1.安卓密码窃取恶意软件

感染10万谷歌Play用户

窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次，该应用程序仍可供下载。Android 恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序，允许用户上传图像并将其转换为卡通渲染。根据 Jamf 安全研究员 Michal Rajčan 的说法，当用户输入他们的凭据时，该应用程序会将其发送到位于 zutuu[.]info [VirusTotal] 的命令和控制服务器，然后攻击者可以收集这些信息。除了 C2 服务器之外，恶意 Android 应用程序还将连接到 [www.dozenorms]club URL [VirusTotal]，进一步的数据被发送到该地址。这过去曾被用于推广其他恶意FaceStealer Android APP。

这些应用程序在远程服务器上执行图像更改并应用过滤器，而不是在本地设备上，用户的数据被上传到远程位置，并且有被无限期保存、与他人共享、转售等方面的风险。[点击“阅读原文”查看详情]

2.BitRAT恶意软件

作为Windows 10

许可证激活器传播

BitRAT 是一种强大的远程访问木马，在网络犯罪论坛和暗网市场上以低至 20 美元（终身访问）的价格出售给任何想要它的网络犯罪分子。因此，每个买家都遵循自己的恶意软件分发方法，包括网络钓鱼、水坑或木马软件。Webhards 是在韩国流行的在线存储服务，通过社交媒体平台或 Discord 上发布的直接下载链接吸引了大量访问者。BitRAT 被宣传为一种功能强大、价格低廉且用途广泛的恶意软件，可以从主机中窃取大量有价值的信息、执行 DDoS 攻击、绕过 UAC 等。

BitRAT 支持通用键盘记录、剪贴板监控、网络摄像头访问、录音、来自网络浏览器的凭据盗窃和 XMRig 硬币挖掘功能。

此外，它还通过 SOCKS4 和 SOCKS5 (UDP) 提供对 Windows 系统、隐藏虚拟网络计算 (hVNC) 和反向代理的远程控制。那些无力购买 Windows 许可证的人应该考虑替代选项，例如接受免费版本的限制，监控来自可信赖平台的特别优惠，或使用 Linux。[点击“阅读原文”查看详情]

3.毒蛇恶意软件活动

滥用Chocolatey Windows

软件包管理器

Chocolatey 是 Windows 的开源包管理器，允许用户通过command line安装和管理超过 9,000 个应用程序和任何附属项。在 Proofpoint 发现的一项新的网络钓鱼活动中，威胁参与者使用由带有宏的 Microsoft Word 文档、Chocolatey 包管理器和隐写图像组成的复杂感染链来感染设备，同时绕过检测。Proofpoint 表示，后门可以执行攻击发送的任何命令，允许威胁参与者下载更多恶意软件、打开反向 shell 并获得对设备的完全访问权限。

除了自定义后门 (Serpent) 和 Chocolatey 的滥用之外，Proofpoint 还注意到使用 schtrasks.exe 执行签名二进制代理的新应用，本质上是一种新的检测绕过技术。这些要素表明，这些威胁行为者是一个新的群体，其特点是高度复杂和能力强，并且与其他已知行为者没有联系。Proofpoint 无法检测到任何可用于将活动归因于特定威胁行为者的内容，这从侧面展现了该群体的整体操作安全性。[点击“阅读原文”查看详情]

4.微软正在调查黑客

攻击源代码存储库的指控

微软表示，他们正在调查有关 Lapsus$ 数据勒索黑客组织违反其内部 Azure DevOps 源代码存储库并窃取数据的指控。与我们今天读到的许多勒索组织不同，Lapsus$ 不会在受害者的设备上部署勒索软件。

相反，他们以大公司的源代码存储库为目标，窃取他们的专有数据，然后试图以数百万美元的价格将这些数据赎回公司。当 Lapsus$ 入侵 NVIDIA 并发布他们的数据时，它还包括代码签名证书，其他威胁参与者迅速使用这些证书签署他们的恶意软件。使用 NVIDIA 的代码签名证书可能会导致防病毒引擎信任可执行文件，而不会将其检测为恶意文件。微软此前曾表示，他们有一项开发政策，禁止将 API 密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中。即使是这样，也不意味着源代码中不包含其他有价值的数据，例如私有加密密钥或其他专有工具。

目前尚不清楚这些存储库中包含什么，但就像以前的受害者所做的那样，Lapsus$ 泄露他们声称获得的被盗数据只是时间问题。[点击“阅读原文”查看详情]

5.Windows零日漏洞授予

管理员权限再次

获得非官方补丁

微软几个月来一直未能完全解决的 Windows 本地权限提升零日漏洞允许用户在 Windows 10、Windows 11 和 Windows Server 中获得管理权限。根据 0patch 团队的说法，该团队一直在非正式地为已停产的 Windows 版本和一些微软不会解决的漏洞提供修复，该漏洞仍然是一个零日漏洞。事实上，微软的补丁未能修复该漏洞，并打破了 0patch 之前的非官方补丁。

微软还通过 2022 年 1 月的“周二补丁日”发布的第二个安全更新来应对这种绕过，为绕过提供了一个新的跟踪 ID，即 CVE-2022-21919，并将其标记为已修复。在针对研究人员的第二次绕过补丁测试时，0patch 发现他们对“profext.dll”DLL 的补丁仍然可以保护用户免受新的利用方法的侵害，从而使这些系统保持安全。

然而，微软的第二次修复尝试替换了“profext.dll”文件，导致应用了 2022 年 1 月 Windows 更新的每个人都删除了非官方修复。0patch 现在已将该修复程序移植到 2022 年 3 月的“周二补丁日”更新中，并免费提供给所有注册用户。[点击“阅读原文”查看详情]