黑客滥用Genshin Impact反作弊系统，为勒索软件“开绿灯”

黑客正在滥用广受欢迎的 Genshin Impact 反作弊系统驱动程序来禁用防病毒软件，同时进行勒索软件攻击。



趋势科技调查显示，网络犯罪分子利用一个易受攻击的Genshin Impact 视频游戏反作弊驱动程序来禁用防病毒程序部署勒索软件。据悉，驱动程序/模块“mhypro2.sys”不需要目标系统来安装游戏，它可以独立运行，甚至可以嵌入恶意软件中，这也就为黑客提供了一个禁用安全软件的强大“外挂”。



自 2020 年以来，易受攻击的驱动程序就已 为人所知 ，它可以访问任何进程/内核内存，并能够使用最高权限终止进程。研究人员过去曾多次向供应商报告过该问题。但是，代码签名证书尚未被吊销，因此该程序仍然可以安装在 Windows 上而不会引发任何警报。

更糟糕的是，自 2020 年以来，GitHub 上至少有两个概念验证漏洞利用，详细介绍了如何从用户模式读取/写入具有内核模式权限的内核内存、枚举线程和终止进程。

警惕！SharkBot Android银行木马假冒防病毒和清洁应用

臭名昭著的Android 银行木马SharkBot再次冒头，这次其伪装成防病毒和清洁应用程序出现在Google Play 商店。据了解，有问题的应用程序 Mister Phone Cleaner 和 Kylhavy Mobile Security被下载了60000+次，主要针对的是西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。



安全团队分析称，这个新的dropper不依赖 Accessibility 权限来自动执行dropper Sharkbot 恶意软件的安装，该版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以保持免受威胁。

EvilProxy 高级网络钓鱼策略工具，可让黑客绕过身份验证

暗网出现一个名为 EvilProxy 的反向代理网络钓鱼即服务 (PaaS) 平台，推广文案中称承诺窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。目前，尚不清楚该服务如何设置反向代理，让使用者能够绕开验证入侵攻击目标的账户。



反向代理是位于目标受害者和合法身份验证端点之间的服务器，例如公司的登录表单。当受害者连接到网络钓鱼页面时，反向代理会显示合法的登录表单、转发请求并从公司网站返回响应。当受害者将他们的凭据和 MFA 输入到网络钓鱼页面时，它们会被转发到用户登录的实际平台服务器，并返回一个会话 cookie。



但是，由于攻击者的代理位于中间，它也可以窃取包含身份验证令牌的会话 cookie。然后，攻击者就可以使用此身份验证 cookie 以用户身份登录站点，绕过配置的多因素身份验证保护。



面对高发且多变的钓鱼邮件攻击，360数字安全集团建议企业员工提高安全意识，不随意点击来源不明的邮件、文档、链接等，并及时为操作系统、IE、Flash等常用软件打好补丁。此外，360云端安全专家还提供7*24小时安全保障服务，针对存在此风险的用户检查并更新设备防护策略，确保用户设备可以防护此风险。