国内外简报industry briefing

国内外信息安全简报2018年第四十七周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.黑客侵入硅谷多名高管手机 从加密货币账户窃走100万美元

据外媒报道,美国旧金山居民罗伯特·罗斯(Robert Ross)是两个孩子的父亲,他注意到自己的手机在10月26日突然失去了信号。罗斯对此感到十分困惑,于是去了附近的苹果店维修,后来又联系了他的服务提供商AT&T。但他依然没能迅速阻止一名黑客从他在Coinbase和Gemini两个不同加密货币账户中各窃走50万美元现金。美国检方本月向加州法院提交的一项重罪诉状称,21岁的尼古拉斯·特鲁利亚(Nicholas Truglia)从罗斯的两个加密货币账户中提取了100万美元现金。检方表示,特鲁利亚还侵入了多名硅谷高管的手机,但未能从他们的账户中窃走现金。(详情链接

2.Adobe Flash Player发布更新解决远程代码执行漏洞

11月13日,Adobe发布了Flash Player的安全更新,以及旗下其他产品的更新。Adobe发布另一更新的原因是,网上已公布了该漏洞的技术信息,攻击者可利用这些信息创建有效的漏洞。据公告称,该漏洞CVE ID为CVE-2018-15981,是一种可用于执行远程代码的类型混乱安全漏洞。也就是说,攻击者可创建恶意SWF文件,并将其托管在网站上,易受攻击的访问者浏览该网站时便会受其感染。借此,攻击者可在访问者电脑上执行任何命令,如下载与安装恶意软件。(详情链接

3.新型Linux 加密挖矿木马窃取您的root密码并禁用您的AV

据报道,新型Linux挖矿木马功能复杂,能在自动尝试获取root权限、创建守护进程、下载DDOS模块、创建自启动项、关闭AV、进行挖矿,还能窃取root密码,通过ssh感染其他相关机器。(详情链接

4.疑似30万玖融网用户数据被挂暗网 仅售1个比特币

日前,一本财经记者发现,在暗网中有黑客称盗取了汽车金融平台玖融网的后台权限,可以入侵所有的服务器。黑客称,他已获得该平台上30万的用户数据,并以一个比特币(现价值人民币3.5万元)的价格出售。 而该数据包,详细到可怕的程度。里面共有65个数据维度:除了身份证、银行卡、住址和电话等基本信息外,甚至还有工作单位、月薪、车型号和担保人手机号码。更可怕的是,如果后台权限被获取,就等于整个后台在裸奔……。(详情链接

5.在Atlantis Word Processor中发现3个新的代码执行漏洞

据报道,思科安全研究员发现Atlantis Word Processor三个代码执行漏洞,请尽快升级最新版本,避免成为钓鱼攻击受害者。这就是为什么在打开陌生的电子邮件附件之前应该经常三思而后行,特别是word和pdf文件。思科Talos的网络安全研究人员再次发现了Atlantis字处理器中的多个关键安全漏洞,这些漏洞允许远程攻击者执行任意代码并控制受影响的计算机。作为Microsoft Word的替代品,Atlantis字处理器是一种快速加载的文字处理器应用程序,允许用户轻松地创建,阅读和编​​辑word文档。它还可用于将TXT,RTF,ODT,DOC,WRI或DOCX文档转换为ePub。(详情链接

6.连接的手表允许黑客跟踪,监视儿童

据报道,Misafes智能手表存在很大的安全隐患,黑客能通过设计缺陷对佩戴的儿童进行跟踪、监视,且没有办法对该产品安全进行缓解,现产品已从eBay和亚马逊下架。具有跟踪功能的手表多年来越来越受欢迎,这是父母密切关注孩子的一种简单方法。但是,在一个受欢迎的Misafes手表中新发现的一个洞可以为居心叵测的人提供这些跟踪功能,这最终可能会威胁到戴着手表的孩子们的身体安全。(详情链接

7.亚马逊用户电子邮箱地址在黑色星期五前夕外泄

若你收到来自亚马逊的陌生电子邮件,称亚马逊因技术错误泄露了你的邮箱地址,你应知遭遇此情况的并非你一人。似乎是一个网站问题泄露了部分用户电子邮箱地址,但该问题已得到解决。(详情链接

8.假冒谷歌安卓驾驶应用程序受害者人数达50万

逾50万谷歌安卓用户下载了一系列无任何合法功能的驾驶应用程序。非法应用程序包括豪华汽车和摩托车越野赛模拟器。据ESET安全研究员卢卡斯·斯特凡科(Lukas Stefanko)称,这些应用程序由名为路易斯·奥平托(Luiz O Pinto)的开发员发布,且安装量已超过56万。这些应用程序不会在下载后显示任何合法功能。相反,这些应用程序会将自己及其快捷方式图标隐藏起来,并要求用户一并下载、安装其他APK格式的文件。 一旦用户同意请求,应用程序将无需批准便可在移动设备解锁的情况下显示广告。之前还有用户报告,这些应用程序会严重拖慢设备运行速度。(详情链接

9.重庆警方打掉一DDoS团伙:自学黑客技术 攻击境外博彩网站日进万元

周三上午,巴南警方通报了一起网络犯罪案件——巴南区28岁小伙徐某,因在网络赌博时赢了一万多元无法提款,怒而自学DDOS黑客技术,并组建黑客团伙,从去年开始专门黑赌博网站、游戏私服的服务器赚钱。据侦办此案的巴南区公安分局网络安全支队马警官透露:一年半以来徐某“生意兴隆”日进万金,现在徐某及其团伙因涉嫌非法控制计算机信息系统罪被捕。据马警官介绍,他们在调查了徐某的银行卡、支付宝和微信支付记录后,发现徐某在短短一年半的时间内就非法获利100多万,可谓“生意兴隆”日进万金。不过,大部分的非法所得已经被徐某及其团伙成员挥霍一空。(详情链接

10.中消协调查:85.2%受访者曾遭遇APP个人信息泄露

中国消费者协会开展的“APP个人信息泄露情况”问卷调查显示,在回收的5458份有效问卷中,85.2%的受访者表示遭遇过APP个人信息泄露情况,没有遇到过个人信息泄露情况的占比仅为14.8%。遭遇信息泄露的近九成受访者表示曾接到过推销电话或短信骚扰,约75%的受访者接到过诈骗电话,约63.4%的受访者收到过垃圾邮件。(详情链接