【网安科普】近期网络安全事件

1、虚假电商活动

事件描述：

一次虚假电商攻击再次被发现，这次的目标是18家马来西亚银行，使用升级的恶意应用程序。该活动从最初针对马来西亚银行，扩展到包括越南和缅甸的银行。新版本的恶意软件引入了高级功能，如屏幕共享功能、辅助功能服务的利用以及与命令和控制服务器的复杂通信，表明其具有更高的复杂性和持久性。升级的变体使用了开源字符串混淆器“Paranoid”，并集成了用于屏幕共享的Janus WebRTC模块。2022年9月，研究人员注意到虚假电商攻击活动的普及度大幅上升，该活动一直积极地针对马来西亚、越南和缅甸。

最初，该活动分发的APK文件主要利用网络钓鱼技术以及SMS窃取程序来窃取用户凭据。新版本的恶意软件已升级，包括屏幕共享功能和对辅助功能服务的利用。之前的变体主要针对10家马来西亚银行，如Hong Leong Bank、CIMB Bank、Maybank等。该活动还扩展到越南，通过伪装成正式支付应用程序网站的虚假网站传播Android恶意软件，以针对越南的HD Bank客户。受害者被引导购买虚假产品，遇到三种付款选项：信用卡、借记卡和FPX支付。恶意软件利用屏幕共享功能和辅助功能服务，以获取用户凭据。

2、 Solana Drainer传奇 

事件描述：

漏洞研究人员最近公开了一系列产品中的三个漏洞，包括可能导致在家庭网络中广泛使用的Netgear无线路由器中远程代码执行的漏洞。此外，还新公开了一些NVIDIA显卡的图形驱动中可能导致内存泄漏的漏洞。所有提到的漏洞都已经被各自的供应商修复，完全符合Cisco的第三方漏洞披露政策。

威胁行为者正在积极利用Google Ads等平台以及社交媒体平台（如X，前身为Twitter）传播加密货币消耗程序，采用的策略包括破坏知名账户、生成伪造的个人资料和使用恶意广告。研究人员在网络犯罪论坛上发现了多个加密货币消耗程序源代码的泄露，其中包括Solana Drainer程序的最新泄露。恶意软件源代码的泄露使得可以创建新的变体。随着多个加密货币消耗程序源代码在网络犯罪论坛上泄露，威胁行为者将利用它们来创建更多的加密货币消耗程序变体。Solana Drainer程序是与MS Drainer开发者合作开发的项目，随后在网络犯罪论坛上泄露。据报道，MS Drainer从63,000名个人那里窃取了5900万美元。泄露的源代码包含部署Solana Drainer程序的详细说明和配置。它还包括租用服务器、域名注册以及使用FileZilla进行文件传输和配置的建议。该代码包括窃取种子短语等敏感信息的功能，并通过Telegram进行通信，使威胁行为者能够高效地消耗受害者的加密资产。

加密货币消耗程序是一种恶意脚本，旨在迅速消耗加密货币钱包，将资产转移到攻击者的控制之下。这些货币消耗程序随着时间的推移不断演变，最初针对的是MetaMask等加密钱包，后来扩展到各种加密平台。它们通过评估受害者钱包中的资产价值，识别最有价值的资产，并执行交易和智能合约，快速从钱包中枯竭资产。

加密货币消耗程序使用的传播机制包括社交工程策略，如虚假网站、电子邮件和文档，以引诱受害者提供对其钱包的访问权限。此外，还创建了钓鱼页面和伪造网站，以欺骗用户连接其钱包，使其在不知情或未经同意的情况下进行资产转移。受害者可能会通过智能合约不知不觉地授权有害交易，导致钱包内容部分或全部丧失。

大多数加密货币消耗程序通过一系列协调良好的步骤运作。它始于恶意活动的启动，攻击者设置虚假空投或钓鱼计划，通常通过社交媒体或电子邮件广告，承诺免费代币。一旦用户上钩，他们被引导到一个欺骗性的网站，该网站模仿了合法的代币分发平台。

3、攻击者入侵 YouTube 频道以分发信息窃取程序（Vidar 和 LummaC2）

事件描述：

研究人员最近发现，攻击者使用 YouTube 分发恶意软件的案例越来越多。攻击者不仅仅是创建 YouTube 频道并分发恶意软件——他们正在窃取已经存在的知名频道以实现其目标。在其中一个案例中，目标频道拥有超过 800,000 名订阅者。

滥用 YouTube 的攻击者主要分发信息窃取程序。2020 年通过YouTube 分发的 RedLine Infostealer 以及最近发现的案件中发现的 Vidar 和 LummaC2 都是信息窃取程序。

在恶意软件分发的众多方式中，主要的一种是滥用 Web 服务。通常，当用户下载程序时，它们可能是实际的正常程序，但它们也可能是非法程序，例如游戏黑客，破解和注册机。威胁行为者创建的网站看起来像是上传了此类程序，而实际上上传了恶意软件。因此，用户最终会下载恶意软件而不是他们正在搜索的程序，并且执行此操作最终会感染他们的系统。

用于分发恶意软件的此类网站包括文件共享网站、被破坏的网站和博。YouTube 还可用于恶意软件分发，因为该平台允许威胁行为者在视频中附加恶意软件下载链接以及描述和评论部分。自 2020 年以来，攻击者一直在使用这种方法分发 RedLin、BlackGuard和 RecordBreaker 等信息窃取程序。

过去，攻击者使用的 YouTube 频道没有那么多订阅者，因为他们自己创建了频道。然而，在 2023 年的 RecordBreaker 分发案中，一名攻击者入侵了一个拥有超过 100,000 名订阅者的频道，以上传和分发恶意软件。如今，使用这种方法的攻击案例越来越多，其中一次，一个拥有超过 800,000 名订阅者的频道被黑客入侵。目标 YouTube 频道的范围从歌手和有影响力的人到与体育、宗教和动画相关的频道。