全文共4959字，预计阅读时间10分钟

1、新Editbot Stealer 通过钓鱼网站传播

2、TrickMo银行木马卷土重来，新增功能更加强大

3、Carbanak银行木马再次出现，利用UAC绕过技术窃取资金

4、Cloud Atlas网络间谍组织发动鱼叉式钓鱼攻击，传播PowerShower恶意软件

5、Fake WordPress Cache Addons插件在电子商务网站上窃取信用卡信息

6、Operation RusticWeb：基于Rust语言的恶意软件针对印度政府机构

7、NKAbuse：一种利用NKN协议进行数据交换和后门操作的新型多平台恶意软件

8、三种新型跨平台威胁：FakeSG、Akira和AMOS

9、BlueNoroff：攻击macOS用户的新木马

1、新Editbot Stealer 通过钓鱼网站传播

事件描述：

Editbot 是一种基于 Python 的窃取器，它可以从浏览器中提取密码、cookie、网页数据等信息，并将其存存存储在 %temp% 文件夹中。Editbot 使用 Telegram 机器人来传输窃取的信息给攻击者，并使用 Gitlab 平台来下载和执行后续的恶意代码。Editbot 的攻击链包括一个可疑的 RAR 文件，一个名为 “Screenshot Product Photo Sample.bat”的批处理文件，一个名为 “manifest.json”的 JSON 文件，以及一些 PowerShell 命令。Editbot 的攻击方式利用了社交媒体上“有缺陷产品需要退货”的主题，诱导用户点击或点赞一些伪造的页面，从而扩大欺诈内容的影响范围。

要防止 Editbot 的攻击，你需要注意不要随意打开或下载来自不可信来源的附件或链接，不要在社交媒体上参与或转发任何涉及“有缺陷产品需要退货”的内容，定期更新你的浏览器和操作系统，并安装最新版本的杀毒软件和防火墙，使用强密码并定期更换密码，并使用双重验证或其他安全措施来保护你的账户。

源：

https://cyble.com/blog/new-editbot-stealer-spreads-via-social-media-messages/

2、TrickMo银行木马卷土重来，新增功能更加强大

事件描述：

TrickMo的银行木马针对安卓用户，利用覆盖攻击技术从目标应用中窃取凭证。TrickMo最初于2019年9月被发现，是由TrickBot恶意软件传播的。TrickBot是一种多功能的恶意软件，可以窃取敏感信息、传播勒索软件、执行网络攻击等。2020年3月，研究人员分析了一种新发现的安卓银行木马，称为“TrickMo”，该木马专门针对德国用户，目的是通过利用屏幕录制功能窃取交易认证号码。是一种用于验证在线银行交易的一次性密码，通常通过短信或手机应用发送给用户。TrickMo通过伪装成安全应用，诱骗用户授予其设备管理器权限和无障碍服务权限，从而能够监控用户的屏幕活动，并将其发送给远程服务器。

2023年9月，研究人员通过VirusTotal Intelligence发现了这种恶意银行木马的新变种。与上一次分析的结果相比，这种TrickMo的变种显示出增强的功能，采用覆盖注入技术来提取目标应用的凭证，而不是依赖屏幕录制，这是第一代TrickMo所采用的方法。覆盖攻击是一种常见的安卓恶意软件技术，它通过在用户的屏幕上显示一个伪造的界面，欺骗用户输入他们的用户名、密码、验证码等信息，然后将其窃取并发送给攻击者。这种TrickMo的变种伪装成免费的电影流媒体应用“OnStream”或者谷歌浏览器，诱骗用户安装并授予其所需的权限。然后，它会在后台运行，检测用户是否打开了目标银行应用，如果是的话，就会在其上显示一个伪造的登录界面，要求用户输入他们的凭证。这种TrickMo的变种能够针对多个欧洲国家的银行应用进行覆盖攻击，包括德国、奥地利、瑞士、荷兰、法国、西班牙、意大利、波兰、英国等。

在2023年9月之后，研究人员在VirusTotal上检测到了三个新的TrickMo银行木马样本。对最新变种的详细分析显示，它增加了五个额外的命令，突显了攻击者不断改进和升级恶意软件的努力。这些新增的命令包括：

getScreenContent：获取屏幕内容，并将其发送给远程服务器。

getScreenSize：获取屏幕尺寸，并将其发送给远程服务器。

getScreenOrientation：获取屏幕方向，并将其发送给远程服务器。

getScreenDensity：获取屏幕密度，并将其发送给远程服务器。

getScreenBrightness：获取屏幕亮度，并将其发送给远程服务器。

这些命令可能用于帮助攻击者更好地定制覆盖界面，以适应不同的屏幕参数，从而提高欺骗用户的成功率。此外，这些命令也可能用于收集用户的设备信息，以便于攻击者进行其他攻击或者出售给其他犯罪分子。

源：

https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools/

3、Carbanak银行木马再次出现，利用UAC绕过技术窃取资金

事件描述：

近日，一种名为Carbanak的银行木马的最新变种引起了安全界的关注。这种木马针对全球各地的银行和企业，利用多种技术从他们的网络中窃取资金。Carbanak最初于2014年被发现，是由一群俄罗斯黑客组织的，他们通过发送带有恶意附件的钓鱼邮件，感染银行员工的电脑，然后利用远程控制和网络渗透，窃取银行的内部系统和ATM机。据估计，Carbanak至少从100多家银行中窃取了10亿美元。2023年12月，研究人员发现了Carbanak的新变种，该变种利用了一种绕过用户帐户控制（UAC）的技术，获得了完全的管理员权限，从而能够在受感染的机器上执行任意代码。UAC是一种Windows安全功能，用于防止未经授权的程序对系统进行更改。Carbanak的新变种通过利用Windows注册表中的一个键值，将其自身添加为一个受信任的二进制文件，从而绕过了UAC的检测。这种技术使得Carbanak能够在不引起用户注意的情况下，悄悄地运行其恶意模块，包括键盘记录器、屏幕捕获器、网络嗅探器等，以窃取用户的敏感信息和凭证。此外，Carbanak的新变种还使用了一种称为“反沙盒”的技术，用于检测和避免安全分析。沙盒是一种用于隔离和运行可疑程序的安全工具，以观察其行为和活动。Carbanak的新变种通过检查系统的硬件配置、进程列表、网络连接等，来判断是否运行在沙盒环境中，如果是的话，就会停止其恶意活动，以免被发现。Carbanak的新变种已经在全球范围内感染了数千台电脑，其中大部分位于美国、欧洲和南美。

源：

https://cyble.com/blog/new-java-based-rude-stealer-abuses-directx-diagnostic-tool/

4、Cloud Atlas网络间谍组织发动鱼叉式钓鱼攻击，传播PowerShower恶意软件

事件描述：

研究人员发现了一种名为Cloud Atlas的网络间谍组织的最新活动。该组织针对亚洲和欧洲的政府和外交机构，发起了一系列的鱼叉式钓鱼攻击，以传播一种名为PowerShower的恶意软件。Cloud Atlas最初于2014年被发现，是一种利用PowerShell脚本和VBS文件来执行。2023年10月，研究人员发现了Cloud Atlas的新活动，该活动利用了一种名为PowerShower的恶意软件，该恶意软件是一种基于PowerShell的后门，能够从远程服务器下载和执行其他恶意模块。PowerShower的传播方式是通过鱼叉式钓鱼邮件，这些邮件伪装成来自合法的政府或外交机构的官方文件，如报告、备忘录、邀请函等，附带了一个带有恶意宏的Word文档。一旦用户启用了宏，文档就会运行一个PowerShell脚本，该脚本会从一个隐藏的图片中提取PowerShower的主要组件，并在受感染的机器上执行。PowerShower的主要功能是收集系统信息、清理痕迹、下载和执行其他恶意模块，如Keylogger、ScreenShooter、FileStealer等。根据Bitdefender的报道，Cloud Atlas的新活动已经影响了亚洲和欧洲的多个国家，包括阿富汗、巴基斯坦、印度、中国、伊朗、土耳其、乌克兰、罗马尼亚等。

源：

https://cyble.com/blog/threat-actor-targets-batman-arkham-city-gamers-using-meterpreter/

5、Fake WordPress Cache Addons插件在电子商务网站上窃取信用卡信息

事件描述：

研究人员发现名为Fake WordPress Cache Addons的恶意WordPress插件。该插件能够在电子商务网站上注入恶意JavaScript代码，窃取用户的信用卡信息。这种插件是由一种名为Magecart的网络犯罪集团使用的，该集团专门针对电子商务网站进行信用卡盗刷。Fake WordPress Cache Addons插件通过伪装成一个正常的WordPress插件，诱骗网站管理员安装，然后将自己复制到一个特殊的目录中，使其无法被轻易删除或禁用。该插件还能够创建和隐藏一个管理员账户，以便于攻击者保持对网站的访问。该插件的主要功能是在结账页面上注入恶意JavaScript代码，该代码能够捕获用户输入的信用卡信息，并将其发送到攻击者控制的域名。

Fake WordPress Cache Addons插件已经影响了多个电子商务网站，其中包括一些使用WooCommerce平台的网站。

源：

https://thehackernews.com/2023/12/rogue-wordpress-plugin-exposes-e.html

6、Operation RusticWeb：基于Rust语言的恶意软件针对印度政府机构

事件描述：

近日，研究人员发现一种名为Operation RusticWeb的网络攻击活动。该活动针对印度的政府机构，使用基于Rust语言的恶意软件进行间谍活动。研究人员认为该活动与一个名为Transparent Tribe的网络间谍组织有关。Transparent Tribe是一个活跃多年的网络间谍组织，主要针对印度和阿富汗的军事和政府目标，使用多种恶意软件和攻击技术。Operation RusticWeb的攻击方式是通过发送带有恶意附件的钓鱼邮件，诱骗受害者打开一个Word文档，该文档会运行一个PowerShell脚本，从一个隐藏的图片中提取Rust-based恶意软件，并在受感染的机器上执行。Rust是一种现代的编程语言，具有高效、安全和跨平台的特点，越来越受到开发者和黑客的青睐。该恶意软件能够收集系统信息、清理痕迹、下载和执行其他恶意模块，以窃取用户的敏感数据，并将其上传到一个公共的文件分享网站。该活动已经影响了印度的多个政府机构，包括军事、外交和教育部门。

源：

https://thehackernews.com/2023/12/operation-rusticweb-rust-based-malware.html

7、NKAbuse：一种利用NKN协议进行数据交换和后门操作的新型多平台恶意软件

事件描述：

NKN（新型网络）是一种基于P2P和区块链技术的网络协议，旨在实现去中心化和隐私保护。NKN网络目前拥有超过6万个官方节点，提供了多种路由算法，以优化数据传输，选择最最短的节点轨迹到达目标。

然而，这种看似先进的技术也被一些恶意软件利用，以执行大规模的洪水攻击，并在Linux系统中作为后门进行操作。研究人员在一次事件响应时发现了这种新型多平台台威威胁，命名为“NKAbuse”。

NKAbuse是一种基于Go语言编写的恶意软件，具有强大的侵入、持久化和后门能力。它可以通过上传一个个植入程序到受害主机来入侵系统，并通过一个cron任务来建立持久性。它还可以安装自己到主机的家目录中，并提供了一系列功能，包括洪水攻击、远程管理（RAT）等。

NKAbuse最初针对Linux桌面系统进行攻击，但由于其能够感染MISP和ARM系统，也对物联网设备构成了了威威胁。研究人员推测NKAbuse最初的目标是金金融公司，因为研究人员收集到了与Struts2漏洞（CVE-2017-5638 – Apache Struts2）相关的证据。这个漏洞影响了Apache Struts2框架，并被历史上已知的攻击者利用过。

NKAbuse是一个典型的利用新兴通信协议进行攻击和控制服务器（C2）或机器主人（bot master）的例子。这种威胁（ab）滥用了NKN公共区块链协议来执行大量洪水攻击，并在Linux系统中作为后门运行。

源：

https://securelist.com/unveiling-nkabuse/111512/

8、三种新型跨平台威胁：FakeSG、Akira和AMOS

事件描述：

犯罪软件（crimeware）是指用于非法目的的恶意软件，通常包括勒索软件、间谍软件、钓钓鱼网站等。犯罪软件分布在不同的平台上，针对不同的目标，利用各种手段进行攻击和控制。研究人员在最近几个月内发现了一些新型跨平台威胁，并在其最新的的犯罪软件报告中分享了这些发现。

FakeSG是一种利用伪装成系统更新通知来传播NetSupport RAT（Remote Access Trojan）恶意软件的分发活动。NetSupport RAT是一种可以让攻击者远程控制受害主机并执行各种操作的恶意软件，例如拷贝文件、录制屏幕、发送邮件等。FakeSG通过在合法网站上显示一个通知，要求用户更新浏览器，并下载一个包含混淆代码的JS文件。该文件会加载另一个远程程脚本，并设置一个cookie。然后，它会显示一个更新浏览器并自动下载另一个批处理理脚本的提示。这次批处理理脚本会下载另一个批处理理脚本、7z文件和7z可执行文件。第二个批处理理脚本负责持久性，通过创建一个名为“VCC_runner2”的计划任务来实现，从而将恶意软件复制到目标位置。

Akira是一种相对较新的勒索软件变体，首次被检测到在2023年4月，并使用C++编写，可以在Windows和Linux环境中运行。尽管该恶意软件相对较新，但攻击者们已经成功感染了超过60个国家和地区的组织。Akira选择了各行各业中较大规模的组织作为目标，例如零售、消费品、教育等。与其他勒索软件类似，Akira会删除阴影副本（使用PowerShell和WMI组合）、加密逻辑驱动器，并跳过某些文件类型和目录，还有一个泄露站点位于TOR上。

AMOS是一种针对macOS系统进行窃取数据和信息的恶意软件。它可以通过多种方式感染macOS设备，例如通过社交媒体链接、邮件附件或漏洞利用等。AMOS会安装自己到主机上，并隐藏自己以免被检测到。它还会定期向攻击者发送主机信息，并提供一些额外功能，例如键盘记录器、屏幕截图工具、键盘映射工具等。

源：

https://securelist.com/crimeware-report-fakesg-akira-amos/111483/

9、BlueNoroff：攻击macOS用户的新木马

事件描述：

研究人员发现了一种来自BlueNoroff组织的新的macOS恶意软件。早期的 RustBucket 版本通过伪装成 PDF 查看器的应用程序传播其恶意负载。相比之下，这个新品种是在ZIP档案中发现的，该档案包含一个名为“加密资产及其金融稳定风险”的PDF文件，缩略图显示了相应的标题页。ZIP 存档中保存的元数据表明该应用程序创建于 2023 年 10 月 21 日。

下图为目录结构。

下图为缩略图。

档案的确切传播方式尚不清楚。网络犯罪分子可能已经通过电子邮件将其发送给目标，就像他们过去的活动一样。该应用在被发现时具有有效的签名，但该证书已被吊销。

该可执行文件用 Swift 编写，名为“EdoneViewer”，是一个通用格式文件，包含 Intel 和 Apple Silicon 芯片的版本。XOR 加密有效负载的解密由 main 函数 CalculateExtameGCD 处理。在解密过程运行时，该应用程序会向终端发送不相关的消息，以试图消除分析师的警惕性。C&C 服务器托管在 hxxp://on-global[.]xyz，一个最近注册的域名，于 2023年10月 20 日。我们无法找到该域名与任何其他文件或威胁之间的任何链接。

该文件收集以下系统信息并将其发送到C&C。