银行木马再次入侵谷歌应用商店、英伟达员工凭证在网络攻击中被盗

安全资讯报告

卡巴斯基表示，银行恶意软件攻击“变得越来越企业化”

2021年，金融威胁形势发生了积极变化，受恶意软件影响的用户总数显着减少，其中PC恶意软件下降了35%。尽管如此，作为网络犯罪分子最有利可图的目标，金融组织仍然面临着巨大的威胁。

根据卡巴斯基最新的2021年金融网络威胁报告，攻击正变得越来越以企业为中心，而不是以消费者为中心。2021年，每三分之一(37.8%)的PC银行恶意软件攻击针对企业用户，自2018年以来增长了近14%。

2020年至2021年期间，企业用户在银行恶意软件攻击中的份额增加了近2%，并在2018年至2021年期间大幅增加了13.7个百分点。

Zbot在金融网络犯罪分子中使用恶意软件排名第一，但SpyEye从第八大最常见的银行恶意软件（2020年的3.4%份额）飙升至2021年的第二大常见恶意软件（12.2%）。

被欧洲刑警组织描述为“世界上最危险的恶意软件”的Emotet(9.3%)在2020年至2021年期间下降了5个百分点。

新闻来源：
https://www.itnewsafrica.com/...

NVIDIA确认员工凭证在网络攻击中被盗

NVIDIA本周承认，员工凭证在2月23日的一次网络攻击中被盗，并确认攻击者已开始在线泄露信息。

英伟达发言人告诉SecurityWeek，此次入侵发生在2月23日，并影响了某些“IT资源”。

“在发现事件后不久，我们进一步强化了我们的网络，聘请了网络安全事件响应专家，并通知了执法部门。”NVIDIA发言人补充道。

虽然对该事件的调查仍在继续，但NVIDIA表示尚未发现勒索软件已部署在其网络上的证据。

新闻来源：
https://www.securityweek.com/...

内容过滤设备被滥用于65倍放大DDoS攻击

研究人员发现了DDoS攻击的一个令人震惊的新趋势，该攻击针对数据包检查和内容过滤设备，可达到6,533%的巨大放大水平。有了这样的放大级别，威胁参与者可以用有限的带宽/设备发起灾难性攻击。

Akamai发现了一种在野外使用的新DDoS攻击方法，称为“TCP Middlebox Reflection”，该方法于2021年8月由美国大学研究人员团队首次研究。

middlebox不仅处理数据包头，还处理数据包的内容，因此它们被用于深度数据包检测(DPI)系统。使用特制的TCP数据包序列来滥用middlebox中易受攻击的防火墙和内容过滤策略执行系统，从而导致设备发出大量响应。

Akamai分析师观察到一个具有33字节有效负载的实际SYN数据包触发2,156字节响应，实现了65倍的放大系数。

“研究作者指出，全球有数十万个middlebox系统容易受到这种TCP反射滥用的影响。在他们的测试中，他们发现放大率超过了流行且经常被滥用的UDP反射向量，”Akamai的报告解释道。每次反射都会增加一个新的放大步骤，因此响应大小会很快失控，这些攻击的效力甚至可以超过成熟的UDP向量。

Akamai建议采用以下缓解方法：将所有长度大于0字节的SYN洪水视为可疑；引入SYN挑战以破坏握手并在到达应用程序和服务器之前丢弃恶意数据流；结合使用反欺骗和状态外缓解模块；添加防火墙ACL（规则）以丢弃长度大于100的；添加SYN数据包。

新闻来源：
https://www.bleepingcomputer....

TeaBot恶意软件重新进入Google Play商店

TeaBot银行木马再次在Google Play商店中被发现，它伪装成二维码应用程序并传播到10,000多台设备上。

研究人员发现TeaBot伪装成一款名为“QR码和条形码-扫描仪”的应用程序，该应用程序显示为合法的QR码扫描实用程序。

安装后，应用程序会通过弹出消息请求更新，但与Play商店指南规定的标准程序相反，更新是从外部来源获取。Cleafy将下载源追溯到属于同一用户(feleanicusor)的两个GitHub存储库，其中包含多个TeaBot样本，于2022年2月17日上传。

一旦受害者接受从不受信任的来源安装更新，TeaBot就会作为名为“QRCodeScanner:Add-On”的新应用程序加载到他们的设备上。新应用程序会自动启动并请求用户授予使用无障碍服务的权限，

TeaBot添加了英语、俄语、斯洛伐克语和中文等版本，这表明该恶意软件正在瞄准全球受害者群体。

与2021年初的样本相比，该恶意软件现在具有更强的字符串混淆功能，并且针对银行、保险、加密钱包和加密交换应用程序的目标数量增加了500%（从60到400个）。

新闻来源：
https://www.bleepingcomputer....

安全漏洞威胁

严重的漏洞影响了印刷电路板文件查看器

思科Talos部门的安全研究人员披露了六个影响Gerbv的严重漏洞，Gerbv是本地Linux应用程序，可在许多常见的UNIX平台上找到，也有Windows版本可用。Gerbv已从SourceForge下载超过100万次。

该软件专为查看显示电路板层的文件格式而设计，包括Excellon钻孔文件、RS-274XGerber文件和pick-n-place文件，可用作独立应用程序或库。

“一些PCB制造商在其Web界面中使用Gerbv等软件作为将Gerber（或其他受支持的）文件转换为图像的工具。用户可以将gerber文件上传到制造商网站，这些文件将转换为要在浏览器中显示的图像，以便用户可以验证上传的内容是否符合他们的期望。”Talos解释说。

这使得攻击者可以在没有用户交互或提升权限的情况下通过网络访问软件。研究人员解释说，已识别的漏洞会影响Gerbv在打开Gerber文件时使用的功能。

新披露的四个漏洞（跟踪为CVE-2021-40391、CVE-2021-40393、CVE-2021-40394和CVE-2021-40401）的CVSS得分为10。所有四个漏洞都可以通过上传专门的制作文件到Gerbv。

另外两个严重的漏洞——被跟踪为CVE-2021-40400和CVE-2021-40402——可以被利用来泄露数据。两者都可以通过提供特制的Gerber文件来利用。

Cisco的Talos研究人员还发现了一个中等严重性的信息泄露漏洞(CVE-2021-40403)，该漏洞会影响Gerbv的取放轮换解析功能。研究人员说，使用特制文件，攻击者可以泄露内存内容。