安全研究 SECURITY SERVICE

Rootkit(Scranos)使用有效签名,窃取用户登录凭

发布时间: 2019-04-19
来源:
浏览数: 100

(2019-03-15)今日威胁情报



1、  Rootkit(Scranos)使用有效签名,窃取用户登录凭


Bitdefender最近发布研究报告称一个具有有效签名的rootkit(被称为Scranos)正在多个国家进行广泛传播,主要用于窃取用户的登录凭据、支付信息和浏览器历史记录,还可用于在社交网络上传播垃圾信息和广告。Scranos伪装成视频驱动程序,安装后,它可以下载攻击者选择的任何有效负载。具体行为如下:目标包括主流浏览器Chrome,Chromium,Firefox,Opera,Edge,Internet Explorer,百度和Yandex,以及来自Facebook,亚马逊,Airbnb,Steam和Youtube的服务。其使用的证书是DigiCert向上海一家健康管理咨询公司颁发的证书,目前证书仍然有效,攻击者可能是盗用了该证书。Bitdefender研究人员称Scranos Rootkit通过不断发展,已经感染了印度、罗马尼亚、巴西、法国、意大利和印尼等国家的用户。


相关链接:http://t.cn/EXr0qUI


2、  勒索软件BitPaymer新变体利用PsExec进行传播


研究人员发现美国一家制造公司遭到勒索软件BitPaymer新变体的攻击。该变体(Ransom.Win32.BITPAYMER.TGACAJ)利用PsExec进行分发,并在赎金票据和加密文件的扩展名中使用了受害公司的名称。由于攻击者至少需要一个具有管理员权限的帐户才能通过PsExec运行命令,这意味着在勒索软件安装之前攻击者已经通过某种手段获得了管理员权限。


相关链接:http://t.cn/EXr0fkk


3、  针对性邮件钓鱼攻击,利用AutoHotkey引擎执行恶意脚本


近日,发现了一种潜在的针对性钓鱼攻击,它利用合法的脚本引擎AutoHotkey和恶意脚本文件。此次攻击采用电子邮件附件进行分发,伪装成文件名为“Military Financing.xlsm”的合法文档。用户需要启用宏才能完全打开,之后使用AutoHotkey引擎加载恶意脚本文件以避免检测。AutoHotkey加载恶意脚本文件后,会连接到其C&C服务器以下载并执行其他脚本文件并响应来自服务器的命令。最终,它可以窃取某些重要的用户信息,甚至下载TeamViewer以获得对系统的远程访问。


相关链接:http://t.cn/EXr0XIc


4、  肚脑虫(APT-C-35)组织升级安卓APK攻击框架


肚脑虫(APT-C-35)组织,主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。该APT组织除了以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播之外,还格外擅长利用恶意安卓APK进行传播。近期,奇安研究团队发现该组织对其恶意安卓APK框架进行了大规模升级,无论是实用性还是稳定性都增强了不少,由于本次使用的APK框架与以往所使用的样本差异性过大,因此通过使用其代码中出现频率较高的词汇Job,将该框架命名为StealJob。目前,在野并未发现利用此APK框架的真实攻击案例。


相关链接:http://t.cn/EX8aHeM


5、  前Mozilla工程师爆料,谷歌一直在破坏火狐


IT之家4月18日消息 作为全球范围内使用最多的浏览器,谷歌Chrome浏览器可以说在浏览器市场有着地位举足轻重,但近日,火狐浏览器开发商Mozilla前员工在推特上爆料,为了让Chrome成功,谷歌采用了一些卑劣手段抢占市场。


相关链接:http://t.cn/EX8brzH



(2019-03-15)今日威胁情报





1、【高】Microsoft Edge Chakra脚本引擎内存损坏漏洞(CNVD-2019-10378)


相关链接:http://t.cn/EXmdFjf


2、【高】Cisco IOS XE命令注入漏洞(CNVD-2019-10454)


相关链接:http://t.cn/EXuXP69


3、【高】超级CMS前台in***.php页面存在SQL注入漏洞(CNVD-2019-08471)


相关链接:http://t.cn/EX8p0pi


4、【高】组态王6.60 SP3存在拒绝服务漏洞(CNVD-2019-08478)


相关链接:http://t.cn/EX8X9Cc


5、【高】IBM BigFix Platform未授权操作漏洞( CNVD-2019-10448)


相关链接:http://t.cn/EXmgNAz

 

 


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 针对拉丁美洲CrowdStrike客户的活动追踪
    点击次数: 10
    2024 - 07 - 24
    针对拉丁美洲CrowdStrike客户的活动追踪 https://www.crowdstrike.com/blog/likely-ecrime-actor-capitalizing-on-falcon-sensor-issues/ ClickFix欺骗:一种部署恶意软件的社会工程策略 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/ LummaC2恶意软件滥用游戏平台Steam https://asec.ahnlab.com/ko/68023/ Android版Telegram存在漏洞,可致恶意apk文件展示为视频文件 https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/ 攻击者利用虚假CrowdStrike更新补丁实施钓鱼活动  https://mp.weixin.qq.com/s/mkujecm6_utup4r4sVZT_A
  • MuddyWater组织部署新Bugsleep后门以针对以色列
    点击次数: 10
    2024 - 07 - 22
    MuddyWater组织部署新Bugsleep后门以针对以色列 https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/ Braodo Stealer信息窃取程序瞄准越南等国 https://www.cyfirma.com/research/braodo-info-stealer-targeting-vietnam-and-abroad/ MirrorFace组织针对日本制造业和研究机构实施钓鱼攻击活动 https://blogs.jpcert.or.jp/en/2024/07/mirrorface-attack-against-japanese-organisations.html Patchwork黑客组织针对不丹居民下发远控木马 https://mp.weixin.qq.com/s/Gjx1T8JVe6C958ooHSucTg 恶意软件活动滥用RDPWrapper和Tailscale来攻击加密货币用户 https://cyble.com/blog/new-malware-campaign-abusing-rdpwrapper-and-tailscale-to-target-cryptocurrency-users/
  • Braodo Stealer信息窃取程序瞄准越南等国
    点击次数: 10
    2024 - 07 - 17
    Atomic Stealer伪装为Mac版Microsoft Teams,通过谷歌广告传播 https://www.malwarebytes.com/blog/threat-intelligence/2024/07/fake-microsoft-teams-for-mac-delivers-atomic-stealer MuddyWater组织部署新Bugsleep后门以针对以色列 https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/ Braodo Stealer信息窃取程序瞄准越南等国 https://www.cyfirma.com/research/braodo-info-stealer-targeting-vietnam-and-abroad/ MirrorFace组织针对日本制造业和研究机构实施钓鱼攻击活动 https://blogs.jpcert.or.jp/en/2024/07/mirrorface-attack-against-japanese-organisations.html 恶意软件活动滥用RDPWrapper和Tailscale来攻击加密货币用户 https://cyble.com/blog/new-malware-campaign-abusing-rdpwrapper-and-tailscale-to-target-cryptocurrency-users/
  • Google Android存在整数溢出或超界折返漏洞
    点击次数: 11
    2024 - 07 - 15
    Microsoft SmartScreen漏洞CVE-2024-21412遭到活跃利用 https://cyble.com/blog/increase-in-the-exploitation-of-microsoft-smartscreen-vulnerability-cve-2024-21412/ 微软补丁日通告:2024年7月版 https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul CloudSorcerer:采用云服务传递数据的新型黑客组织 https://securelist.com/cloudsorcerer-new-apt-cloud-actor/113056/ 未知攻击者使用零日漏洞CVE-2024-38112下发恶意负载 https://research.checkpoint.com/2024/resurrecting-internet-explorer-threat-actors-using-zero-day-tricks-in-internet-shortcut-file-to-lure-victims-cve-2024-38112/  以地区运输办公室为主题的钓鱼活动瞄准印度安卓用户 https://cyble.com/blog/regional-transport-office-phishing-scam-targets-android-users-in-india/?&web_view=true
  • Rejetto HTTP File Server未授权RCE漏洞被用于投递恶意程序
    点击次数: 11
    2024 - 07 - 08
    Rejetto HTTP File Server未授权RCE漏洞被用于投递恶意程序 https://asec.ahnlab.com/ko/67509/ Andariel组织向韩国国防和制造业分发Xctdoor恶意软件 https://asec.ahnlab.com/en/67558/ 未知攻击者瞄准亚洲国家的电信行业 https://symantec-enterprise-blogs.security.com/threat-intelligence/telecoms-espionage-asia 伪装成破解程序和商业工具的新型恶意软件正在传播 https://asec.ahnlab.com/en/67502/ 具备后门功能的蠕虫病毒欺骗用户以感染移动磁盘 https://mp.weixin.qq.com/s/P_WqwkTT7ppjyXagQjo6PA
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号
犀牛云提供云计算服务