导 读
一种名为“GoldPickaxe”的新 iOS 和 Android 木马采用社会工程技术针对东南亚国家受害者,诱骗受害者扫描他们的面部和身份证件,这些文件被认为用于生成深度伪造以进行未经授权的银行访问。
Group-IB 发现的这种新恶意软件是黑客组织“GoldFactory”开发的恶意软件套件的一部分,该组织负责“GoldDigger”、“GoldDiggerPlus”和“GoldKefu”等系列恶意软件的运营。
Group-IB 表示,其分析师观察到攻击主要针对亚太地区,主要是泰国和越南。然而,所采用的技术可能在全球范围内有效,并且存在被其他恶意软件采用的危险。
从社会工程攻击开始
“GoldPickaxe”的分发于 2023 年 10 月开始,目前仍在进行中。它被认为是 GoldFactory 活动的一部分,该活动于 2023 年 6 月与 Gold Digger 一起开始。
活动时间线
攻击者通过 LINE 应用程序上的网络钓鱼或短信邮件来接触受害者,这些邮件是用当地语言编写的,冒充政府机构或服务机构。
这些消息试图诱骗他们安装欺诈性应用程序,例如在冒充 Google Play 的网站上托管的虚假“数字养老金”应用程序。
恶意应用程序托管在虚假的 Google Play 网站上,来源:Group-IB
对于 iOS (iPhone) 用户,攻击者最初将目标定向到 TestFlight URL 来安装恶意应用程序,从而使他们能够绕过正常的安全审查流程。
当苹果删除 TestFlight 应用程序时,攻击者转而引诱目标下载恶意移动设备管理 (MDM) 配置文件,该配置文件允许攻击者控制设备。
iOS感染链,来源:Group-IB
“Gold Pickaxe”的主要恶意行为
一旦该木马以虚假应用程序的形式安装到移动设备上,它就会半自主地运行,在后台操纵功能,捕获受害者的人脸数据,拦截传入的短信,请求身份证件,并通过代理网络流量使用“MicroSocks”的受感染设备。
在 iOS 设备上,恶意软件会建立一个 Web 套接字通道来接收以下命令:
Heartbeat(心跳):ping 命令和控制(C2)服务器
init:发送设备信息到C2
上传身份信息upload_idcard:要求受害者拍摄身份证照片
上传人脸数据:要求受害者拍摄脸部视频
upgrade:显示虚假的“设备正在使用”消息以防止中断
上传album(相册):同步照片库日期(渗出到云存储桶)
again_upload:重试将受害者的面部视频上传
destroy:停止木马
执行上述命令的结果通过 HTTP 请求传回 C2。
可能的银行欺诈策略,资料来源:Group-IB
Group-IB表示,由于苹果公司有更高的安全限制,该木马的 Android 版本比 iOS 版本执行更多的恶意活动。
在 Android 上,该木马使用 20 多个不同的虚假应用程序作为掩护。
例如,GoldPickaxe 还可以在 Android 上运行命令来访问短信 SMS、导航文件系统、在屏幕上执行点击、上传受害者相册中的 100 张最新照片、下载并安装其他软件包以及提供虚假通知。
人脸抓拍界面,来源:Group-IB
利用受害者的面部进行银行诈骗是 Group-IB 的假设,这得到了泰国警方的证实,因为许多金融机构去年对超过一定金额的交易增加了生物识别检查。
需要澄清的是,虽然 GoldPickaxe 可以从 iOS 和 Android 手机中窃取显示受害者脸部的图像,并通过社交工程诱骗用户在视频中公开其脸部,但该恶意软件不会劫持 Face ID 数据或利用这两款手机上的任何操作系统漏洞。
存储在设备安全区域上的生物识别数据仍然经过适当加密,并与正在运行的应用程序完全隔离。
完整技术报告:https://www.group-ib.com/blog/goldfactory-ios-trojan/
参考链接:https://www.bleepingcomputer.com/news/security/new-gold-pickaxe-android-ios-malware-steals-your-face-for-fraud/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯 Turla 黑客利用新的 TinyTurla-NG 后门瞄准波兰非政府组织
https://thehackernews.com/2024/02/russian-turla-hackers-target-polish.html
FBI 捣毁由俄罗斯网络间谍控制的 Ubiquiti 路由器僵尸网络
https://www.securityweek.com/fbi-dismantles-ubiquiti-router-botnet-controlled-by-russian-cyberspies/
微软警告 Exchange Server 0day漏洞被利用
https://www.securityweek.com/microsoft-warns-of-exploited-exchange-server-zero-day/
一般威胁事件
General Threat Incidents
专家警告说,针对医院的网络攻击可能会增加
https://www.securityweek.com/cyberattacks-on-hospitals-are-likely-to-increase-putting-lives-at-risk-experts-warn/
新的 Qbot 恶意软件变种使用伪造的 Adobe 安装程序弹出窗口规避检测
https://www.bleepingcomputer.com/news/security/new-qbot-malware-variant-uses-fake-adobe-installer-popup-for-evasion/
网络攻击中断了德国电池制造商 Varta 电池工厂的生产
https://www.securityweek.com/cyberattack-disrupts-production-in-varta-battery-factories/
Ivanti Pulse Secure 被发现使用 11 年前的 Linux 版本和过时的库
https://thehackernews.com/2024/02/ivanti-pulse-secure-found-using-11-year.html
DDoS 黑客行为带着地缘政治报复卷土重来
https://www.securityweek.com/ddos-hacktivism-is-back-with-a-geopolitical-vengeance/
Ubuntu“command-not-found”工具可能会诱骗用户安装恶意软件包
https://thehackernews.com/2024/02/ubuntu-command-not-found-tool-could.html
Phobos 勒索软件感染罗马尼亚医疗信息系统,随后漫延至全国医疗机构
https://www.darkreading.com/application-security/ransomware-epidemic-romanian-hospitals-tied-healthcare-app
大黄蜂(Bumblebee)恶意软件在中断 4 个月后重新出现
https://www.proofpoint.com/us/blog/threat-insight/bumblebee-buzzes-back-black
RansomHouse 团伙利用新的 MrAgent 工具自动执行 VMware ESXi 攻击
https://www.bleepingcomputer.com/news/security/ransomhouse-gang-automates-vmware-esxi-attacks-with-new-mragent-tool/
“Gold Pickaxe”Android、iOS 恶意软件针对东南亚受害者,窃取人脸数据威胁银行资金安全
https://www.bleepingcomputer.com/news/security/new-gold-pickaxe-android-ios-malware-steals-your-face-for-fraud/
漏洞事件
Vulnerability Incidents
微软 2024 年 2 月补丁日修复73 个漏洞,其中包括2个0day
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2024-patch-tuesday-fixes-2-zero-days-73-flaws/
Check Point Research 揭示了 Microsoft Outlook 中的#MonikerLink 严重漏洞,CVSS 严重性评分为 9.8
https://blog.checkpoint.com/research/check-point-research-unveils-critical-monikerlink-vulnerability-in-microsoft-outlook-with-a-9-8-cvss-severity-score/
新的严重 Microsoft Outlook RCE 漏洞很容易利用
https://www.bleepingcomputer.com/news/security/new-critical-microsoft-outlook-rce-bug-is-trivial-to-exploit/
新的 Wi-Fi 身份验证绕过漏洞暴露家庭、企业网络
https://www.securityweek.com/new-wi-fi-authentication-bypass-flaws-expose-home-enterprise-networks/
ESET 修补高严重性权限升级漏洞CVE-2024-0353(CVSS 评分为 7.8)
https://www.securityweek.com/eset-patches-high-severity-privilege-escalation-vulnerability/
Zoom 修补 Windows 应用程序中的关键漏洞
https://www.securityweek.com/zoom-patches-critical-vulnerability-in-windows-applications/
CISA 在目录中添加了两个已知的被利用漏洞
https://www.cisa.gov/news-events/alerts/2024/02/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
QNAP 修复了 QTS/QuTS 中的 unauth OS 命令注入漏洞CVE-2023-47218
https://sekurak.pl/qnap-naprawia-unauth-os-command-injection-w-qts-quts-cve-2023-47218-zobacz-szczegoly-podatnosci/
讲述普通人能听懂的安全故事
