iOS 上首次发现带有截图读取的恶意软件
卡巴斯基报告称,首次在可疑 App Store 应用中发现了包含读取截图内容代码的恶意软件。这种恶意软件被称为“SparkCat”,具备光学字符识别 (OCR) 功能,能够识别用户截屏中的敏感信息。卡巴斯基发现的应用旨在查找加密钱包的恢复短语,这将允许攻击者窃取比特币和其他加密货币。这些应用包含一个恶意模块,该模块使用谷歌 ML Kit 库创建的 OCR 插件来识别截图中的文本。当找到加密钱包的相关图像时,就会被发送到攻击者访问的服务器。SparkCat 自2024年3月左右开始活跃。类似的恶意软件曾在2023年被发现,当时针对的是安卓和 PC 设备,现在已蔓延到 iOS。似乎针对的是亚欧的 iOS 用户。
—— MacRumors
隐秘的恶意软件在企业 VPN 网关制造“魔法数据包”后门
流明科技威胁研究和运营部门 Black Lotus Labs 的研究人员发现,恶意软件 J-magic 活动活跃在2023年中期到至少2024年中期期间,旨在实现“低检测度和长期访问”。该恶意活动专门针对瞻博网络边缘设备,其中许多设备充当 VPN 网关,只有在网络流量中检测到“魔法数据包”时才会启动反向 shell。恶意软件攻击似乎针对的是半导体、能源、制造 (船舶、光伏电池板、重型机械) 和 IT 行业的组织,已发现至少36个组织网络被感染。
J-magic 会查找五个条件,如果数据包满足其中一个条件,就会生成反向 shell。但是,发送者必须先完成一个验证问题,才能访问受感染的设备。J-Magic 是轻量级后门程序,只运行在内存之中,这增加了其被安全软件检测出的难度。
—— Bleeping Computer
BadBox 僵尸网络卷土重来感染19万台设备
网安公司 BitSight 发布博文称,BadBox 恶意僵尸网络正在全球范围内扩散,并已感染了海信T963智能手机和 Yandex 电视等19.2万台设备。安卓设备一旦被 BadBox 感染,将被转换为住宅代理,用于广告欺诈或出租给网络犯罪分子进行攻击等非法活动。德国联邦信息安全办公室上周采取行动,切断了三万台设备与该僵尸网络的连接,但其规模仍在持续增长。研究人员攻克 BadBox 的一台命令和控制服务器,发现在24小时内有超过16万个独立 IP 地址尝试连接,且该数字还在持续增长。受感染设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。
—— Bleepingcomputer
日本一男子因利用 AI 制造恶意软件而被判有罪
东京地方法院25日以欺诈性电磁记录制作罪成,判处25岁无业被告林琉輝有期徒刑三年,缓刑四年。这可能是日本首次因滥用生成式 AI 作出刑事定罪的案例。
根据起诉书,2023 年 3 月,被告指示“非官方版 ChatGPT”以代码和设计图做出响应,以(1)加密特定文件以使其无法使用;(2)创建请求支付加密资产“比特币”的文本。 生成式 AI 通常无法响应可用于犯罪目的的指令。为了规避这一限制,被告提出了多个生成的 AI 不会判断为非法的问题,并结合答案在大约六个小时内创建了该软件。
—— 共同社,读卖新闻
朝鲜黑客利用新发现的 Linux 恶意软件攻击银行 ATM
受朝鲜政府支持的黑客在入侵了运行 AIX(IBM 专有的 Unix 版本)和 Windows 的银行基础设施之后,现在已将攻击范围扩大到 Linux。该恶意软件名为 FASTCash,是一种远程访问工具,安装在受感染网络内处理支付卡交易的支付交换机上。FASTCash 的目的是破坏银行间网络内的一个关键交换机,该恶意软件驻留在连接发卡域和收单域的银行间交换机的用户空间部分。当使用被盗卡进行欺诈性转账时,FASTCash 会篡改交换机,发卡机构拒绝交易的消息被更改为批准。
上周末,一名研究人员报告称,发现了两个运行在 Linux 上的交换机 FASTCash 样本。其中一个样本是为 Ubuntu Linux 20.04 编译的,很可能是在 2022 年 4 月 21 日之后的某个时间开发的。另一个样本可能未被使用。截至周日,只有四个反恶意软件引擎检测到每个样本,检测次数为零。
—— ArsTechnica
朝鲜黑客利用新发现的 Linux 恶意软件攻击银行 ATM
受朝鲜政府支持的黑客在入侵了运行 AIX(IBM 专有的 Unix 版本)和 Windows 的银行基础设施之后,现在已将攻击范围扩大到 Linux。该恶意软件名为 FASTCash,是一种远程访问工具,安装在受感染网络内处理支付卡交易的支付交换机上。FASTCash 的目的是破坏银行间网络内的一个关键交换机,该恶意软件驻留在连接发卡域和收单域的银行间交换机的用户空间部分。当使用被盗卡进行欺诈性转账时,FASTCash 会篡改交换机,发卡机构拒绝交易的消息被更改为批准。
上周末,一名研究人员报告称,发现了两个运行在 Linux 上的交换机 FASTCash 样本。其中一个样本是为 Ubuntu Linux 20.04 编译的,很可能是在 2022 年 4 月 21 日之后的某个时间开发的。另一个样本可能未被使用。截至周日,只有四个反恶意软件引擎检测到每个样本,检测次数为零。
—— ArsTechnica
韩国黑客利用 WPS Office 零日漏洞部署恶意软件
与韩国关联的网络间谍组织 APT-C-60 一直在利用 Windows 版 WPS Office 中的零日代码执行漏洞,在目标上安装 SpyGlace 后门。该零日漏洞被追踪为 CVE-2024-7262,自至少 2024 年 2 月下旬以来就已被在野攻击中利用,但影响的版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。
金山软件在今年 3 月“悄悄”修补了这个问题,但没有通知客户该漏洞已被积极利用,促使发现该活动和漏洞的 ESET 今天发布了一份详细的报告。除此之外,ESET 的调查还发现了第二个任意代码执行的严重漏洞,追踪为 CVE-2024-7263,金山软件于 2024 年 5 月下旬使用版本 12.2.0.17119 修补了该漏洞。
—— Beeping Computer
黑客利用恶意软件关闭乌克兰城市供暖系统
安全研究人员和乌克兰当局得出结论,由于市政能源公司遭受网络攻击,今年1月中旬的两天里,利沃夫市的一些乌克兰人不得不生活在没有集中供暖的情况下,并忍受着严寒。23日,网络安全公司 Dragos 发布了报告,详细介绍了一种名为 FrostyGoop 的新恶意软件,该公司称该恶意软件主要针对工业控制系统。研究人员于4月份首次检测到该恶意软件。乌克兰当局表示,他们发现证据表明该恶意软件在1月22日深夜至1月23日期间在利沃夫的网络攻击中被使用,这导致600多栋公寓楼停暖近48小时。研究人员称恶意软件是通过 Modbus 协议与工业控制设备进行交互,因此可用于攻击其他公司和设施。
—— Techcrunch
俄罗斯品牌 Digma 按键机中发现恶意软件
那些认为功能机不会受到远程黑客攻击的用户却收到了一个不愉快的惊喜。分析手机安全的专家发现 Digma 品牌手机存在一个内置漏洞。允许通过互联网控制您的手机:远程发送和接收短信、将数据传输到第三方服务器、使用您的电话号码注册即时通讯帐户等。Digma 按键手机目前占据俄罗斯5.9%的市场份额,其销售额正在增长。正如遇到该问题的对话者告诉「生意人报」的那样,在购买 Digma 按键手机并插入新的 SIM 卡一个月后,在用户不知情的情况下该号码被注册了 WhatsApp 帐号。存在感染的手机固件会定期通过网络与服务器联系,报告手机的 IMEI 标识符、SIM卡标识符和电信运营商。
—— 生意人报
TikTok 缓解针对知名账户的恶意软件攻击
TikTok表示已修复导致本周发生网络攻击的漏洞。黑客向用户发送了一条带有恶意软件的私人消息,用户打开该消息后就会接管用户的帐户。TikTok 证实,身份不明的黑客已经成功接管 CNN 的账号。黑客还试图劫持帕丽斯·希尔顿 (Paris Hilton) 的 TikTok 账户。目前尚不清楚此次攻击的幕后黑手是谁以及黑客利用了什么漏洞,但这种类型的攻击极为罕见,可能不会影响普通用户。TikTok 发言人补充说,公司正在积极与受影响的账户所有者合作,以恢复他们的访问权限
—— Axios