4月20日，星期四，您好！中科汇能与您分享信息安全快讯：

一种名为“Goldoson”的新型 Android 恶意软件已通过 60 个合计拥有 1 亿次下载量的合法应用程序渗透到 Google Play。

恶意软件组件是开发人员在不知不觉中添加到其应用程序中的所有 60 个应用程序使用的第三方库的一部分。

据发现 Goldoson的 McAfee 研究团队称，该恶意软件可以收集有关已安装应用程序、WiFi 和蓝牙连接设备以及用户 GPS 位置的数据。

此外，它可以在未经用户同意的情况下通过在后台点击广告来进行广告欺诈。

卡巴斯基的新发现显示，一项新的 QBot 恶意软件活动正在利用被劫持的商业信函诱骗毫无戒心的受害者安装恶意软件。

最新活动于2023年4月4日开始，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。

QBot（又名 Qakbot 或 Pinkslipbot）是一种银行木马，已知至少从 2007 年开始活跃。除了从 Web 浏览器窃取密码和 cookie 外，它还兼作后门以注入下一阶段的有效负载，例如 Cobalt Strike 或勒索软件。

攻击者通过伪装成 Microsoft Office 365 或 Microsoft Azure 警报的封闭 PDF 文件，诱骗受害者点击文件。

打开文档会导致从受感染网站检索存档文件，而该网站又包含经过混淆处理的 Windows 脚本文件 (.WSF)。该脚本本身包含一个 PowerShell 脚本，可从远程服务器下载恶意 DLL。下载的 DLL 正是 QBot 恶意软件。

近日，美国支付巨头 NCR确认其位于夏威夷阿罗哈的一个数据中心遭到勒索软件攻击，NCR 的 Aloha 销售点平台出现中断。

“4 月13 日，我们确认中断是勒索软件事件的结果，在发现这一发展后，我们立即开始联系客户，聘请第三方网络安全专家并展开调查。执法部门也已收到通知。”

在公开声明中，该公司声称，受攻击影响的餐厅仍可以为客户提供服务，只有“特定功能”受损，对支付应用程序或本地系统没有影响。

然而，正如最近的DISH和Western Digital攻击事件一样，此类网络攻击造成的中断往往需要相当长的时间才能解决。

Group-IB 的一项新分析显示，被称为 MuddyWater 的伊朗威胁行为者在 2022 年 6 月使用了 SimpleHelp 远程支持软件攻击目标系统。

MuddyWater ：至少从 2017 年开始活跃，据悉为伊朗情报与安全部 (MOIS) 的下属组织。一些主要目标包括土耳其、巴基斯坦、阿联酋、伊拉克、以色列、沙特阿拉伯、约旦、美国、阿塞拜疆和阿富汗。

今年 1 月初，斯洛伐克网络安全公司 ESET 证实了 Group-IB 的调查结果，详细分析了MuddyWater使用SimpleHelp来部署其Ligolo 反向隧道工具和名为 MKL64 的凭证收集器，用于向埃及和沙特阿拉伯发动网络攻击。

尹仔，云南省鲁甸县人，初中毕业后出去打工，平日对计算机技术非常感兴趣，经常“翻墙”浏览境外网站自学软件编程。几年积攒，打工没赚到钱的尹仔在家中当起了黑客。

利用黑客技术入侵企业等机构话务系统，通过添加控制权限，就能配置生成可拨打的电话线路。解释一下，诈骗犯使用这些电话路线，显示在被害人手机上的就是正规公司甚至是知名企业备案过的电话号码，不仅不易被标记为诈骗电话，使用时间更长，也更容易获取被害人的信任。

尹侵入了136家单位话务系统，陈发展下线制售电话线路，据报道至少有605人因此受骗，涉案金额高达6658万元。现在他们应该在牢里一边回忆暴富的曾经一边踩缝纫机了。

据称，上周被 Citizen Lab 和微软研究人员曝光的以色列监控公司 QuaDream宣布停止运营。

“据消息人士透露，该公司几个月来一直处于困境，而此前的公开曝光是压缩骆驼的最后一根稻草。该公司董事会正试图出售公司的知识产权。”

上周公民实验室的研究人员报告称，以色列监视公司QuaDream利用iOS 14 零点击漏洞ENDOFDAYS部署间谍软件和漏洞，用于攻击位于北美、中亚、东南亚、欧洲和中东的记者、政治反对派人士和一名非政府组织工作人员。

美国大型电信和IT基础设施巨头CommScope证实，在近期遭到勒索软件攻击，该攻击导致员工数据和公司文件被泄露。

目前，Vice Society勒索团伙声称已经在该组织的暗网上公布了在此次攻击中被盗的大量CommScope员工数据。

该公司发言人表示，"我们正在与我们的第三方专家合作，验证这些说法，并作为首要任务了解被泄露信息的严重性。我们正在以最快的速度对任何受影响的数据进行彻底审查"。

CommScope还表示，被盗数据包括员工证件信息、公司发票、文件和银行文件，并没有任何客户信息在攻击中被泄露，业务运营也没有中断。

近日，网络安全公司 Cyble 发现一种名为 Chameleon（“变色龙”）的新安卓恶意软件冒充澳大利亚政府机构 CoinSpot 加密货币交易所和 IKO 银行，通过受损网站、Discord 附件和 Bitbucket 托管服务进行分发，对澳大利亚和波兰的用户展开网络攻击。

Cyble 的安全研究人员表示 Chameleon 主要通过叠加注入和密钥记录、cookie 和受感染设备的短信窃取用户凭据。

该恶意软件有很强的逃避安全检查能力，一旦启动后会立即执行各种“检查”，以逃避安全软件的检测。

该公司表示，德国汽车和武器制造商莱茵金属公司近期遭受了网络攻击。

这次袭击袭击了莱茵金属公司为工业客户提供服务的业务部门，特别是在汽车行业。该公司的国防部门生产军用车辆，武器和弹药 仍然不受影响，并继续可靠地运作。

虽然目前还不清楚谁是这次袭击的幕后黑手，但俄罗斯黑客组织Killnet上个月在其Telegram频道上发布了一条消息，敦促其追随者对莱茵金属公司发起分布式拒绝服务攻击。莱茵金属证实，他们观察到网络上的流量更大，但表示这并没有影响公司的IT基础设施。

总部位于新加坡的加密货币交易平台Bitrue表示，从自己的一个数字钱包中被盗了2300万美元。

“请注意，受影响的热钱包仅包含不到Bitrue总资金的5%。我们其余的钱包继续保持安全，没有受到损害。我们正在进行彻底的安全审查，并将在我们取得进展时向您更新，“该公司在一份声明中表示。

该平台已暂停所有提款，同时进行更多安全检查，并计划在近日重新向客户开放。

该公司表示，任何资金被盗的用户都将获得全额赔偿。区块链安全公司PeckShield一直在跟踪这些资金，并表示攻击者已经将部分资金转换为以太坊。