安全资讯早知道 | 新的FFDroider木马 专注于窃取社交媒体帐户

1、新的FFDroider木马专注于窃取社交媒体帐户

一个名为FFDroider的新信息窃取者出现了，他窃取浏览器中存储的凭证和cookie，劫持受害者的社交媒体账户。社交媒体账户，尤其是经过验证的账户，是对黑客极具吸引力的目标，因为威胁参与者可以利用它们进行各种恶意活动，包括进行加密货币诈骗和分发恶意软件。当这些账户可以访问社交网站的广告平台时，它们甚至更具吸引力，让威胁参与者可以使用窃取的凭据来运行恶意广告。

Zscaler的研究人员一直在跟踪新的信息窃取者及其传播链路，并根据最近的样本发表了详细的技术分析结果。

与许多其他窃取密码的木马不同，FFDroid的操作员对存储在Web浏览器中的所有帐户凭据不感兴趣。相反，他们专注于窃取社交媒体帐户和电子商务网站的凭据，包括Facebook，Instagram，Amazon，eBay，Etsy，Twitter和WAX Cloud钱包的门户。目标是窃取可用于在这些平台上进行身份验证的有效cookie，并且在此过程中进行恶意软件动态测试。

FFDroider通过软件漏洞、自由软件、游戏和从torrent网站下载的其他文件传播。在安装下载这些软件/文件时，还将安装FFDroider，但其会伪装成Telegram桌面应用程序以逃避检测。一旦启动，该恶意软件将创建一个名为“FFDroider”的Windows注册表项。

2、英国零售连锁店The Works在经历网络攻击后关闭商店

英国零售连锁店The Works宣布，由于未经授权访问其计算机系统的网络安全事件造成的问题，该公司被迫关闭了几家商店。这家折扣零售商在英国和爱尔兰经营530家商店，销售书籍、玩具、文具、艺术和工艺材料，年收入约3亿美元。

该公告并未详细说明事件的性质，但似乎中断了补货交付，延长了在线订单履行时间，并损害了付款的安全性。事件发生以后，该公司已转向选择新的第三方信用卡和借记卡支付处理器，以解决最后的付款安全性问题。该公司关于网络安全事件的通知中提到“客户可以继续安全购物，无论是在实体店还是在网上”，该公司还强调，根据对攻击的初步调查，网络入侵者似乎没有访问客户支付数据。“所有借记卡和信用卡支付数据均在集团系统外通过经认可的第三方网络安全处理，因此，不存在不当访问该支付数据的风险。”

然而，目前还不能排除客户信息泄露的可能性，因此信息专员办公室也已收到有关事件的警报。

3、美国制裁加密币交易所Garantex

美国财政部办公室宣布对加密货币交易所Garantex实施制裁，该交易所与Hydra Market的非法交易有关。与此同时，美国司法部已指认Hydra Market被查封的基础设施运营商，并将其与几年来参与的网络犯罪活动联系起来。Hydra是世界上最大的允许非法麻醉品、被盗数据、网络犯罪工具及服务交易的黑暗市场，昨天被德国警方拆除，警方找到并没收了其服务器。

在这次行动中，查获了543.3枚比特币，按当前价值计算，其价值共计2430万美元，仅占Hydra毒品销售和各种非法服务的巨额年营业额的一小部分。

不久之后，美国司法部发布公告，强调其参与执法行动，并对市场经营者实施制裁。

4、微软将Exchange，SharePoint添加到漏洞赏金计划中

微软宣布，Exchange、SharePoint和Skype for Business on-premises目前是应用程序和本地服务器奖励计划的一部分。随着该漏洞奖励计划的扩大，发现并报告影响本地服务器漏洞的安全研究人员有资格获得500至26000美元不等的奖励。

该公司表示：“微软应用程序和内部部署服务器奖励计划邀请全球各地的研究人员识别特定微软应用程序和内部部署服务器中的漏洞，并与我们的团队分享。”。

“根据漏洞的严重性和影响以及提交的质量，微软可以自行决定是否授予更高的奖励。”微软安全响应中心（Microsoft Security Response Center，MSRC）团队还表示，根据报告的漏洞影响所产生的严重性，安全研究人员可以获得更高的奖励。

5、VMware 对多个产品中的关键漏洞发出警告

VMware已警告客户立即修补多个产品中的关键漏洞，这些漏洞可能会被威胁参与者用来发起远程代码执行攻击。“应根据VMSA-2021-0011中的说明立即修补或缓解此关键漏洞。此漏洞的后果很严重，”VMware周三警告说。“所有环境都不同，对风险的容忍度也不同，并且有不同的安全控制和深度防御来降低风险，因此客户必须自行决定如何处理。但是，考虑到漏洞的严重性，我们强烈建议立即采取行动。”

目前修补的关键安全漏洞包括一个服务器端模板注入远程代码执行漏洞（CVE-2022-22954）、两个OAuth2 ACS身份验证绕过漏洞（CVE-2022-22955、CVE-2022-22956）和两个JDBC注入远程代码执行漏洞（CVE-2022-22957、CVE-2022-22958）。

VMware还修补了可用于跨站点请求伪造（CSRF）攻击（CVE-2022-22959）、升级权限（CVE-2022-22960）和未经授权获取信息（CVE-2022-22961）的高、中严重性漏洞。

本文转载自安全客，点击阅读原文可跳转内容完整链接