安全資訊報告

卡巴斯基發現更多Google Play商店應用程式包含木馬惡意軟體

卡巴斯基惡意軟體分析師稱，已發現更多Google Play商店應用程式包含惡意軟體，包括特洛伊木馬程式。如果您將它們正確下載到手機上，最好立即將其刪除。

美顏相機照片編輯器，根據Shishkova的Twitter帖子，這個Google Play Store應用程式有一種特殊的木馬惡意軟體，稱為Joker。該應用程式的安裝量超過1,000次，截至發稿時仍可在Play商店中使用。另一個名為YouPerfect Camera的Google Play商店應用也被發現含有木馬惡意軟體，YouPerfect Camera的安裝量超過5,000。

新聞來源：

https://www.techtimes.com/articles/268886/20211203/beware-more-google-play-store-apps-found-trojan-malware-per.htm

勒索軟體攻擊襲擊了渥太華當地法國公立學校董事會

位於渥太華的當地法國公立學校董事會於11月30日釋出了一份新聞稿，宣佈它遭到了攻擊，並在重新保護網路後發現，儲存在其董事會辦公室的一些檔案被盜並被扣押以索取贖金。

董事會表示已向攻擊者付款，並刪除了被盜資料。“保護我們社群的成員是我們的首要任務，”董事會說。

從2000年開始為董事會工作的員工可能是被盜資料集的一部分。董事會將通知受影響的前任或現任員工，因為他們的社會保險號、銀行帳號、未過期的信用卡號或出生日期可能已被洩露。此外，董事會還為那些提供24個月無洩露資料的信用監控服務。一些現任和前任學生及其家人也可能因這次資料洩露而竊取了個人資料。

新聞來源：

https://www.cornwallseawaynews.com/2021/12/04/ransomware-attack-hits-french-public-school-board/

Cuba勒索軟體團伙襲擊了49個組織

美國聯邦調查局警告說，Cuba勒索軟體攻擊者在損害五個關鍵基礎設施部門的至少49個實體後，已向受害者勒索4390萬美元的贖金。

Cuba勒索軟體是透過Hancitor惡意軟體分發的，Hancitor惡意軟體是一種以向受害者網路投放或執行竊取程式（例如遠端訪問木馬和其他型別的勒索軟體）而聞名的載入程式。

5月，安全公司Group-IB發現了攻擊者使用Hancitor惡意軟體下載器傳送Cuba勒索軟體的例項，作為用於資料洩露和勒索勒索的電子郵件垃圾郵件活動的一部分。Hancitor惡意軟體參與者使用網路釣魚電子郵件、Microsoft Exchange漏洞、受損憑據或合法的遠端桌面協議工具來獲得對受害者網路的初始訪問許可權。

Cuba勒索軟體攻擊者使用合法的Windows服務——例如PowerShell、PsExec和其他未指定的服務——然後利用Windows管理員許可權遠端執行他們的勒索軟體和其他程式。

新聞來源：

https://www.bankinfosecurity.com/alert-cuba-ransomware-gang-hits-49-cni-organizations-a-18058

英國已發現Omicron網路釣魚詐騙

Omicron COVID-19變異焦慮激發了新的網路釣魚騙局，提供虛假NHS測試來竊取資料。

在過去的幾年裡，全球大流行為各種網路釣魚詐騙提供了掩護，對最新的COVID-19變體Omicron的傳播引起的恐慌也不例外。

隨著全球公共衛生專業人員努力應對他們擔心的可能是比Delta更危險的COVID-19變體，威脅行為者已經抓住機會將不確定性轉化為現金。

英國消費者監管機構“哪個？”已經發出警報，稱一種新的網路釣魚騙局，經過篡改，看起來像是來自國家衛生服務(NHS)的官方通訊，其目標是提供欺詐性報價的人，可提供針對COVID-19 Omicron變體的免費PCR測試。

除了疫苗誘餌，大流行還激發了魚叉式網路釣魚活動，提供虛假的COVID-19救濟支票，甚至為因廣泛停工而失業的人提供工作機會。即使是那些保住工作的人在重返工作崗位後也成為攻擊目標，詐騙電子郵件聲稱提供新的辦公室COVID-19協議，釣魚郵件竊取了受害者的登入憑據。

新聞來源：

https://threatpost.com/omicron-phishing-scam-uk/176771/

密碼竊取和鍵盤記錄器正透過惡意CHROME擴充套件程式傳播

研究人員詳細介紹了一個稱之為Magnat的攻擊者，在可追溯到2018年的惡意軟體攻擊中部署了一個新的後門和未記錄的惡意Google Chrome擴充套件程式。

Magnat——這個名字源於該活動惡意軟體構建路徑中的使用者名稱——一直在使用假軟體安裝程式作為誘餌，說服使用者在他們的系統上執行惡意軟體，檔名包括viber-25164.exe和wechat-35355可執行程式。Cisco Talos的研究人員週四表示，他們認為威脅行為者正在竊取憑證，目的是在地下論壇上出售憑證。

Cisco Talos安全研究技術負責人Tiago Pereira表示：“由於這種威脅提供多種不同的有效載荷，包括資訊竊取程式，因此可能對企業構成重大威脅。我們已經看到這些竊取程式竊取的憑據是初始感染。指向更大的攻擊，包括勒索軟體事件。

研究人員評估稱，該活動使用惡意廣告——使用惡意廣告，通常透過將惡意程式碼注入廣告中——作為接觸可能有興趣下載流行軟體的使用者的初始手段。大多數目標受害者都在加拿大、美國和澳大利亞，其中大約50%的感染髮生在加拿大。

一旦執行，虛假安裝程式就會執行一個偽裝成軟體安裝程式的載入程式（通常是.exe或.iso檔案）。實際上，載入程式會建立多個檔案並部署導致執行三個惡意軟體元件的各種命令。其中之一是惡意的GoogleChrome擴充套件程式，研究人員將其稱為“MagnatExtension”。

其中包括捕獲受害者鍵入的金鑰的鍵盤記錄器和從Web資料表單中檢索憑據的表單抓取器。該擴充套件程式還會抓取密碼的螢幕截圖及瀏覽器cookie。

新聞來源：

https://duo.com/decipher/malicious-chrome-extension-backdoor-uncovered-in-malware-campaign

惡意Excel XLL載入項推送RedLine密碼竊取惡意軟體

網路犯罪分子正在向網站聯絡表格和論壇傳送垃圾郵件，以分發下載和安裝RedLine密碼和資訊竊取惡意軟體的Excel XLL檔案。

RedLine是一種資訊竊取特洛伊木馬程式，它會竊取儲存在Web瀏覽器中的cookie、使用者名稱和密碼以及信用卡，以及來自受感染裝置的FTP憑據和檔案。

除了竊取資料，RedLine還可以執行命令、下載和執行更多惡意軟體，以及建立活動Windows螢幕的螢幕截圖。

在BleepingComputer發現的一些網路釣魚誘餌中，攻擊者建立了虛假網站來託管用於安裝惡意軟體的惡意ExcelXLL檔案。針對網站所有者的釣魚誘餌，這些網站所有者請求在他們的網站上做廣告並要求他們檢視要約的條款，這會導致安裝惡意“terms.xll”檔案。

這些垃圾郵件活動旨在推送惡意Excel XLL檔案，這些檔案會在受害者的Windows裝置上下載並安裝RedLine惡意軟體。

XLL檔案是一個載入項，允許開發人員透過讀取和寫入資料、從其他源匯入資料或建立自定義函式來執行各種任務來擴充套件Excel的功能。一旦惡意軟體被執行，它將搜尋有價值的資料來竊取，包括儲存在Chrome、Edge、Firefox、Brave和Opera瀏覽器中的登入憑據和信用卡資訊。

新聞來源：

https://www.bleepingcomputer.com/news/security/malicious-excel-xll-add-ins-push-redline-password-stealing-malware/

安全漏洞威脅

在發現大約226個安全漏洞後，來自流行品牌的數百萬個WiFi路由器面臨風險

新發現的安全漏洞影響了許多品牌的WiFi路由器，包括Netgear、Asus、Synology、D-Link、AVM、TP-Link和Edimax。

IoT Inspector技術長Florian Lukavsky表示：“該測試超出了對安全小型企業和家用路由器的所有預期。”“並非所有漏洞都同樣嚴重——但在測試時，所有裝置都顯示出嚴重的安全漏洞，可以讓駭客的生活變得更加輕鬆，”Lukavsky補充道。

預計該問題的主要原因是缺少較新的元件。包括Linux核心在內的舊版本核心元件以及其他過時的服務很可能是攻擊者利用的目標。

該報告還提到，供應商在路由器上使用簡單的預設密碼，這使他們很容易猜到。眾所周知，一些使用者使用帶有預設憑據的路由器，這使他們非常容易成為攻擊者的目標。

研究人員還指出，在某些情況下，SOHO路由器也在不安全的證書中使用未加密的連線。對舊版BusyBox的過度依賴、使用“admin”等弱預設密碼以及以純文字形式存在硬編碼憑據也是罪魁禍首。

使用者應儘快更新其WiFi路由器的韌體以應用最新的修復程式並遠離任何潛在的攻擊。

新聞來源：

https://indianexpress.com/article/technology/tech-news-technology/millions-of-wi-fi-routers-at-risk-as-hundreds-of-security-vulnerabilities-discovered-7655437/