1.新的Android木馬「BlankBot」針對土耳其用戶的財務數據

網絡安全研究人員發現了一種名為 BlankBot 的新 Android 銀行木馬,該木馬針對土耳其用戶,旨在竊取財務信息。

 

Intel 471在上周發表的一份分析報告中表示:「BlankBot具有一系列惡意功能,包括客戶注入,鍵盤記錄,屏幕錄製,並通過WebSocket連接與控制服務器進行通信。

 

據說 BlankBot 於 2024 年 7 月 24 日被發現,當時還在開發中,該惡意軟件濫用 Android 的輔助功能服務權限來完全控制受感染的設備。

 

與最近重新出現的MandrakeAndroid 木馬一樣,blankBot 實現了一個基於會話的包安裝程序,以規避 Android 13 中引入的限制設置功能,以阻止側載應用程序直接請求危險權限。

 

該惡意軟件具有廣泛的功能,可以根據從遠程服務器收到的特定命令執行屏幕錄製、鍵盤記錄和注入覆蓋,以收集銀行賬戶憑據、支付數據,甚至用於解鎖設備的模式。

 

BlankBot 還能夠攔截 SMS 消息、卸載任意應用程序以及收集聯繫人列表和已安裝應用程序等數據。 它還利用輔助功能服務 API 來阻止用戶訪問設備設置或啟動防病毒應用程序。

 

「BlankBot 是一種新的 Android 銀行木馬,仍在開發中,在不同應用程序中觀察到的多種代碼變體證明了這一點,」這家網絡安全公司表示。 「無論如何,一旦惡意軟件感染了Android設備,它就可以執行惡意操作。」

 

鏈接:

https://thehackernews.com/2024/08/new-android-trojan-blankbot-targets.html

 

2.印度考慮對數字支付實施強制性動態 2FA

印度央行周三提出,要求大多數數字支付動態生成第二身份驗證因素。

 

該央行解釋說:「印度儲備銀行已要求對使用卡、預付工具和移動銀行渠道進行的所有交易實施額外的身份驗證因素(AFA)。」

 

但該授權沒有具體說明需要哪個因素。 印度的金融部門和數字支付生態系統主要採用基於短信的一次性密碼作為 AFA。

 

現在,世行 (RBI) 希望超越短信一次性密碼,並使生物識別成為一種選擇。

 

「雖然OTP的工作令人滿意,」印度儲備銀行表示,「但技術進步已經提供了替代的認證機制。

 

因此,它希望探索其他未指定的生物識別選項、引腳、密碼短語以及硬件或軟件令牌作為身份驗證解決方案。 它將解決方案分為三類:用戶擁有、知道或存在的東西。

 

銀行將可以決定需要什麼AFA,但必須使其動態化。 這意味著它將在付款開始後生成,並且僅使用一次 - 用於單筆交易 - 因此很難偽造。

 

卡價值低於 5000 盧比(60 美元)的交易、共同基金訂閱、保險費支付、一定範圍內的信用卡賬單支付、數字通行費支付和離線數字交易--不需要互聯網連接的交易--低於 500 盧比(6 美元)。

 

印度儲備銀行已在 9 月 15 日之前就框架草案征求意見和反饋,並在指示發布®後的三個月內遵守規定。

 

鏈接:

https://www.theregister.com/2024/08/02/india_contemplates_compulsory_dynamic_2fa/

 

3.美國證券交易委員會結束對影響 9500 萬人的 MOVEit 攻擊的調查

美國證券交易委員會(SEC)已經結束了對Progress Software處理MOVEit Transfer零日漏洞的廣泛利用的調查,該漏洞暴露了超過9500萬人的數據。

 

在向美國證券交易委員會提交的一份新的FORM 8-K文件中,progress Software表示,美國證券交易委員會的執法部門不會建議對安全事件採取任何執法行動。

 

「美國證券交易委員會已通知Progress,它目前不打算建議對該公司採取執法行動,」周四晚間提交給美國證券交易委員會的文件中寫道。

 

「如前所述,progress 於 2023 年 10 月 2 日收到美國證券交易委員會的傳票,作為事實調查的一部分,該調查尋求與 MOVEit 漏洞相關的各種文件和信息。」

 

美國證券交易委員會一直在調查 Progress Software 處理通過 MOVEit Transfer 軟件中的零日漏洞進行的廣泛數據盜竊攻擊的情況。

 

正如 BleepingComputer首次報道的那樣,在 2023 年陣亡將士紀念日假期周末期間,Clop 勒索軟件團伙利用零日漏洞對全球公司發起了大規模的數據盜竊活動。

 

據一直在追蹤攻擊影響的Emsisoft稱,超過2,770家公司和9500萬人的數據因零日漏洞被盜。

 

由於攻擊的廣泛影響,Clop 團伙預計將賺取7500 至 1 億美元的贖金,其中包括政府機構、金融公司、醫療保健組織、航空公司和教育機構。

 

雖然美國證券交易委員會不建議採取任何行動,但Progress Software仍面臨數百起集中在馬薩諸塞州聯邦法院的集體訴訟。

 

鏈接:

https://www.bleepingcomputer.com/news/security/sec-ends-probe-into-moveit-attacks-impacting-95-million-people/

 

4.英國 IT 提供商因 2022 年勒索軟件泄露面臨 770 萬美元的罰款

英國信息專員辦公室 (ICO) 宣布了一項臨時決定,對 Advanced Computer Software Group Ltd(Advanced)處以 6.09M 英鎊(774 萬美元)的罰款,原因是該公司在 2022 年遭受勒索軟件攻擊時未能保護數萬人的個人信息。

 

Advanced 是英國國家衛生服務體系 (NHS) 簽約的 IT 服務和託管提供商,於 2022 年 8 月 4 日遭到威脅行為者的入侵。

 

該事件影響了數百個公共和私人實體,包括 NHS 111,以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、staffplan 和 eFinancials 等各種醫療保健產品。

 

由於這次泄露事件,近83,000人的個人信息被泄露,包括如何進入890名在家接受護理的人的住所的說明。

 

儘管所有受影響的人都被告知並警告他們採取行動以降低風險,並且迄今為止尚未在暗網上發布任何攻擊數據,但敏感數據洩露的潛在影響是巨大的。

 

「這一事件表明,優先考慮信息安全是多麼重要,」英國信息專員約翰·愛德華茲(John Edwards)說。

 

「對於一個受信任可以處理大量敏感和特殊類別數據的組織來說,我們暫時發現其在信息安全方法方面存在嚴重缺陷,」愛德華茲在談到高級安全立場時補充道。

 

ICO指出,實施基本措施,如應用安全更新、啟用多因素身份驗證和檢查系統是否存在已知漏洞,對於保護敏感數據至關重要,所有組織都應至少遵循這些最低限度的步驟。

 

公布臨時決定的目的是提醒所有組織注意其安全義務,並提醒人們注意在失敗的情況下可能產生的影響。

 

儘管如此,7.7美元的罰款尚未被處以,ICO表示,在做出最終決定之前,它會等待Advanced的聽證會,因此金額可能會發生變化。

 

如果Advanced未能提供令人信服的論據,並且罰款保持在774萬美元,則罰款將相當於每個暴露者93.3美元,與過去的行為相比,這是非常高的。

 

鏈接:

https://www.bleepingcomputer.com/news/security/uk-it-provider-faces-77-million-fine-for-2022-ransomware-breach/

 

5.Chameleon Android 銀行木馬通過假冒 CRM 應用程序瞄準用戶

網絡安全研究人員揭開了ChameleonAndroid銀行木馬背後的威脅行為者採用的一項新技術,該木馬通過偽裝成客戶關係管理(CRM)應用程序來針對加拿大用戶。

 

「Chameleon被視為偽裝成CRM應用程序,針對一家國際運營的加拿大連鎖餐廳,」荷蘭安全機構ThreatFabric在周一發布的一份技術報告中表示。

 

該活動於 2024 年 7 月發現,針對加拿大和歐洲的客戶,表明其受害者學足跡從澳大利亞、意大利、波蘭和英國擴大。

 

對包含惡意軟件的惡意滴管應用程序使用與 CRM 相關的主題表明,目標是酒店業的客戶和企業對消費者 (B2C) 員工。

 

安裝後,該應用程序會顯示 CRM 工具的虛假登錄頁面,然後顯示一條虛假錯誤消息,敦促受害者重新安裝該應用程序,而實際上,它會部署 Chameleon 有效載荷。

 

在此步驟之後,再次加載虛假的CRM網頁,這次要求他們完成登錄過程,但只會顯示一條不同的錯誤消息,指出「您的帳戶尚未激活。 請與人力資源部門聯系。

 

Chameleon 有能力進行設備欺詐 (ODF) 和欺詐性轉移用戶資金,同時還利用覆蓋層及其廣泛的權限來獲取憑據、聯繫人列表、短信和地理位置信息。

 

ThreatFabric表示:「如果攻擊者成功感染了可以訪問企業銀行業務的設備,那麼Chameleon就可以訪問商業銀行賬戶,並對組織構成重大風險。 「對於角色涉及CRM的員工來說,這種訪問的可能性增加,這可能是在這次最新活動中選擇偽裝的原因。」

 

幾周前,IBM X-Force詳細介紹了CyberCartel集團開展的拉丁美洲銀行惡意軟件活動,該活動旨在竊取憑據和財務數據,並通過惡意Google Chrome擴展程序提供名為Caiman的特洛伊木馬。

 

該公司表示:「這些惡意活動的最終目標是在受害者的瀏覽器上安裝有害的瀏覽器插件,並使用Man-in-the-Browser技術。

 

「這使攻擊者能夠非法收集敏感的銀行信息,以及其他相關數據,例如受感染的機器信息和按需屏幕截圖。 威脅行為者通過 Telegram 頻道傳播更新和配置。

 

鏈接:

https://thehackernews.com/2024/08/chameleon-android-banking-trojan.html

 

6.國際刑警組織追回在BEC襲擊中被盜的4000多萬美元

國際刑警組織(INTERPOL)建立的全球停止支付機製成功追回了在BEC對新加坡一家公司的攻擊中被盜的4000多萬美元。

 

國際刑警組織表示,這是通過商業電子郵件泄露(BEC)騙局竊取資金的最大規模追回。

 

BEC 詐騙是一種網絡攻擊,其中網路犯罪分子試圖將合法的公司付款重定向到攻擊者控制的銀行賬戶。

 

這些攻擊是由威脅行為者進行的,他們利用供應商或公司的電子郵件地址進行攻擊,以欺騙計費部門批准應發送付款的新銀行信息。 當威脅行為者收到付款時,他們會迅速使用錢騾來耗盡賬戶或將其轉移到他們控制下的許多其他賬戶。

 

2023 年 FBI IC3 報告稱,他們收到了 21,489 起投訴,報告稱 2023 年因商業電子郵件泄露而造成的損失為 29 億美元。

 

根據國際刑警組織(INTERPOL)的公告,一家總部位於新加坡的大宗商品公司在收到他們認為是供應商的電子郵件後成為BEC攻擊的受害者。

 

「7月15日,該公司收到供應商的電子郵件,要求將待付款發送到位於東帝汶的新銀行賬戶,」公告中寫道。

 

「然而,這封電子郵件來自一個欺詐賬戶,拼寫與供應商的官方電子郵件地址略有不同。」

 

該公司認為這是一個合法的請求,將 4230 萬美元電匯到攻擊者控制的銀行賬戶,四天后才意識到他們已經陷入了攻擊。

 

在向新加坡當局報告襲擊事件後,執法部門使用國際刑警組織的全球快速支付乾預 (I-GRIP) 請求東帝汶當局提供援助,並從 BEC 襲擊中追回 3900 萬美元。

 

東帝汶當局的進一步調查導致逮捕了7名嫌疑人,並追回了另外200萬美元,使追回的總額達到4 100萬美元。

 

今年6月,一項名為「第一道曙光行動」的全球警方行動逮捕了3,950人,因為他們涉嫌參與網路釣魚、屠豬詐騙、虛假在線購物網站以及浪漫和冒充詐騙。

 

在行動期間,還使用了I-GRIP來追回被威脅行為者竊取的數百萬美元。 自 2022 年推出以來,它已被用於追回通過欺詐和網路犯罪被盜的超過 5 億美元。

 

鏈接:

https://www.bleepingcomputer.com/news/security/interpol-recovers-over-40-million-stolen-in-a-bec-attack/

 

7.移動設備管理供應商 Mobile Guardian 被黑

Mobile Guardian 是一家領先的移動設備管理供應商,於 8 月 4 日遭遇了對其平台的未經授權的訪問。

 

Mobile Guardian在其平台上檢測到可疑活動。 安全團隊立即做出反應,停止服務以遏制違規行為。

 

根據該公司的初步調查,未經授權的訪問影響了北美、歐洲和新加坡的用戶。

 

該漏洞導致一小部分設備從 Mobile Guardian 中取消註冊並被遠程擦除。 但是,沒有證據表明肇事者訪問了用戶的數據。

 

該漏洞造成了重大破壞,影響了依賴 Mobile Guardian 進行設備管理的教育機構。 學生和教職員工無法登錄 Mobile Guardian 平台,導致對其設備的訪問受到限制。

 

Mobile Guardian 已採取果斷措施,以防止進一步未經授權的訪問,以應對違規行為。 該公司已停止其服務,並正在努力恢復功能。

 

建議用戶聯繫其本地 IT 管理員以重新激活其設備。 Mobile Guardian 已向用戶保證,它致力於解決問題並盡快恢復正常運營。

 

鏈接:

https://gbhackers.com/vendor-mobile-guardian-hacked/

 

 

信飛科技有限公司

2024年8月