1. CHM 恶意软件窃取用户信息在韩国传播
5月8日,AhnLab 安全情报中心 (ASEC) 最近发现 CHM 恶意软件变种会窃取分发给韩国用户的用户信息。分布式CHM是一种从过去一直以LNK、DOC、OneNote等各种格式不断分发的类型。在最近的样本中观察到操作流程略有变化。该恶意软件是一种使用多个脚本最终将用户信息和键盘日志数据发送给威胁行为者的类型。执行 CHM 文件时会显示帮助文件。该文件似乎显示了先前案例中使用的相同消息。文件中的恶意脚本在此阶段同时执行,在“%USERPROFILE%\Links\Link.ini”路径中创建并执行文件。检查最近发现的分发的 CHM 恶意软件的执行过程表明,它与过去提到的类型非常相似。据信,该恶意软件是由对过去的案件负责的同一威胁参与者创建的,可能采用各种混淆方法来逃避检测。由于它是分发给韩国用户的,因此用户必须特别小心,不要打开来源不明的文件。https://asec.ahnlab.com/en/65245/
2. Mozilla PDF.js 中的漏洞可导致执行任意代码
5月7日,Mozilla PDF.js 中发现了一个允许执行任意代码的漏洞。Mozilla PDF.js 是内置于 Mozilla Firefox 中的 PDF 查看器,可供其他 Web 浏览器使用。利用此漏洞可能允许在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比,帐户配置为在系统上拥有较少权限的用户受到的影响较小,目前还没有关于此漏洞被大规模利用的报告。受影响的系统:Mozilla PDF.js 4.2.67 之前的版本。https://www.cisecurity.org/advisory/a-vulnerability-in-mozilla-pdfjs-could-allow-for-arbitrary-code-execution_2024-046
3. 黑客利用LiteSpeed Cache漏洞创建WordPress管理员
5月7日,黑客一直使用过时版本的 LiteSpeed Cache 插件来攻击 WordPress 网站,以创建管理员用户并获得网站的控制权。LiteSpeed Cache (LS Cache) 被宣传为一种缓存插件,在超过 500 万个 WordPress 网站中使用,有助于加快页面加载、改善访问者体验并提高 Google 搜索排名。Automattic 的安全团队WPScan在 4 月份观察到,威胁行为者使用 5.7.0.1 之前的插件版本扫描和攻击 WordPress 网站的活动有所增加,这些网站很容易受到高严重性 (8.8)未经身份验证的跨站点脚本漏洞的攻击,该漏洞被追踪为CVE-2023-40000。扫描易受攻击的站点时,来自一个 IP 地址 94[.]102[.]51[.]144 的探测请求超过 120 万个。https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/
4. Brokewell通过移动设备上的虚假Chrome更新进行传播
5月7日,网络安全公司 Threat Fabric 通过最近的一份报告分享了有关 Android 用户新威胁的详细信息。研究人员将这个名为 Brokewell 的恶意软件家族描述为强大的 Android 银行木马,具有数据窃取和设备接管功能。该恶意软件通过虚假的 Chrome 更新页面引起了研究人员的注意。他们注意到一个虚假的浏览器更新来安装 Android 应用程序。该假冒网页模仿了实际 Google Chrome 更新页面的设计来欺骗用户,但有细微的差别。下载所谓的 Chrome 更新后,下载的应用程序将安装一个新的恶意软件系列,该系列在相当长一段时间内都处于人们的关注之下。虽然该恶意软件仍未被发现,但其回顾性分析揭示了其早期涉及奥地利数字身份验证应用程序和另一家金融服务的恶意活动。分析该恶意软件进一步揭示了其作为针对移动用户的银行木马的真实本质。下载后,它会执行许多功能来窃取用户数据。例如,它显示屏幕覆盖层以窃取凭据,启动自己的 WebView 来窃取 cookie,并将所有窃取的数据传输到其 C&C 服务器。此外,它还捕获设备活动,包括键入数据、触摸数据、滑动、打开的应用程序和显示的信息。这样,它可以确保捕获常规银行详细信息之外的所有敏感信息。https://latesthackingnews.com/2024/05/07/brokewell-malware-spreads-via-fake-chrome-updates-on-mobile-devices/
5. 俄罗斯黑客Dmitry Khoroshev被揭露为LockBit的开发者
5月8日,英国国家犯罪局 (NCA) 揭露了 LockBit 勒索软件操作的管理员和开发者,透露他是一名 31 岁的俄罗斯公民,名叫德米特里·尤里耶维奇·霍罗舍夫 (Dmitry Yuryevich Khoroshev)。此外,霍罗舍夫还受到英国外交、联邦和发展办公室(FCD)、美国财政部外国资产控制办公室(OFAC)和澳大利亚外交部的制裁。欧洲刑警组织在一份新闻声明中表示,当局拥有超过 2,500 个解密密钥,并正在继续联系 LockBit 受害者以提供支持。霍罗舍夫的绰号为 LockBitSupp 和 putinkrab,他也成为资产冻结和旅行禁令的对象,美国国务院悬赏高达 1000 万美元,奖励提供导致他被捕和/或定罪的信息。此前,该机构曾宣布悬赏高达 1500 万美元,寻求有关 LockBit 勒索软件变种组织主要领导人身份和位置的信息,以及导致该组织成员被捕和/或定罪的信息。https://thehackernews.com/2024/05/russian-hacker-dmitry-khoroshev.html
6. 威奇托市公共服务因勒索软件攻击而中断
5月7日,威奇托市正在调查近期发生的勒索软件攻击,该攻击导致该市的许多网络和服务关闭,目前尚不清楚系统何时恢复。根据其网站上的警报,此次攻击发生在周日,勒索软件对“某些”未指定的城市系统进行了加密,导致许多核心城市的在线服务暂时无法访问。根据发布的警报,官员们已启用业务连续性措施来应对此次攻击,并“与第三方专家合作,安全可靠地恢复计算机网络”,并与执法部门一起调查其原因。与袭击同一天。随着系统瘫痪,该市将采用基于现金的系统来支付水费、乘坐公共汽车、参加文化活动和支付垃圾填埋服务费用,以及其他通常提供数字支付选项的系统。该市的 IT 部门正在与执法部门和安全合作伙伴合作进行调查,但攻击的具体细节仍不清楚,该市表示目前“没有系统何时恢复上线的时间表”。https://www.darkreading.com/cyberattacks-data-breaches/numerous-public-services-ransomware-attack-city-wichita
