内存安全周报第144期 | Android恶意软件针对全球金融机构展开恶意攻击活动
一、Android恶意软件针对全球金融机构展开恶意攻击活动 (7.4)
详细情况
一名代号为Neo_Net的黑客利用Android恶意软件对全球金融机构发起网络攻击活动。尽管黑客使用的攻击程序较为简单,但通过为攻击目标定制基础设施,成功盗取35万欧元,并泄露数千名受害者的个人身份信息(PII)。据了解,主要受到攻击的银行包括桑坦德银行、BBVA银行、CaixaBank、德意志银行、法国农业银行和ING银行。
该攻击活动采用短信钓鱼的方式进行多阶段攻击。黑客利用多种恐吓手段诱使不知情的收件人点击虚假登陆页面,并通过Telegram机器人收集并窃取他们的信息。
Neo_Net精心设计了钓鱼页面,采用了多重防御措施,如阻止非移动用户的代理请求,隐藏页面以避免机器人和网络扫描器的探测。这些页面的设计与真正的银行应用程序非常相似,使受害者难以辨别。此外,黑客还以安装安全软件为由,欺骗银行客户安装恶意的Android应用程序。一旦安装成功,这些应用程序会请求SMS权限来捕获银行发送的基于短信的两步验证(2FA)代码。
参考链接
二、新的StackRot Linux内核漏洞可实现权限提升 (7.6)
详细情况
近日,Linux内核中出现了一个严重漏洞,该漏洞被称为StackRot(CVE-2023-3269),可能允许攻击者在目标主机上提升权限,对系统安全构成威胁。
据了解,StackRot漏洞影响Linux版本6.1—6.4的所有内核配置。目前,针对该漏洞的修复补丁已于7月1日发布,并已应用于稳定版本6.1.37、6.3.11和6.4.1。
研究人员指出,StackRot是在内存管理子系统中发现的Linux内核漏洞,与管理虚拟内存区域(VMAs)有关。具体来说,该漏洞存在于Linux 6.1引入的新的“maple tree”数据结构系统中,该系统取代了“red-black trees”,并采用了读—复制—更新(RCU)机制。StackRot漏洞是一种使用后释放(UAF)问题,由于在处理堆栈扩展时,“maple tree”可以在没有获得MM写锁的情况下替换节点。当Linux内核扩展堆栈并消除VMAs之间的间隙时,“maple tree”会创建一个新节点,并在当前读取完成后将旧节点标记为删除,以确保“maple tree”的RCU安全性。然而,在RCU宽限期间,如果进程访问旧节点,可能导致释放后使用问题,为攻击者提供了利用漏洞获得权限提升的机会。
因此,建议Linux用户及时升级到不受该漏洞影响的版本,以确保系统的安全性和稳定性。
参考链接
