安全资讯报告

银行木马Flubot Android恶意软件卷土重来

FluBot是一种适用于Android的银行恶意软件，它通过向全球多家银行提供覆盖登录表单来窃取密码。新的攻击假冒Adobe应用程序，尤其是在欧洲。繁华的银行木马数月来一直让Android用户忙碌，并且总能找到新的技巧来吸引用户下载它。Flubot已经通过虚假的安全更新、虚假的DHL通知和其他网络钓鱼活动进行传播。

Flubot一登陆智能手机，就可以窃取网银登录数据，截取短信和一次性密码，截取屏幕截图。然后将这些数据发送给它背后的人。第二步，恶意软件使用受害者的设备向通讯录中的联系人发送新的网络钓鱼消息。

指向虚假Adobe应用程序的链接像FlubotDHL技巧一样通过SMS和似乎来自朋友的信使消息传播。任何收到可疑消息告诉他们加载Flash播放器的人都应该忽略它，不要单击任何已发送的链接，并立即删除这些消息。

新闻来源：

e95K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2J5k6i4y4W2j5i4u0U0K9s2y4F1K9i4m8W2M7Y4y4Q4x3X3g2U0L8$3#2Q4x3V1k6X3L8s2g2T1L8%4c8Q4x3X3c8S2L8X3c8J5L8$3W2V1i4K6u0V1L8h3q4D9N6$3q4J5k6g2)9J5k6r3W2K6i4K6u0V1j5X3q4U0K9#2)9J5k6s2m8G2M7s2g2D9j5i4u0A6P5X3g2V1i4K6u0V1j5i4y4Q4x3X3c8X3j5h3E0W2i4K6u0V1k6X3I4S2M7$3S2Q4x3X3c8H3L8r3q4&6k6i4u0K6i4K6u0r3

QNAP（威联通）警告：互联网上的NAS设备应防护勒索软件攻击

QNAP已警告客户立即保护暴露在互联网的网络附加存储(NAS)设备免受持续的勒索软件攻击，该公司警告用户通过打开安全顾问（QNAP NAS设备的内置安全门户）来检查他们的NAS是否可以通过互联网访问。

如果仪表板上显示“系统管理服务”可以通过以下协议从外部IP地址直接访问HTTP，则表示NAS暴露在Internet中并且处于高风险。

QNAP建议将NAS设备暴露在Internet访问权限的客户采取以下措施来保护他们免受攻击：

• 关闭路由器端口转发功能：进入路由器管理界面，查看虚拟服务器、NAT或端口转发设置，关闭NAS管理服务端口的端口转发设置（默认为8080和433端口）；

• 禁用QNAP NAS的UPnP功能：进入QTS菜单的myQNAPcloud，单击“自动路由器配置”，取消选择“启用UPnP端口转发”。

BleepingComputer报道了QNAP客户称他们的系统是eCh0raix勒索软件（也称为QNAPCrypt）的攻击目标。在最近的这些攻击中，BleepingComputer已经看到ech0raix勒索价值从1,200美元到3,000美元不等的比特币。

新闻来源：

3d6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3M7h3&6S2M7q4)9J5k6s2N6S2M7X3&6K6i4K6u0V1L8$3k6Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0V1N6r3q4J5k6$3g2@1K9h3&6Y4i4K6u0V1K9h3&6@1k6i4u0F1k6i4c8Q4x3X3c8W2P5s2m8G2M7$3g2V1i4K6u0V1L8X3q4K6i4K6u0V1k6r3g2$3K9h3y4W2M7#2)9J5c8R3`.`.

FBI警告黑客以礼物为幌子向公司发送充满恶意软件的U盘

美国联邦调查局(FBI)警告说，一个名为FIN7的多产网络犯罪集团试图通过向这些组织运送恶意USB驱动器来入侵美国运输、国防和保险行业的公司，希望用“恶意软件”感染他们的系统。并进行未来的攻击。

自2021年8月以来，FBI已收到有关包含这些USB设备的多个包裹的报告。这些包裹是使用美国邮政服务发送的。根据联邦调查局的说法，犯罪分子使用两种程序进行运输：通过显然是由美国卫生与公众服务部发送的包裹（“通常附有提及USB随附的covid-19指南的信件”）;并通过所谓的亚马逊发货，其中包括“一个装有欺诈性感谢信的装饰性礼品盒、一张伪造的礼品卡和一个USB”。

新闻来源：

92bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2H3j5i4u0A6M7$3u0W2j5h3y4G2L8W2)9J5k6h3y4G2L8g2)9J5c8U0t1$3y4K6b7J5i4K6u0r3

Dev破坏了NPM的“colors”和“faker”库，数千个应用程序遭到破坏

流行的开源NPM库“colors”（又名GitHub上的colors.js）和“faker”（又名GitHub上的“faker.js”）背后的开发人员故意在其中引入了恶作剧的提交，这些提交影响了库里数千个应用程序。这些库的开发者故意引入了一个无限循环，将数千个依赖“colors”和“faker”项目搞砸了。

一位名叫Marak Squires的开发人员昨天在版本v1.4.44-liberty-2的colors.js库中添加了一个“new American flag module”，然后他将其推送到了GitHub和npm。

开发人员的这种恶作剧背后的原因似乎是报复——针对大型公司和开源项目的商业消费者，他们广泛依赖免费和社区支持的软件，但据开发人员称，他们不回馈社区。

2020年11月，Marak曾警告称，他将不再通过“免费工作”来支持大公司，商业实体应考虑分叉项目或以每年“六位数”的工资来补偿开发人员。

Marak的大胆举动打开了一罐bug，引起了不同的反应。开源软件社区的一些成员赞扬了开发人员的行为，而其他人则对此感到震惊。

Marak出人意料的举动是在最近Log4j漏洞事件之后发生的。开源库Log4j广泛用于各种Java应用程序，包括由公司和商业实体开发的应用程序。在大规模利用Log4shell漏洞后不久，随着越来越多的CVE被发现，开源库的维护者在假期期间无偿地修补项目漏洞。

随之而来的担忧是大企业如何习惯于“利用”开源；不停地消耗它，但没有给予足够的回报来支持那些通过放弃空闲时间来维持这些关键项目的无偿志愿者。

与此同时，“colors”和“faker”NPM项目的用户应该确保他们没有使用不安全的版本。降级到较早版本的颜色（例如1.4.0）和faker（例如5.5.3）是一种解决方案。

新闻来源：

2a4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3k6r3g2$3i4K6u0V1j5$3!0J5M7Y4g2H3N6s2y4Q4x3X3c8F1M7r3#2Q4x3X3c8D9K9h3u0K6i4K6u0V1j5$3!0D9L8%4u0K6i4K6u0V1j5h3&6V1i4K6u0V1k6X3q4C8k6i4u0Q4x3X3c8T1M7X3g2S2K9$3W2F1k6#2)9J5k6s2c8Z5L8%4g2K6j5h3&6V1M7#2)9J5k6r3!0X3i4K6u0V1j5i4m8H3M7#2)9J5c8R3`.`.

木马化的dnSpy应用程序向研究人员和开发人员投放恶意软件

黑客针对网络安全研究人员和开发人员发起了一场复杂的恶意软件活动，分发恶意版本的dnSpy.NET应用程序，以安装加密货币窃取程序、远程访问木马和矿工。

虽然该软件不再由最初的开发人员积极开发，但原始源代码和新的积极开发版本可在GitHub上获得，任何人都可以克隆和修改。

恶意dnSpy应用程序在执行时看起来像正常程序。它允许您打开.NET应用程序、调试它们并执行程序的所有正常功能。当恶意dnSpy应用程序[VirusTotal]启动时，它会执行一系列命令来创建以提升的权限运行的计划任务。

恶意软件执行以下操作：

• 禁用MicrosoftDefender

• 使用bitsadmin.exe将curl.exe下载到%windir%\system32\curl.exe。

• 使用curl.exe和bitsadmin.exe将各种有效负载下载到C:\Trash文件夹并启动它们。

• 禁用用户帐户控制。

目前，用于支持该活动的dnSpy[.]net和GitHub存储库均已关闭。安全研究人员和开发人员需要不断留意在其设备上安装恶意软件的流行项目的恶意克隆。

新闻来源：

60bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6s2u0G2K9X3q4F1K9i4A6W2k6q4)9J5k6r3c8F1M7%4m8&6i4K6u0V1j5i4m8H3i4K6u0V1k6s2u0G2M7s2y4Q4x3X3c8E0j5h3I4%4j5i4u0W2i4K6u0V1j5$3!0U0K9%4c8S2K9h3I4Q4x3X3c8G2L8W2)9J5k6s2u0W2M7$3g2S2M7X3y4Z5k6i4u0K6i4K6u0V1k6r3g2$3M7#2)9J5c8R3`.`.

2021年出现了八个新的macOS恶意软件家族

专门研究Apple产品的安全研究员Patrick Wardle表示，2021年出现了8个新的macOS恶意软件系列。

2021年发现的新macOS恶意软件包括ElectroRAT、SilverSparrow、XcodeSpy、ElectrumStealer、WildPressure、XLoader、ZuRu和CDDS（又名MacMa）。

ElectroRAT是一种旨在窃取加密货币的跨平台RAT，于1月问世。该恶意软件已通过木马应用程序交付，其功能包括键盘记录、截屏、下载/上传文件和执行命令。

SilverSparrow于2月被发现，它影响了大约30,000台macOS设备，但它仍然是一个神秘的恶意软件，因为它究竟是如何分发的以及它的最终目标是什么仍然不清楚——它的第二个有效载荷没有被发现——但最好的猜测是它提供了广告软件。

XcodeSpy于3月出现，它似乎是针对软件开发人员的。它是通过恶意Xcode项目交付的，它安装了一个名为EggShell的自定义后门变体，允许其运营商监视用户。

ElectrumStealer也在3月被发现，它利用后门的Electrum钱包从受感染的系统中窃取加密货币。苹果无意中对威胁进行了公证。

macOS的WildPressure的存在于7月被披露，此前人们看到它针对的是中东的工业组织。WildPressure活动据信于2019年5月开始，但最初只涉及Windows恶意软件。

XLoader是一种旨在窃取密码的跨平台恶意软件。它被描述为Formbook恶意软件的macOS演变。

ZuRu于9月在中国出现，当时人们观察到它通过赞助的百度搜索结果传播。该恶意软件提供赞助广告和木马化应用程序。

2021年发现的最后一个恶意软件是CDDS(MacMa)，它被谷歌发现。一个老练的威胁参与者一直在利用macOS零日漏洞通过水坑网站向香港用户提供CDDS。

“随着macOS的持续增长和普及（尤其是在企业中！），2022年肯定会带来一批新的macOS恶意软件。”Wardle总结道。

新闻来源：

c92K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4#2M7X3W2@1P5i4N6W2k6h3E0Q4x3X3g2U0L8$3#2Q4x3V1k6W2K9h3N6Z5N6q4)9J5k6r3&6W2N6#2)9J5k6r3#2S2j5$3!0K6i4K6u0V1L8h3q4D9N6$3q4J5k6g2)9J5k6r3k6S2L8h3W2D9K9h3g2K6i4K6u0V1k6h3#2W2M7X3N6W2k6q4)9J5k6o6t1H3x3U0p5`.

安全漏洞威胁

NHS警告黑客攻击VMware Horizon中的Log4j缺陷

英国国家卫生服务局(NHS)的数字安全团队已就未知威胁者主动利用未修补VMware Horizon服务器中的Log4Shell漏洞以投放恶意Web Shell并在受影响的网络上建立持久性以进行后续攻击发出警报。

“攻击可能包括一个侦察阶段，攻击者通过Log4Shell有效负载使用Java命名和目录接口(JNDI)回调恶意基础设施，”非部门公共机构在警报中说。“一旦发现漏洞，攻击就会使用轻量级目录访问协议(LDAP)检索并执行恶意Java类文件，该文件将Web shell注入VM Blast安全网关服务。”

Web Shell部署后，可以作为执行大量利用后活动的渠道，例如部署额外的恶意软件、数据泄露或部署勒索软件。VMware Horizon版本7.x和8.x容易受到Log4j漏洞的攻击。

新闻来源：

695K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2Z5j5h3y4C8k6i4u0F1k6i4N6K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9J5x3W2)9J5c8U0l9I4i4K6u0r3L8X3S2K6i4K6u0V1N6$3q4J5L8Y4y4Q4x3X3c8G2k6W2)9J5k6r3S2S2j5$3E0W2M7Y4y4Q4x3X3c8@1j5i4u0Y4k6i4c8A6L8X3N6Q4x3X3c8D9L8$3M7@1K9W2)9J5k6h3S2@1L8h3H3`.

一个存在9年历史的Windows漏洞正成为勒索软件黑客的目标

勒索软件团伙Malsmoke正在利用一个存在9年之久的漏洞渗透到世界各地的设备中，这凸显了定期软件修补的重要性。

根据该公司的一份报告，最近的攻击首先由网络安全公司CheckPoint发现，到目前为止，已有超过2,000名受害者下载了恶意文件。在这里面，Check Point的戈兰研究员科恩说“中的感染链并入技术包括使用正版的远程管理软件，以获得对目标机器的初始接入。然后，该恶意软件利用微软的数字签名验证方法将其有效负载注入已签名的系统DLL中，以进一步规避系统的防御。”

该漏洞被称为WinVerifyTrust签名验证漏洞，它允许网络犯罪分子实施任意代码，对文件进行小幅更改以保留数字签名的有效性，而不管文件是否已被篡改。

Palo Alto Networks的威胁情报分析师Alex Hinchliffe解释说：“这里的关键信息是他们能够利用合法的Microsoft Windows程序和组件来部署他们的最终有效载荷Zloader恶意软件。”Zloader是一种流行的银行木马，被Conti和Ryuk等成熟的勒索软件团伙使用。

微软在2013年首次发现该漏洞时对其进行了修补，但至关重要的是，该补丁并未使该补丁成为所有Windows用户的自动更新。当时该公司表示，这是因为该补丁可能会导致进一步的问题，例如错误地将正版文件标记为恶意文件。但九年过去了，这意味着许多Windows设备仍然容易受到攻击。

新闻来源：

bc1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1k6h3y4Z5L8h3!0F1K9i4c8G2M7W2)9J5k6h3q4A6i4K6u0r3N6r3g2U0K9r3&6G2L8r3!0Y4P5g2)9J5c8X3y4&6j5X3g2J5M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6E0j5h3I4K6L8h3!0C8k6g2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3c8$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0V1M7X3q4F1M7$3!0E0N6$3q4J5k6b7`.`.