer”恶意软件的详情。可知除了垃圾邮件、攻击者还选择了将它放入 Excel 文档并通过 Discord 渠道进行传播，以窃取用户的加密货币。由目前上传至 VirusTotal 的样本和调查分析可知，该恶意软件以波及美国、澳大利亚、日本和德国等地，且感染链条通常可追溯到一封网络钓鱼邮件。 安全研究人员指出，Panda Stealer 会在钓鱼邮件中将自身伪装成企业询价。在欺骗受害者打开了 .XLSM 后缀的文件并启用宏操作后，恶意软件就会尝试下载并执行主窃取程序。 此外 Panda Stealer 还有另一种感染途径，通过在 .XLS 格式的附件中插入一个隐藏了 PowerShell 命令 Excel 公式，恶意软件会在触发后尝试访问 paste.ee 这个网址，以将 PowerShell 脚本引入受害者的系统。 Trend Micro 表示，Visual Basic 中的 CallByName 导出功能，被攻击者用于从 paste.ee 网址调用内存中的 .NET 程序集。 通过 Agile.NET 混淆器加载的程序集，将把合法的 MSBuild.exe 进程掏空，然后用攻击者的有效负载替换（来自另一个 paste.ee 网址的十六进制编码的 Panda Stealer 二进制文件）。   下载完成后，Panda Stealer 将检测与以太坊（ETH）、莱特币（LTC）、字节币（BCN）、达世币（DASH）等加密货币有关的钱包密钥和地址。 此外该恶意软件能够屏幕截图、泄露系统数据、以及窃取信息，包括浏览器 Cookie、NordVPN、Telegram、Discord、以及 Steam 账户的凭据。 通过对攻击链条和恶意软件分发方式的分析，Trend Micro 认为 Panda Stealer 与 Phobos 勒索软件（以及 4 月份报告中提到的 LockBit）存在许多相似之处。 尽管未将该活动归因于特定的网络攻击者，但 Trend Micro 还是顺着命令与控制服务器，反向找到了幕后黑手的 IP 地址、以及从 Shock Hosting 租用的 VPS 服务器（后者已处于被挂起的状态）。     （消息及封面来源：cnBeta）

据外媒报道，网络安全公司卡巴斯基今日表示，它发现了一个疑似由美国中央情报局(CIA)开发的新恶意软件。卡巴斯基表示，该公司的分析师和其他安全公司在2019年2月收到的“恶意软件样本”中发现了这个恶意软件。 虽然最初的分析没有发现跟任何已知恶意软件样本有任何共享代码，但卡巴斯基最近重新分析了这些文件，结果表示发现这些样本具有在Lambert家族中发现的编码模式、风格和技术的交集。据悉，Lamberts是卡巴斯基用来追踪CIA黑客行动的内部代号。 四年前，维基解密在一系列名为Vault7的泄密中向公众披露了CIA的黑客能力，美国安全公司赛门铁克(Symantec)公开将Vault7黑客工具跟CIA和Longhorn APT（Lamberts另一个行业称呼）联系在一起。 由于这些新发现的样本跟CIA过去的恶意软件有着相似之处，卡巴斯基指出，他们现在正在追踪这个名为Purple Lambert的新恶意软件集群。 根据Purple Lambert元数据，恶意软件样本似乎是在七年前也就是2014年编译的。 卡巴斯基表示，虽然它没有在野外看到任何这些样本，但他们认为Purple Lambert样本很可能早在2014年就已经部署，最晚时间是2015年。 至于这种恶意软件的作用，卡巴斯基对其的描述似乎表明，这种恶意软件是一种后门木马，用来监听网络流量、获取特定的数据包以便在受感染的主机上激活它。   （消息及封面来源：cnBeta）

Bleeping Computer 报道称，近期通过假冒微软商店、Spotify 和在线文档转换等网站的恶意软件活动有大幅增长的趋势。ESET 威胁检测实验室负责人 Jiri Kropac 在接受采访时称：这些站点旨在向受害者分发恶意软件，以窃取保存在 Web 浏览器中的信用卡和密码等隐私信息。ESET 已经留意到了相关情况、并且正在对此展开持续监测，同时在 Twitter 上发出了相关警告。 Jiri Kropac 指出，此类攻击多通过恶意广告的形式传播，以将之伪装成看似合法的应用程序。比如在某个案例中，攻击者就伪造了微软的国际象棋 App 下载页面。 但当用户点击广告时，其实会被带到精心编造的页面，然后欺骗受害者下载货不对板的“xChess 3”游戏。   该程序会自动从亚马逊 AWS 服务器下载名为“xChess_v.709.zip”的压缩包，但本质上是重新封包的“Ficker”（或 FickerStealer）恶意软件。 作为一款被 ESET 定义为 [VirusTotal] 的恶意软件，其目标是窃取用户的机密信息（详见 Bleeping Computer 分享的 Any.Run 演示）。   本轮恶意软件攻击的第二个冤大头是 Spofity，该恶意软件会将自己伪装成流媒体音乐播放器（或在线文档转换器）。 在用户误点击了所谓“登录页面”的广告之后，它会自动下载包含 Ficker 的 .zip 恶意软件压缩包。 若用户粗心地选择了解压、并启动了可执行文件，Ficker 恶意软件就会被唤醒、并开始窃取存储在计算机上的相关数据。   据悉，Ficker 是一款信息窃取木马，最初于今年 1 月在俄语黑客论坛上公布，当时开发者开始向其它威胁参与者叫卖该恶意软件。 由原贴描述可知，恶意软件开发者详细介绍了 Ficker 的相关功能，并允许他人进行长短期的租赁（短则一周、多则半年）。 通过该恶意软件，攻击者可在 Web 浏览器、桌面消息传递服务（Pidgin / Steam / Discord）和 FTP 客户端中窃取保存的凭据。 此外恶意软件开发者西环城 Ficker 能够窃取 15 款以上加密货币的钱包，以及受害者计算机上运动的活动应用程序截图和相关文档。 最后，收集到的相关信息会被编译成一个 .zip 压缩文件并回传，以便攻击者能够提出数据并用于其它恶意活动。 综上所述，考虑到 Ficker 恶意软件的广泛功能，ESET 建议受害者们应立即更改其线上服务的密码、检查防火墙以揪出可疑的端口转发规则、并对计算机进行彻底的反病毒扫描，以检查系统中是否存在其它恶意软件。   （消息及封面来源：cnBeta）

超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用，订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用，这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。 反病毒厂商Doctor Web的一份报告指出，这些恶意应用保留了其宣传的功能，但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉，受感染的应用程序要求访问通知，这使得他们能够拦截订阅服务通过短信传递的确认代码。 据研究人员介绍，该恶意软件最多可以为一个用户订阅五项服务，不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。 其中大部分来自一个开发商，两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为，该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们，但已经在设备上运行这些应用的用户需要进行手动清理。 研究人员表示，AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中，被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活，恶意软件就会与其远程服务器通信，以获取配置文件，其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。 Joker恶意软件的历史最早可以追溯到2017年，并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月，卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用，这些应用已经进入了官方商店。 而关于Google Play中恶意软件的报道也不断出现。2020年初，谷歌宣布，自2017年以来，已经删除了约1700个感染了Joker的应用。去年2月，Joker仍然存在于商店中，即使在去年7月，它也继续从谷歌的防御系统中溜走。   （消息及封面来源：cnBeta）

Gigaset 透露，在其 Android 设备上发现的恶意软件感染事件，是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示，此事似乎可追溯到 3 月 27 日，受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270（plus）、以及 GS370（plus）等系列。 通过与安装的系统更新 App 下载并安装，这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告，并在 4 月 7 日阻断了进一步的感染。 目前 Gigaset 已经为受影响的设备部署了自动清除恶意软件的措施，并建议用户将设备连接到互联网（打开 WLAN 或开启移动数据）和连接至充电器。 如果一切顺利的话，感染恶意软件的设备可在 8 小时内得到恢复。以下是本次 Gigaset 设备上感染的恶意软件完整列表： ● Gem ● Smart ● Xiaoan ● asenf ● Tayase ● com.yhn4621.ujm0317 ● com.wagd.smarter ● com.wagd.xiaoan 此外 Gigaset 敦促用户访问“设置”应用，以检查设备是否存在安装疑似恶意软件的感染迹象，并且确保设备上的其它软件也都更新到了最新版本。 具体受影响的设备型号包括 GS160 / GS170 / GS180 全版本，以及 GS100_HW1.0_XXX_V19、GIG_GS270_S138、GIG_GS270_plus_S139、GIG_GS370_S128 和 GIG_GS370_plus_S128 等最高版本。 除此之外，GS110、GS185、GS190、GS195、GS195LS、GS280、GS290、GX290、GX290plus、GX290 PRO、GS3 和 GS4 系列并未受到本次事件的影响。   （消息及封面来源：cnBeta）

安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种，该软件通过承诺免费订阅Netflix来吸引受害者。周三，Check Point Research(CPR)表示，这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。 这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用，似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里，商店关门，酒吧关闭，允许外出的次数有限，我们转而使用流媒体服务来打发时间。到2020年底，Netflix的付费用户数突破了2亿大关。很可能是由于COVID-19的刺激，恶意软件运营商决定抓住这一趋势。”FlixOnline “欺诈性应用承诺全球 “无限娱乐”，并因大流行而免费订阅两个月的高级Netflix。 然而，一旦下载，该恶意软件就会 “监听 “WhatsApp的对话，并自动回复带有恶意内容的信息。安装后，该应用会要求获得覆盖权限，这是盗窃服务凭证的常见行为，它还要求忽略电池优化，它可以阻止设备自动关闭软件以节省电力。此外，FlixOnline还要求获得通知权限，使恶意软件能够访问与WhatsApp通信相关的通知。 WhatsApp消息的自动回复包括以下内容，发送给受害者的联系人，”在世界任何地方60天获得2个月的Netflix高级免费服务。”，并且附带一条恶意链接。据研究人员介绍，该恶意软件可以通过恶意链接进一步传播，窃取WhatsApp的对话数据，并在安卓设备上安装后，有能力通过消息服务传播虚假信息或有害内容。 此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站，试图获取用户的信用卡信息和证书。然而，由于该消息是从命令和控制（C2）服务器获取的，其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。 在被发现之前，FlixOnline约造成500名受害者，时间大约为两个月，而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌，目前该应用已从Play Store中删除。WhatsApp也被告知该活动，但由于没有可利用的漏洞或问题，恶意软件使用通过消息应用程序传播，因此不需要采取行动。           （消息及封面来源：cnBeta）

安全研究人员表示，一种强大的新型Android恶意软件伪装成关键的系统更新，可以完全控制受害者的设备，并窃取他们的数据。该恶意软件被发现捆绑在一个名为 “系统更新 “的应用中，必须在Android设备的应用商店Google Play之外安装。 一旦用户安装后，该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。发现该恶意应用的移动安全公司Zimperium的研究人员表示，一旦受害者安装了该恶意应用，该恶意软件就会与运营商的Firebase服务器进行通信，用于远程控制设备。 该间谍软件可以窃取信息、联系人、设备细节、浏览器书签和搜索历史记录，从麦克风记录通话和环境声音，并使用手机摄像头拍照。该恶意软件还可以跟踪受害者的位置，搜索文档文件，并从设备的剪贴板上抓取复制的数据。 恶意软件隐藏在受害者身边，并试图通过向攻击者的服务器上传缩略图而不是完整的图像来减少网络数据的消耗，从而逃避捕获。该恶意软件还能捕获最新的数据，包括位置和照片。 Zimperium首席执行官Shridhar Mittal表示，该恶意软件很可能是定向攻击的一部分。诱骗别人安装恶意应用是一种简单但有效的方法，可以危害受害者的设备。这就是为什么安卓设备会警告用户不要安装应用商店以外的应用。但许多旧设备并不能运行最新的应用，迫使用户依赖来自盗版应用商店的旧版应用。             （消息及封面来源：cnBeta）