圖片來源: 

Monero

1121-1127 一定要看的資安新聞

 

#網站攻擊  #加密貨幣

門羅幣官網遭植入惡意程式,用戶加密貨幣錢包被清空

加密貨幣門羅幣(Monero)近日傳出官方網站被駭,攻擊者置換網站上提供的命令列介面(CLI)版應用程式,將其加入可竊取用戶加密貨幣的惡意軟體。有用戶表示,在執行冒牌應用程式數小時後,錢包裏有價值7,000美元的門羅幣被偷光。

該組織呼籲,在臺灣時間11月18日早上10時30分,到隔日凌晨0時30分之間,於官方網站下載應用程式的用戶,應先檢查檔案的雜湊值,一旦比對不符就要重新下載。假如用戶已經執行可能含有惡意軟體的電子錢包應用程式,要將開啟過的電子錢包裡面的加密貨幣,儘速移轉到別處。詳全文

圖片來源:Monero

 

#漏洞攻擊

Android手機驚傳漏洞,駭客可遠端拍照、攝影,甚至是找到受害者的地理位置

安全廠商Checkmarx指出,他們在Google Pixel 2 XL和Pixel 3的相機程式裡,發現有權限繞過(Permission Bypass)的安全漏洞,編號CVE-2019-2234。隨後該公司發現,濫用這個漏洞的攻擊手法,也能運用於三星的手機,因此研判所有Android手機都存在相同漏洞。

Checkmarx表示,攻擊者利用上述漏洞,能夠藉由不具權限的應用程式,控制Google相機App;再者,這個漏洞也能讓攻擊者繞過手機的儲存裝置存取政策,直接存取影片和相片,以及相片的GPS中繼資料(Metadata)。綜合這些弱點,駭客不僅可以暗中執行拍照與錄影,並且能把照片和影片傳送到惡意伺服器,然後透過相片裡的EXIF資訊,找出受害者的地理位置。該公司自7月開始通報Google與其他手機廠商,並得到Google和三星證實,Google也修補上述漏洞並提供給所有合作廠商。詳全文

 

#漏洞攻擊

臉書修補WhatsApp的遠端程式執行漏洞

臉書旗下的即時通訊軟體WhatsApp再傳漏洞,這個安全性弱點的編號為CVE-2019-11931,攻擊者只要藉由惡意MP4檔案就能觸發,造成服務阻斷或遠端程式執行,這個漏洞同時影響Android與iOS用戶。

該漏洞同時波及多個作業系統上的WhatsApp,涵蓋Android、iOS、Windows Phone,包含個人端與企業版本的應用程式。

臉書向Threatpost透露,該漏洞是由內部工程師自行發現後,已經完成修補,迄今並無任何證據顯示遭到濫用。詳全文

 

#漏洞攻擊  #開發安全  #資安產品安全疑慮

漏洞通報了一年才發出公告!Fortinet坦承多款產品加密金鑰寫死在程式碼

資安產品出現漏洞時有所聞,但如果拖延超過1年才發出修補程式及公告,這段空窗期很有可能讓駭客攔截用戶資料,削弱產品的防護能力。就像Fortinet近期發布產品安全性公告中,就有一項漏洞的處理,是這種狀況。該漏洞是研究人員Stefan Viehböck於2018年5月發現,Fortinet多款產品與雲端服務之間,竟透過寫死在FortiOS作業系統的金鑰,來加密傳輸,導致攻擊者得以竊聽用戶活動,並且操控安全偵測服務。

但直到今年初,該公司才陸續修補,並且到了11月20日發出公告,呼籲用戶儘速更新軟體。

這個漏洞是CVE-2018-9195,存在於FortiOS 6.0.7,以及FortiClient的Windows和macOS版本(6.0.6與6.2.1版)。該公司呼籲用戶要更新FortiOS至6.2.0版,Windows版FortiClient應升級到6.2.0版、macOS版則要升級到6.2.2版。詳全文

圖片來源:Fortinet

 

#釣魚郵件攻擊  #勒索軟體攻擊

冒牌Windows更新通知信暗藏勒索軟體

如果最近收到署名是微軟寄發的電子郵件,通知你下載Windows更新,要小心有可能是釣魚郵件。安全廠商TrustWave發現最近網路上流傳偽裝Windows更新的信件,使用者一旦不慎開啟附件的JPG圖檔,電腦將感染勒索軟體Cyborg。

值得留意的是,製作這款勒索軟體的作者還提供了開發套件,於GitHub上公開,研究人員認為,這很有可能導致日後衍生大量的Cyborg勒索軟體變種。詳全文

 

#釣魚攻擊  #側錄攻擊

散布金融木馬新招!駭客在臉書刊登麥當勞優惠廣告

ESET揭露在中南美洲流竄的金融木馬程式Mispadu,並指稱攻擊者不只透過垃圾郵件散布,還在臉書上刊登假的麥當勞優惠廣告,誘導受害者點選,進而在電腦上安裝惡意程式,竊取機密的金融資訊。

前述駭客在臉書刊登的廣告裡,會將受害者引導到惡意網頁下載優惠券,但實際上是下載含有側錄程式的ZIP壓縮檔案。

Mispadu的後門功能包括可截取螢幕畫面、模擬滑鼠,以及鍵盤動作等。此外,這個木馬可以從瀏覽器和電子郵件用戶端軟體上,竊取已儲存的金融憑證,同時能夠監控剪貼簿內容,讓駭客將受害者錢包裡的加密貨幣占為己有。詳全文

圖片來源:WeLiveSecurity

 

#資料外洩  #公有雲配置不當

公開的Elasticsearch伺服器曝露12億名民眾資料

威脅情報平臺業者Data Viper揭露,Google Cloud有一個公開的Elasticsearch資料庫,存放了12億名用戶的資料,使用者不需密碼或認證,就能直接存取並下載所有資料,堪稱是史上最大宗的資料外洩事件。

這個資料庫總容量為4TB,包含了40億個使用者帳號,Data Viper從中過濾出12億名不重覆的民眾個資。外洩的資料包括姓名、電子郵件、電話號碼、以及LinkedIn與臉書的個人檔案。Data Viper認為,資料庫的內容來自兩家資料補齊(Data Enrichment)公司,名為People Data Labs與OxyData.Io,但這兩家公司得知此事後,都否認該伺服器是他們所有,因此Data Viper推測,這個資料庫的擁有者可能是上述資料補齊公司的客戶。詳全文

 

#資安產業動態  #隱私疑慮

多家資安業者與非營利組織聯手抵制跟蹤軟體

包括Avira、Kaspersky、G Data、Malwarebytes,以及NortonLifeLock等多家防毒軟體業者,會同電子前線基金會(Electronic Frontier Foundation,EFF)等多個非營利組織,成立了「抵制跟蹤軟體聯盟(Coalition Against Stalkerware)」,認為這類處於灰色地帶的軟體,通常與專制政權或犯罪組織有所關聯,經常被用於非法用途,所以,他們藉此想要提升公眾的意識,對抗濫用跟蹤軟體造成的家庭暴力、監控,以及騷擾。

該聯盟的宗旨,在於改善偵測跟蹤軟體的能力,並喚起大眾的注意,防範。根據統計,從2018年以來,資安業者在手機上所偵測到的跟蹤軟體,安裝數量增加373%。這類的軟體不只會洩露受害者的資料,也會破壞裝置的保護,進而替惡意程式開啟大門,衍生資安風險。然而,有些國家認為跟蹤軟體合法,防毒軟體不能直接將其標註為病毒,只能以提醒的角度,而這也顯示電腦存在相關隱憂。詳全文

 

 

更多資安動態

TrickBot木馬企圖竊取OpenSSH與OpenVPN金鑰
懸賞百萬美元,Google號召高手找出Pixel手機晶片漏洞
Firefox 72預設將啟用指紋追蹤保護
中國手機製造商OnePlus再傳客戶資料外洩
惡意程式Dexphot以高明手法躲避偵測,8萬臺PC變比特幣挖礦機
推特將大舉清除閒置帳號


Advertisement

更多 iThome相關內容