Google Play中恶意软件Autolycos已被下载300万次

宣布时间 2022-07-15
1、Google Play中恶意软件Autolycos已被下载300万次

     

据媒体7月13日报道,Google Play商店中存在一个新的Android恶意软件Autolycos,下载量已凌驾300万次 。Autolycos会秘密为用户订阅高级服务,至少存在于8个Android应用中,如Vlog Star Video Editor(100万次下载)和Creative 3D Launcher(100万次下载)等,Evina研究人员在2021年6月发现这些应用 。Autolycos会隐蔽地执行攻击,并可以访问目标的SMS文本消息 。目前,Google已在Play商店中删除了这些应用 。


https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/


2、微软披露macOS沙盒逃逸漏洞CVE-2022-26706的细节

      

7月13日,微软披露了macOS中的一个漏洞(CVE-2022-26706),它可通过特制代码绕过沙盒限制并在系统上执行代码 。研究人员解释称,该漏洞是在macOS上运行和检测Microsoft Office文档中的恶意宏要领时发现的 。为确保向后兼容,Microsoft Word可以读写带有前缀"~$"的文件,这是在应用法式的沙盒规则中界说的 。使用Launch Services对一个带有上述前缀的特殊Python文件运行open -stdin命令,可以在macOS上的App沙盒逃逸,并入侵系统 。该漏洞在今年5月的macOS宁静更新(Big Sur 11.6.6)中修复 。


https://www.microsoft.com/security/blog/2022/07/13/uncovering-a-macos-app-sandbox-escape-vulnerability-a-deep-dive-into-cve-2022-26706/


3、AMD和Intel CPU易受推测执行攻击Retbleed的影响

      

据7月13日报道,苏黎世联邦理工学院的研究人员发现了可影响AMD和Intel CPU的新推测执行攻击Retbleed 。Retbleed也称为Spectre-BTI,包罗2个漏洞CVE-2022-29900(AMD)和CVE-2022-29901(Intel),可绕过当前的防御并导致基于Spectre的攻击 。虽然许多操作系统使用了像Retpoline这样的掩护措施来防御分支目标注入(BTI),但Retbleed可以绕过这种计谋,劫持内核中的返回指令并执行任意推测性代码 。


https://thehackernews.com/2022/07/new-retbleed-speculative-execution.html


4、巴基斯坦空军总部遭到印度团伙Sidewinder的攻击

     

 Check Point7月13日称,巴基斯坦空军总部遭到了疑似印度APT组织Sidewinder的攻击 。2022年5月,与攻击活动相关的多个恶意软件样本和两个加密文件被上传到VirusTotal 。在解密文件后,CPR发现一个与Sidewinder团伙相关的.NET DLL,该团伙主要针对巴基斯坦的实体 。第二个加密文件包罗了目标设备上所有文件的列表,其中大部门与军事和航空有关 。此外,被攻击系统的用户名包罗AHQ-STRC3,而AHQ代表巴基斯坦空军总部 。


https://blog.checkpoint.com/2022/07/13/a-hit-is-made-suspected-india-based-sidewinder-apt-successfully-cyber-attacks-pakistan-military-focused-targets/


5、美国追债公司PFC近200万医疗数据在勒索攻击后泄露

      

媒体7月14日称,美国收债公司Professional Finance Company(PFC)泄露了650多家医疗机构的190万人的信息 。PFC主要为医疗公司追讨未偿债务,在2月26日发现其遭到了勒索攻击,直到5月初才通知该事件 。PFC的声明称未经授权的第三方访问了包罗个人信息的文件,虽然并未透露受影响的个人数量,但卫生与公众服务部(DHHS) 网站显示,有1918841人受到此事件的影响 。PFC正在联系可能受到影响的个人,并将为他们提供免费的信用监控 。


https://www.infosecurity-magazine.com/news/healthcare-records-breaches/


6、Zscaler宣布Qakbot使用的多个新技术的分析陈诉

      

7月12日,Zscaler宣布了关于恶意软件Qakbot的技术分析陈诉 。Qakbot自2008年开始活跃,是一种窃取密码的常见木马,近期,Qakbot背后的运营团伙正在更新其流传载体,以试图绕过检测 。攻击者通过使用ZIP文件扩展名以及具有常见格式的文件名和Excel(XLM) 4.0来诱使目标下载安装Qakbot恶意附件,除此之外,攻击者还在使用了其它技术来绕过自动检测并提高的攻击乐成率,包罗混淆代码、利用多个URL来分发payload和使用未知的文件扩展名来分发payload等 。


https://www.zscaler.com/blogs/security-research/rise-qakbot-attacks-traced-evolving-threat-techniques