欢迎来到最新版的Neu Cyber​​威胁,每周一系列系列,我们在内华达州,提请注意最新的网络安全威胁,以确保您在线安全。

以下是您应该了解的最突出的威胁:

由于4月份的税收年度,一项轰炸公众,轰炸公众,轰炸公众的一项财富。犯罪分子正在利用时间试图捕获受害者的时间, 很多 电话,电子邮件和短信消息。消息告诉收件人,他们欺骗了这个国家’S税务服务,因此必须支付大量罚款或面对监禁时间。

当然,该消息完全不正确,通过使用社会工程策略和使用迫切,按语言,收件人诱人致力于在监狱中失去数千磅或花时间的威胁。 对于这些骗局的完整故事和直接示例,请点击 这里.

网站联系表格和Google URL正在被利用来传播 IceDid Trojan.,据微软称。

‘Contact us’网站上的表格是由网络罪犯的目标,以便向有法律威胁发送针对组织的电子邮件。网络钓鱼邮件通过摄影师,插画家或设计师提到了版权侵权,并包含一个据称的链接‘evidence’对于这些法律违规行为。该链接导致Google页面下载IcedID(A.k.a.Bokbot),信息窃取器和加载器用于其他恶意软件。

该消息使用强大而紧急的语言类似于上面的HMRC网络钓鱼活动,如图所示‘立即下载并为自己检查这一点,然后迫使收件人立即采取行动,最终诱人的收件人打开链接以避免法律行动。

链接将受害者发送到Sites.Google.com页面,要求他们登录。登录后,页面下载恶意.zip文件,unpacked包含.js文件时。 Microsoft解释了.js文件是通过WScript执行的,它创建一个shell对象,该对象启动PowerShell并以.dat文件的形式下载IceDid有效载荷。

该文件为受害者的计算机和分析提供了攻击者远程控制,并显示下载的.dat文件通过rundll32可执行文件加载,该可执行文件启动各种信息收集命令。这包括:获取防病毒信息,获取IP,域和系统信息,以及存储在浏览器数据库中的银行业务和其他凭据。

在网站上使用联系人表格允许广告系列避免电子邮件垃圾邮件过滤器,因为从可信电子邮件营销系统发送时似乎值得信赖。由于电子邮件始于其网站上的收件人自己的联系人表单,电子邮件模板与实际客户互动或查询的期望匹配。

此外,使用Google页面和登录请求辅助检测逃避–此添加的身份验证层意味着检测技术可能会失败,即将电子邮件识别为恶意。

建议用态度处理联系表电子邮件‘safety-first’。如在这种情况下,电子邮件包含网站的链接,无需强大,明显的原因, 不要点击它们。 在电子邮件过滤器可以打击此特定攻击中使用的一些通用语言和链接之前,企业应该是通过其联系方式查询收到的通信的警惕。

Microsoft Azure Logo,Cloud Computing,Microsoft Azure,业务系统一个特权 - 升级漏洞 微软的Azure函数 Cloud Container功能最终可能允许用户逃脱容器。

该公司发现Azure函数容器使用vivileged docker标志运行,这意味着/ dev目录中的设备文件可以在Docker主机和容器访客之间共享–该漏洞源于这些设备文件具有读写权限的事实‘others’.

如果Azure函数环境包含52个不同的分区,则该问题成为一个问题,其中包含文件系统,可以在用户身上可见。在攻击者可以访问受害者的环境中,这可能变得危险,作为低特权用户–攻击者可以利用脆弱的脆弱性,并做他们不应该做的事情–例如,从文件系统中读取文件。

对于从此设置可能出现的攻击路径来探测,研究人员创建了一个本地测试容器,并发现通过使用调试实用程序,不平等的用户可以轻松地遍历Azure函数文件系统。并且,事实证明,未经特权的用户也可以直接编辑在内部找到的任何文件。但是,研究人员能够在对文件进行直接更改的情况下找到解决此限制的方法。

微软已经了解了漏洞,但是一个传入的补丁’在撰写本文时宣布。诸如此Nowerscore的案例,漏洞有时是未知的或云安全消费者的控制。  Neuways向云安全提出双管齐下的方法,通过修复已知的漏洞和增强系统来减少攻击的可能性,以及实现运行时保护,以检测和响应漏洞后攻击和其他内存攻击发生。

恶意软件伪装成一个 netflix应用程序 在Google Play商店上潜伏在浏览WhatsApp消息。

根据研究人员,伪装成作为一个叫做的恶意软件,‘FlixOnline’,它通过WhatsApp消息通知发出通知,‘2个月的Netflix Premium在世界上的任何地方免费,60天,’ –但一旦安装,恶意软件就会窃取数据和凭据。

恶意软件旨在聆听传入WhatsApp消息,并自动响应受害者收到的任何响应的内容。响应尝试使用免费NetFlix服务的提议来引诱其他人,并包含与流服务的欺骗版本的链接’凭证和信用卡信息的网站。

研究人员说:“该应用程序据称是一个假的服务,允许用户在移动设备上查看来自世界各地的Netflix内容。然而,而不是允许移动用户查看NetFlix内容,而是应用程序监视用户的WhatsApp通知,而是使用从远程服务器接收的内容向用户的传入消息发送自动答复。“

在两个月的过程中,该应用程序在Google Play上生活,恶意软件克服了500名受害者。据研究人员称,尽管谷歌已被谷歌删除了谷歌删除了,但Malmware家族可能会留下不同的应用程序中隐藏在不同的应用中。恶意软件还能够自传,向用户的WhatsApp联系人和群组发送消息,以与假应用程序的链接发送。因此,虽然该应用程序无法达到任何新的受害者,但可能是500已经受到影响的可能会不经意间共享恶意软件。

恶意软件的技术是相当新的和创新的,这导致它能够如此轻松伪造,并绕过谷歌播放商店的保护,提出了一些严重的红旗。从播放商店下载应用程序并安装后,它请求三个特定的权限,叠加,电池优化忽略和通知侦听器。这允许它进行前面描述的邪恶活动。

在授予权限之后,恶意软件显示它从命令和控制服务器(C2)接收的登录页面,并且在周期性地Ping C2以进行配置更新之前,它会从主屏幕中删除其图标。涉及到WhatsApp消息时,恶意软件使用名为OnnotificationPosted的函数来检查应用程序的包名称创建给定通知。如果应用程序是whatsapp,则恶意软件将会‘process’通知包括取消通知,在读取收到的通知的标题和内容之前,将其隐藏在过程中的通知。

这是一个’T来自官方Android应用商店的第一个应用程序,包含恶意软件或特洛伊木马。例如,在2021年3月,例如,在Google Play上发现了九个恶意应用程序,覆盖了一个恶意软件滴管,为攻击者远程窃取来自Android手机的财务数据的方式铺平了道路。在1月份,Google删除了164个应用程序,总计1000万次下载,因为他们正在提供颠覆广告。

诺瓦威建议用户警惕通过WhatsApp或其他消息传递应用程序的任何下载链接或附件,即使它们似乎来自可信的联系人或消息传递组,因为这些联系人可以’通过恶意Android应用程序的影响。然后,如果用户使用其设备上安装的假应用程序找到自己,则应立即从设备中删除可疑应用程序并更改所有密码。

如果您关注您业务中的任何网络安全问题,请立即联系我们 01283 753 333. 或电子邮件 hello@neuways.com..