安全資訊報告

銀行木馬Flubot Android惡意軟體捲土重來

FluBot是一種適用於Android的銀行惡意軟體，它透過向全球多家銀行提供覆蓋登入表單來竊取密碼。新的攻擊假冒Adobe應用程式，尤其是在歐洲。繁華的銀行木馬數月來一直讓Android使用者忙碌，並且總能找到新的技巧來吸引使用者下載它。Flubot已經透過虛假的安全更新、虛假的DHL通知和其他網路釣魚活動進行傳播。

Flubot一登陸智慧手機，就可以竊取網銀登入資料，擷取簡訊和一次性密碼，擷取螢幕截圖。然後將這些資料傳送給它背後的人。第二步，惡意軟體使用受害者的裝置向通訊錄中的聯絡人傳送新的網路釣魚訊息。

指向虛假Adobe應用程式的連結像FlubotDHL技巧一樣透過SMS和似乎來自朋友的信使訊息傳播。任何收到可疑訊息告訴他們載入Flash播放器的人都應該忽略它，不要單擊任何已傳送的連結，並立即刪除這些訊息。

新聞來源：

https://www.researchsnipers.com/flubot-android-malware-is-back-popularized-as-fake-flash-players/

QNAP（威聯通）警告：網際網路上的NAS裝置應防護勒索軟體攻擊

QNAP已警告客戶立即保護暴露在網際網路的網路附加儲存(NAS)裝置免受持續的勒索軟體攻擊，該公司警告使用者透過開啟安全顧問（QNAP NAS裝置的內建安全門戶）來檢查他們的NAS是否可以透過網際網路訪問。

如果儀表板上顯示“系統管理服務”可以透過以下協議從外部IP地址直接訪問HTTP，則表示NAS暴露在Internet中並且處於高風險。

QNAP建議將NAS裝置暴露在Internet訪問許可權的客戶採取以下措施來保護他們免受攻擊：

• 關閉路由器埠轉發功能：進入路由器管理介面，檢視虛擬伺服器、NAT或埠轉發設定，關閉NAS管理服務埠的埠轉發設定（預設為8080和433埠）；

• 禁用QNAP NAS的UPnP功能：進入QTS選單的myQNAPcloud，單擊“自動路由器配置”，取消選擇“啟用UPnP埠轉發”。

BleepingComputer報導了QNAP客戶稱他們的系統是eCh0raix勒索軟體（也稱為QNAPCrypt）的攻擊目標。在最近的這些攻擊中，BleepingComputer已經看到ech0raix勒索價值從1,200美元到3,000美元不等的比特幣。

新聞來源：

https://www.bleepingcomputer.com/news/security/qnap-warns-of-ransomware-targeting-internet-exposed-nas-devices/

FBI警告駭客以禮物為幌子向公司傳送充滿惡意軟體的隨身碟

美國聯邦調查局(FBI)警告說，一個名為FIN7的多產網路犯罪集團試圖透過向這些組織運送惡意USB驅動器來入侵美國運輸、國防和保險行業的公司，希望用“惡意軟體”感染他們的系統。並進行未來的攻擊。

自2021年8月以來，FBI已收到有關包含這些USB裝置的多個包裹的報告。這些包裹是使用美國郵政服務傳送的。根據聯邦調查局的說法，犯罪分子使用兩種程式進行運輸：透過顯然是由美國衛生與公眾服務部傳送的包裹（“通常附有提及USB隨附的covid-19指南的信件”）;並透過所謂的亞馬遜發貨，其中包括“一個裝有欺詐性感謝信的裝飾性禮品盒、一張偽造的禮品卡和一個USB”。

新聞來源：

https://www.parisbeacon.com/26742/

Dev破壞了NPM的“colors”和“faker”庫，數千個應用程式遭到破壞

流行的開源NPM庫“colors”（又名GitHub上的colors.js）和“faker”（又名GitHub上的“faker.js”）背後的開發人員故意在其中引入了惡作劇的提交，這些提交影響了庫裡數千個應用程式。這些庫的開發者故意引入了一個無限迴圈，將數千個依賴“colors”和“faker”專案搞砸了。

一位名叫Marak Squires的開發人員昨天在版本v1.4.44-liberty-2的colors.js庫中新增了一個“new American flag module”，然後他將其推送到了GitHub和npm。

開發人員的這種惡作劇背後的原因似乎是報復——針對大型公司和開源專案的商業消費者，他們廣泛依賴免費和社群支援的軟體，但據開發人員稱，他們不回饋社群。

2020年11月，Marak曾警告稱，他將不再透過“免費工作”來支援大公司，商業實體應考慮分叉專案或以每年“六位數”的工資來補償開發人員。

Marak的大膽舉動開啟了一罐bug，引起了不同的反應。開源軟體社群的一些成員讚揚了開發人員的行為，而其他人則對此感到震驚。

Marak出人意料的舉動是在最近Log4j漏洞事件之後發生的。開源庫Log4j廣泛用於各種Java應用程式，包括由公司和商業實體開發的應用程式。在大規模利用Log4shell漏洞後不久，隨著越來越多的CVE被發現，開源庫的維護者在假期期間無償地修補專案漏洞。

隨之而來的擔憂是大企業如何習慣於“利用”開源；不停地消耗它，但沒有給予足夠的回報來支援那些透過放棄空閒時間來維持這些關鍵專案的無償志願者。

與此同時，“colors”和“faker”NPM專案的使用者應該確保他們沒有使用不安全的版本。降級到較早版本的顏色（例如1.4.0）和faker（例如5.5.3）是一種解決方案。

新聞來源：

https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

木馬化的dnSpy應用程式向研究人員和開發人員投放惡意軟體

駭客針對網路安全研究人員和開發人員發起了一場複雜的惡意軟體活動，分發惡意版本的dnSpy.NET應用程式，以安裝加密貨幣竊取程式、遠端訪問木馬和礦工。

雖然該軟體不再由最初的開發人員積極開發，但原始原始碼和新的積極開發版本可在GitHub上獲得，任何人都可以克隆和修改。

惡意dnSpy應用程式在執行時看起來像正常程式。它允許您開啟.NET應用程式、除錯它們並執行程式的所有正常功能。當惡意dnSpy應用程式[VirusTotal]啟動時，它會執行一系列命令來建立以提升的許可權執行的計劃任務。

惡意軟體執行以下操作：

• 禁用MicrosoftDefender

• 使用bitsadmin.exe將curl.exe下載到%windir%\system32\curl.exe。

• 使用curl.exe和bitsadmin.exe將各種有效負載下載到C:\Trash資料夾並啟動它們。

• 禁用使用者帳戶控制。

目前，用於支援該活動的dnSpy[.]net和GitHub儲存庫均已關閉。安全研究人員和開發人員需要不斷留意在其裝置上安裝惡意軟體的流行專案的惡意克隆。

新聞來源：

https://www.bleepingcomputer.com/news/security/trojanized-dnspy-app-drops-malware-cocktail-on-researchers-devs/

2021年出現了八個新的macOS惡意軟體家族

專門研究Apple產品的安全研究員Patrick Wardle表示，2021年出現了8個新的macOS惡意軟體系列。

2021年發現的新macOS惡意軟體包括ElectroRAT、SilverSparrow、XcodeSpy、ElectrumStealer、WildPressure、XLoader、ZuRu和CDDS（又名MacMa）。

ElectroRAT是一種旨在竊取加密貨幣的跨平臺RAT，於1月問世。該惡意軟體已透過木馬應用程式交付，其功能包括鍵盤記錄、截圖、下載/上傳檔案和執行命令。

SilverSparrow於2月被發現，它影響了大約30,000臺macOS裝置，但它仍然是一個神秘的惡意軟體，因為它究竟是如何分發的以及它的最終目標是什麼仍然不清楚——它的第二個有效載荷沒有被發現——但最好的猜測是它提供了廣告軟體。

XcodeSpy於3月出現，它似乎是針對軟體開發人員的。它是透過惡意Xcode專案交付的，它安裝了一個名為EggShell的自定義後門變體，允許其運營商監視使用者。

ElectrumStealer也在3月被發現，它利用後門的Electrum錢包從受感染的系統中竊取加密貨幣。蘋果無意中對威脅進行了公證。

macOS的WildPressure的存在於7月被披露，此前人們看到它針對的是中東的工業組織。WildPressure活動據信於2019年5月開始，但最初只涉及Windows惡意軟體。

XLoader是一種旨在竊取密碼的跨平臺惡意軟體。它被描述為Formbook惡意軟體的macOS演變。

ZuRu於9月在中國出現，當時人們觀察到它透過贊助的百度搜尋結果傳播。該惡意軟體提供贊助廣告和木馬化應用程式。

2021年發現的最後一個惡意軟體是CDDS(MacMa)，它被谷歌發現。一個老練的威脅參與者一直在利用macOS零日漏洞透過水坑網站向香港使用者提供CDDS。

“隨著macOS的持續增長和普及（尤其是在企業中！），2022年肯定會帶來一批新的macOS惡意軟體。”Wardle總結道。

新聞來源：

https://www.securityweek.com/eight-new-macos-malware-families-emerged-2021

安全漏洞威脅

NHS警告駭客攻擊VMware Horizon中的Log4j缺陷

英國國家衛生服務局(NHS)的數字安全團隊已就未知威脅者主動利用未修補VMware Horizon伺服器中的Log4Shell漏洞以投放惡意Web Shell並在受影響的網路上建立永續性以進行後續攻擊發出警報。

“攻擊可能包括一個偵察階段，攻擊者透過Log4Shell有效負載使用Java命名和目錄介面(JNDI)回撥惡意基礎設施，”非部門公共機構在警報中說。“一旦發現漏洞，攻擊就會使用輕量級目錄訪問協議(LDAP)檢索並執行惡意Java類檔案，該檔案將Web shell注入VM Blast安全閘道器服務。”

Web Shell部署後，可以作為執行大量利用後活動的渠道，例如部署額外的惡意軟體、資料洩露或部署勒索軟體。VMware Horizon版本7.x和8.x容易受到Log4j漏洞的攻擊。

新聞來源：

https://thehackernews.com/2022/01/nhs-warns-of-hackers-targeting-log4j.html

一個存在9年曆史的Windows漏洞正成為勒索軟體駭客的目標

勒索軟體團伙Malsmoke正在利用一個存在9年之久的漏洞滲透到世界各地的裝置中，這凸顯了定期軟體修補的重要性。

根據該公司的一份報告，最近的攻擊首先由網路安全公司CheckPoint發現，到目前為止，已有超過2,000名受害者下載了惡意檔案。在這裡面，Check Point的戈蘭研究員科恩說“中的感染鏈併入技術包括使用正版的遠端管理軟體，以獲得對目標機器的初始接入。然後，該惡意軟體利用微軟的數字簽名驗證方法將其有效負載注入已簽名的系統DLL中，以進一步規避系統的防禦。”

該漏洞被稱為WinVerifyTrust簽名驗證漏洞，它允許網路犯罪分子實施任意程式碼，對檔案進行小幅更改以保留數字簽名的有效性，而不管檔案是否已被篡改。

Palo Alto Networks的威脅情報分析師Alex Hinchliffe解釋說：“這裡的關鍵資訊是他們能夠利用合法的Microsoft Windows程式和元件來部署他們的最終有效載荷Zloader惡意軟體。”Zloader是一種流行的銀行木馬，被Conti和Ryuk等成熟的勒索軟體團伙使用。

微軟在2013年首次發現該漏洞時對其進行了修補，但至關重要的是，該補丁並未使該補丁成為所有Windows使用者的自動更新。當時該公司表示，這是因為該補丁可能會導致進一步的問題，例如錯誤地將正版檔案標記為惡意檔案。但九年過去了，這意味著許多Windows裝置仍然容易受到攻擊。

新聞來源：

https://techmonitor.ai/technology/cybersecurity/malsmoke-windows-vulnerability-ransomware