安全研究 SECURITY SERVICE

Rootkit(Scranos)使用有效签名,窃取用户登录凭

发布时间: 2019-04-19
来源:
浏览数: 111

(2019-03-15)今日威胁情报



1、  Rootkit(Scranos)使用有效签名,窃取用户登录凭


Bitdefender最近发布研究报告称一个具有有效签名的rootkit(被称为Scranos)正在多个国家进行广泛传播,主要用于窃取用户的登录凭据、支付信息和浏览器历史记录,还可用于在社交网络上传播垃圾信息和广告。Scranos伪装成视频驱动程序,安装后,它可以下载攻击者选择的任何有效负载。具体行为如下:目标包括主流浏览器Chrome,Chromium,Firefox,Opera,Edge,Internet Explorer,百度和Yandex,以及来自Facebook,亚马逊,Airbnb,Steam和Youtube的服务。其使用的证书是DigiCert向上海一家健康管理咨询公司颁发的证书,目前证书仍然有效,攻击者可能是盗用了该证书。Bitdefender研究人员称Scranos Rootkit通过不断发展,已经感染了印度、罗马尼亚、巴西、法国、意大利和印尼等国家的用户。


相关链接:http://t.cn/EXr0qUI


2、  勒索软件BitPaymer新变体利用PsExec进行传播


研究人员发现美国一家制造公司遭到勒索软件BitPaymer新变体的攻击。该变体(Ransom.Win32.BITPAYMER.TGACAJ)利用PsExec进行分发,并在赎金票据和加密文件的扩展名中使用了受害公司的名称。由于攻击者至少需要一个具有管理员权限的帐户才能通过PsExec运行命令,这意味着在勒索软件安装之前攻击者已经通过某种手段获得了管理员权限。


相关链接:http://t.cn/EXr0fkk


3、  针对性邮件钓鱼攻击,利用AutoHotkey引擎执行恶意脚本


近日,发现了一种潜在的针对性钓鱼攻击,它利用合法的脚本引擎AutoHotkey和恶意脚本文件。此次攻击采用电子邮件附件进行分发,伪装成文件名为“Military Financing.xlsm”的合法文档。用户需要启用宏才能完全打开,之后使用AutoHotkey引擎加载恶意脚本文件以避免检测。AutoHotkey加载恶意脚本文件后,会连接到其C&C服务器以下载并执行其他脚本文件并响应来自服务器的命令。最终,它可以窃取某些重要的用户信息,甚至下载TeamViewer以获得对系统的远程访问。


相关链接:http://t.cn/EXr0XIc


4、  肚脑虫(APT-C-35)组织升级安卓APK攻击框架


肚脑虫(APT-C-35)组织,主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用恶意安卓APK进行传播。近期,奇安研究团队发现该组织对其恶意安卓APK框架进行了大规模升级,无论是实用性还是稳定性都增强了不少,由于本次使用的APK框架与以往所使用的样本差异性过大,因此通过使用其代码中出现频率较高的词汇Job,将该框架命名为StealJob。目前,在野并未发现利用此APK框架的真实攻击案例。


相关链接:http://t.cn/EX8aHeM


5、  前Mozilla工程师爆料,谷歌一直在破坏火狐


IT之家4月18日消息 作为全球范围内使用最多的浏览器,谷歌Chrome浏览器可以说在浏览器市场有着地位举足轻重,但近日,火狐浏览器开发商Mozilla前员工在推特上爆料,为了让Chrome成功,谷歌采用了一些卑劣手段抢占市场。


相关链接:http://t.cn/EX8brzH



(2019-03-15)今日威胁情报





1、【高】Microsoft Edge Chakra脚本引擎内存损坏漏洞(CNVD-2019-10378)


相关链接:http://t.cn/EXmdFjf


2、【高】Cisco IOS XE命令注入漏洞(CNVD-2019-10454)


相关链接:http://t.cn/EXuXP69


3、【高】超级CMS前台in***.php页面存在SQL注入漏洞(CNVD-2019-08471)


相关链接:http://t.cn/EX8p0pi


4、【高】组态王6.60 SP3存在拒绝服务漏洞(CNVD-2019-08478)


相关链接:http://t.cn/EX8X9Cc


5、【高】IBM BigFix Platform未授权操作漏洞( CNVD-2019-10448)


相关链接:http://t.cn/EXmgNAz

 

 


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 微软补丁日通告:2025年4月版
    点击次数: 13
    2025 - 04 - 14
    微软补丁日通告:2025年4月版https://msrc.microsoft.com/update-guide/releaseNote/2025-Apr Neptune RAT:针对Windows系统的高级远控木马  https://www.cyfirma.com/research/neptune-rat-an-advanced-windows-rat-with-system-destruction-capabilities-and-password-exfiltration-from-270-applications/ 伪装成政府官方应用的Android恶意软件变种分析 https://www.seqrite.com/blog/beware-fake-nextgen-mparivahan-malware-returns-with-enhanced-stealth-and-data-theft/ Scattered Spider借助多种钓鱼套件与RAT技术持续发起网络攻击 https://www.silentpush.com/blog/scattered-spider-2025/?utm_source=rss&utm_medium=rss&utm_campaign=scattered-spider-2025 APT32利用GitHub对安全团队和企业网络发动攻击 https://gbhackers.com/apt32-turns-github-into-a-weapon-against-security-teams/
  • Konni组织假冒韩国政府机构发动鱼叉式网络钓鱼攻击
    点击次数: 11
    2025 - 04 - 09
    Konni组织假冒韩国政府机构发动鱼叉式网络钓鱼攻击  https://www.genians.co.kr/blog/threat_intelligence/konni_disguise Gamaredon钓鱼攻击活动使用LNK文件分发Remcos后门 https://blog.talosintelligence.com/gamaredon-campaign-distribute-remcos/ Head Mare组织利用PhantomPyramid后门程序发动攻击 https://securelist.ru/head-mare-attacks-with-phantompyramid/112164/ HollowQuill行动:通过诱饵PDF将恶意软件植入俄罗斯研发网络 https://www.seqrite.com/blog/operation-hollowquill-russian-rd-networks-malware-pdf/ 黑客滥用WordPress MU插件隐藏恶意代码 https://blog.sucuri.net/2025/03/hidden-malware-strikes-again-mu-plugins-under-attack.html
  • 恶意广告活动通过GitHub托管信息窃取器
    点击次数: 12
    2025 - 03 - 10
    东欧黑客针对ISP基础设施开展信息窃取活动 https://www.splunk.com/en_us/blog/security/infostealer-campaign-against-isps.html Dark Caracal利用网络钓鱼电子邮件进行Poco RAT攻击活动 https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/the-evolution-of-dark-caracal-tools-analysis-of-a-campaign-featuring-poco-rat Eleven11bot僵尸网络针对3万多台设备发动大规模DDoS攻击https://www.greynoise.io/blog/new-ddos-botnet-discovered 恶意广告活动通过GitHub托管信息窃取器https://www.microsoft.com/en-us/security/blog/2025/03/06/malvertising-campaign-leads-to-info-stealers-hosted-on-github/ LinkedIn钓鱼邮件传播ConnectWise RAT https://cofense.com/blog/linkedin-inmail-spoofing-email-delivers-connectwise-rat
  • Lotus Blossom间谍组织使用多种黑客工具攻击多个行业
    点击次数: 123
    2025 - 03 - 03
    Ghostwriter新行动瞄准白俄反对派与乌克兰政军 https://www.sentinelone.com/labs/ghostwriter-new-campaign-targets-ukrainian-government-and-belarusian-opposition/ 恶意PyPI包滥用Deezer凭证进行非法音乐下载 https://socket.dev/blog/malicious-pypi-package-exploits-deezer-api-for-coordinated-music-piracy 攻击者利用虚假WordPress插件注入垃圾信息影响SEO  https://blog.sucuri.net/2025/02/fake-wordpress-plugin-impacts-seo-by-injecting-casino-spam.html Lotus Blossom间谍组织使用多种黑客工具攻击多个行业 https://blog.talosintelligence.com/lotus-blossom-espionage-group/ Njrat滥用微软Dev Tunnels进行隐蔽C2通信https://cybersecuritynews.com/njrat-attacking-abusing-microsoft-dev/
  • 新型Golang恶意软件利用Telegram作为C2通道
    点击次数: 4
    2025 - 02 - 18
    攻击者利用Github发布信息窃取型恶意软件Lumma Stealer https://www.trendmicro.com/ja_jp/research/25/b/lumma-stealers-github-based-delivery-via-mdr.html 新型Golang恶意软件利用Telegram作为C2通道 https://www.netskope.com/blog/telegram-abused-as-c2-channel-for-new-golang-backdoor 恶意软件伪装成DeepSeek应用窃取用户数据 https://mp.weixin.qq.com/s/gTtz4jN2BrP5es-zc_vtqw REF7707活动使用新型恶意软件攻击南美外交部 https://www.elastic.co/security-labs/fragile-web-ref7707 俄罗斯国家行为体Seashell Blizzard下属小组开展多年全球攻击活动 https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务