来自尼泊尔的安全研究人员近日在Meta的Facebook、Instagram等应用的登录系统中发现新的漏洞，任何人都可以绕过Facebook的双因素身份验证。研究员GtmMänôz向TechCrunch表示：“任何人都可以利用这个漏洞，只要在知道对方电话号码的情况下，就能绕过基于SMS的双因素认证”。Mänôz表示这个漏洞存在于Meta集团的统一登录系统中，用户在输入用于登录其帐户的双因素代码时，Meta没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件，那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码，那么攻击者就可以展开后续的攻击行为。据

3月15日消息，3月14日，中央网信办发布“浏览器类”App个人信息收集情况测试报告，对“浏览器类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“浏览器类”App，包括华为浏览器、小米浏览器、UC浏览器等9款。本次测试，以完成一次互联网信息浏览活动作为测试单元，包括启动App、搜索信息、访问信息3种用户使用场景，以及后台静默应用场景。针对系统权限调用，9款App在4种场景下调用了位置、设备信息、剪切板、应用列表、相册5类系统权限，未发现调用麦克风、通讯录等其他权限。在启动App场景中，调用系统权限种类最多的为悟空浏览器（5类），调用系统

3月15日消息，谷歌安全团队ThreatAnalysisGroup在最新发布的博文中表示，在微软的SmartScreen中发现安全漏洞，允许攻击者分发Magniber勒索软件。微软在今天的3月补丁星期二活动日中，已经为 Win10 和 Win11 系统发布了累积更新，修复了上述漏洞。关于该漏洞，IT之家翻译谷歌博文内容如下：攻击者使用无效但特制的Authenticode签名，签署并分发了MSI文件。这个格式错误的签名会导致SmartScreen返回错误，在访问包含网络标记（MotW）的不信任文件之后，该错误可以导致绕过向用户显示的安全警告对话框，这表明已从Internet下载了潜在的恶意文件。

Emotet恶意软件在沉寂了三个月后，从本周二上午开始再次发送恶意电子邮件，并感染世界各地的设备。Emotet是一种臭名昭著的恶意软件，通过含有病毒的Word和Excel的电子邮件传播。当用户打开这些文档并启用时，EmotetDLL将被下载并加载到内存中。一旦Emotet被加载，该恶意软件将潜伏等待来自远程命令和控制服务器的指示。最终，该恶意软件将窃取受害者的电子邮件和联系人，用于后续的Emotet活动或下载额外的有效载荷，例如CobaltStrike或其他的恶意软件。虽然Emotet在过去被认为是分布最广的恶意软件，但它已经逐渐放缓，其最后一次恶意邮件活动还是在2022年11月，而且垃圾邮件

因为微软默认禁用了互联网下载文件的宏代码，攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件（如ISO和VHD）。近期，研究人员发现攻击者在利用VHD文件分发ChromeLoader。从文件名来看，攻击者将恶意软件伪装到任天堂和Steam游戏的破解版中。如下所示，一些游戏是付费游戏。分发的文件名利用文件名在Google上进行检索，可以发现多个分发恶意软件的网站。其中都部署了大量的破解版游戏与破解版付费应用程序，从任何一个来源下载非法程序都会中招。搜索引擎结果例如点击恶意网站的广告，下载一个普通的程序文件：恶意网站广告用户很容易将VHD文件误认为是游戏相关的程序，VHD中的文件如下所示。除了I

自从2022年12月来，研究人员观察到一个身份不明的攻击者通过MortalKombat勒索软件和LaplasClipper恶意软件来窃取加密货币。攻击链攻击从钓鱼邮件开始，多阶段逐步投递勒索软件或者恶意软件。电子邮件附件ZIP文件中包含BAT脚本，下载另一个压缩文件就会释放LaplasClipper恶意软件的Go变种或是MortalKombat勒索软件。攻击链恶意邮件攻击者在钓鱼邮件中冒充合法的全球加密货币支付提供商CoinPayments，邮件主题为 CoinPayments.netPaymentTimedOut且发件人为 noreply[at]CoinPayments.net。恶意ZIP文

 2月24日消息，JamfThreatLabs 报告称在macOS平台发现了一种新的加密劫持恶意软件，通过盗版的FinalCutPro进行分发。该团队例行监控期间，收到了有关于XMRig的警报。XMRig是一种用于挖掘加密货币的命令行工具，其功能并不具备恶意性质，只是由于该工具的可定制、开源的特性，攻击者喜欢用它来发起攻击。该团队在盗版视频编辑软件FinalCutPro中发现了恶意版本的XMRig，一旦用户运行FinalCutPro，就会伪装为“mdworker_local”进程后台运行XMRig，劫持设备资源用于挖矿。XMRig使用InvisibleInternetProject（i2p）进

TheHackerNews网站披露，名为MyloBot的僵尸网络正在席卷全球，已经成功破坏数以千计的网络系统。据悉，受害目标大部分位于印度、美国、印度尼西亚和伊朗。MyloBot僵尸网络早已纵横网络江湖多年2017年，MyloBot僵尸网络出现在网络世界，2018年首次被DeepInstinct记录在案，经过几年的发展，已经具备很强的反分析技术和下载功能。BitSight公司曾表示，目前MyloBot每天感染超过5万台设备。2018年11月，Lumen黑莲花实验室指出，Mylobot僵尸网络之所以危险，是因为其能够在感染主机后下载和执行任何类型的有效载荷，此举意味着它可以随时下载攻击者想要的任

AveMaria是一种最早在2018年12月出现的窃密木马，攻击者越来越喜欢使用其进行攻击，运营方也一直在持续更新和升级。在过去六个月中，研究人员观察到AveMaria的传播手段发生了许多变化。2022年12月攻击行动研究人员发现了名为 .Vhd(x)的攻击行动，攻击者使用了虚拟硬盘文件格式进行载荷投递。针对哈萨克斯坦官员的攻击攻击链攻击者冒充俄罗斯政府的名义发送会议通知的钓鱼邮件，带有 .vhdx附件文件。恶意邮件执行附件文件后，会创建一个新的驱动器。其中包含恶意LNK文件、诱饵文件与其他相关文件，点击快捷方式后会通过curl命令下载其他恶意软件。最终，Payload执行会使用AveMari

3月18日消息，微软于今年3月面向WindowsDefender发布了KB5007651更新，会强制用户进行安装。不过部分用户报告称在安装该更新之后，WindowsSecurity显示“LocalSecurityauthorityprotectionisoff.Yourdevicemaybevulnerable”（本地安全机构保护已经关闭。你的设备可能会遭受攻击）。IT之家小课堂：LSA包含本地安全机构服务器服务(LSASS)进程，可以验证用户的本地和远程登录，并强制本地安全策略。Windows8.1操作系统和更高版本为LSA提供其他保护，以防止未受保护的进程读取内存及注入代码。此功能为LSA