1、Magecart仿造出逼真的在线支付界面

https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art

研究人员在跟进Magecart威胁行为体信用卡窃取器活动时，发现几乎能以假乱真的在线付款WEB界面和表格，威胁行为者使用了受感染商店的原始徽标，并自定义了逼真的Web界面，以劫持结帐页面。此外还发现恶意软件作者不仅精通网页设计，在每个表单字段中使用适当的语言（法语）制作欺诈性付款表格。

2、山寨版Minecraft Android游戏隐藏广告软件

https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/

Minecraft是一款流行的沙盒游戏，每月有1.4亿活跃玩家，许多游戏发行商都试图重新创建它。研究人员发现全球约有3500万Android用户下载了隐藏广告软件的山寨Minecraft游戏，山寨游戏感染了带有Android广告软件“HiddenAds”的设备，会在后台偷偷加载广告，但游戏屏幕上不会显示任何内容，为其运营商创收。目前所有有问题的应用程序都已从应用商店中被删除。

3、ViperSoftX新变种以密码管理器为目标

https://www.bleepingcomputer.com/news/security/vipersoftx-info-stealing-malware-now-targets-password-managers/

研究人员发现ViperSoftX新变种现在针对的加密货币钱包的攻击行动比以前更多，该恶意软件正在检查与两个密码管理器（即1Password和KeePass 2）相关的文件，试图窃取存储在其浏览器扩展中的数据，威胁行为体可能会在攻击的后期阶段以此类恶意活动为目标。

5、Zyxel发布修复防火墙漏洞的安全补丁

https://thehackernews.com/2023/04/zyxel-firewall-devices-vulnerable-to.html

Zyxel发布了针对其防火墙设备中一个严重安全漏洞的补丁，该漏洞被记录为CVE-2023-28771，在 CVSS 评分系统中的评分为 9.8，可被利用在受影响的系统上实现远程代码执行。此外Zyxel还解决了影响选定防火墙版本（ CVE-2023-27991 ，CVSS 分数：8.8）的高严重性身份验证后命令注入漏洞，该漏洞可能允许经过身份验证的攻击者远程执行某些操作系统命令。

6、FDA发出警告Illumina医疗设备易受远程网络攻击

https://www.securityweek.com/fda-cisa-illumina-medical-devices-vulnerable-to-remote-hacking

美国政府部门正在通知医疗保健提供者和实验室人员，一些Illumina医疗设备使用的组件可能受到允许远程黑客攻击的漏洞的影响。该供应商发布了补丁和缓解措施，并发布了公告，告知客户必须采取哪些步骤来防止潜在的利用。目前尚未发现这些漏洞在野利用的证据，但警告黑客可以利用这些漏洞远程控制设备，或者更改设备或用户网络上的配置、设置、软件或数据。

7、APT28利用伪造的Windows更新指南攻击乌克兰政府

https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/

乌克兰CERT称APT28利用伪造的Windows更新指南针对乌克兰政府机构和军事组织发起钓鱼邮件攻击。攻击者为了伪装成目标政府的系统管理员，使用在攻击准备阶段通过未知方式获得的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件不是关于升级Windows系统的合法说明，而是建议收件人运行PowerShell命令。此命令在计算机上下载PowerShell脚本，模拟Windows更新过程，同时在后台下载第二个PowerShell有效负载。第二阶段有效负载是一个基本的信息收集工具，它利用“tasklist”和“systeminfo”命令来收集数据并通过HTTP请求回传。

8、研究人员发现AresLoader正在通过伪装的GitLab存储库传播

https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/

近期，Cyble研究和情报实验室（CRIL）观察到一个名为AresLoader的新加载程序，该加载程序已用于传播多种类型的恶意软件家族。AresLoader是一种用C语言编写的加载程序恶意软件，于2022年首次出现在网络犯罪论坛和电报频道中。此加载程序在恶意软件即服务（MaaS）模型上可用，由负责 AiD Locker勒索软件的同一威胁参与者（TA）开发。该组织的成员还被怀疑与俄罗斯黑客组织有联系。

9、LockBit和Cl0p勒索软件团伙利用PaperCut漏洞进行攻击

https://www.malwarebytes.com/blog/news/2023/04/lockbit-and-cl0p-are-actively-exploiting-papercut-vulnerabilities

研究人员发现LockBit和Cl0p勒索软件团伙正在利用PaperCut漏洞进行攻击。这些漏洞能够攻击PaperCut服务器并干扰其正常工作，制造混乱。安全专家提醒用户及时更新PaperCut软件以获得相关补丁，以免受到攻击。LockBit和Cl0p是目前勒索软件领域中比较活跃的黑客团伙，经常利用漏洞入侵受害者系统部署勒索软件。

10、恶意软件伪装成ChatGPT桌面客户端窃取Chrome登录数据

https://www.helpnetsecurity.com/2023/05/02/chatgpt-infostealer/

研究人员发现一个伪装成ChatGPT Windows桌面客户端的窃密木马，该窃密木马能够从Google Chrome登录数据文件夹中复制保存的凭据。ChatGPT 尚未发布官方桌面客户端，但这个虚假版本看起来与人们的预期非常相似。该窃密木马通过一个zip存档进行分发，其中包含一个名为ChatGPT For Windows Setup 1.0.0.exe的文件。在安装过程中，恶意软件在后台运行，并使用Havelock开始提取Chrome登录数据，Havelock是一种从基于Chromium的网络浏览器中提取和解密帐户、cookie 和历史记录的工具。

免责声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。