Cleafy安全研究人员发现名为"超级卡X"(SuperCard X)的新型恶意软件即服务(MaaS),该恶意软件通过NFC(近场通信)中继攻击针对安卓设备实施资金窃取。
攻击者通过Telegram频道推广该MaaS服务。分析显示,"超级卡X"的构建版本已移除Telegram链接,可能是为了隐藏关联关系并阻碍追踪,这表明攻击者正试图规避检测。针对意大利的"超级卡X"活动分析显示,该恶意软件存在针对特定地区定制的版本。
该攻击活动采用NFC中继技术,通过转发拦截的银行卡数据来劫持POS机和ATM交易。恶意软件通过社会工程学手段传播,攻击者诱骗受害者在受感染手机上刷卡。研究人员将该活动与中文MaaS平台"超级卡X"相关联,并发现该恶意软件与NGate恶意软件存在代码相似性。欺诈活动始于通过短信或WhatsApp发送虚假银行警报,诱使受害者联系攻击者。通话过程构成电话导向攻击交付(TOAD)场景,攻击者通过社会工程手段:安装后,当受害者在设备上刷卡时,恶意软件会捕获NFC卡数据并中继到攻击者设备,从而实施欺诈性POS机或ATM交易。Cleafy报告指出:"攻击者利用受害者对欺诈交易的焦虑心理,诱骗其'重置'或'验证'银行卡。由于受害者常无法立即记起PIN码,攻击者会指导其通过手机银行应用获取该敏感信息。在取得信任并可能获得银行应用访问权限(通过语音指导)后,攻击者会指示受害者在银行应用中修改卡片设置,解除借记卡/信用卡的消费限额——这一关键步骤可最大化欺诈取款金额。随后,攻击者说服受害者安装看似无害的应用程序(通过短信或WhatsApp发送的链接,通常伪装成安全工具或验证程序),该应用实际隐藏了具有NFC中继功能的'超级卡X'恶意软件。"1. 读取器(蓝色图标):部署在受害者设备上捕获NFC卡数据2. 刷卡器(绿色图标):运行在攻击者设备上转发并滥用被盗数据
两个模块通过HTTP协议共享C2服务器进行连接。攻击者通过登录凭证进行身份验证,将受害者的"读取器"与攻击者的"刷卡器"绑定,实现NFC数据实时中继。恶意软件还利用存储的ATR(Answer To Reset)消息实现卡片模拟,使POS终端和ATM机误认为中继的卡片是真实的。1. 最小化权限模型(仅请求android.permission.NFC等必要权限)3. 移除Telegram链接和"注册"按钮(攻击者预先为受害者创建账户)报告总结指出:"该威胁的突出特点不在于恶意软件本身的复杂性,而在于其依赖NFC技术的创新欺诈机制。这种攻击方式使攻击者能够即时获取被盗资金,且可能绕过通常涉及银行转账的传统欺诈渠道。另一个值得注意的特点是该恶意软件极低的特征指纹。"微软近日发布了"安全未来计划"(Secure Future Initiative,SFI)的第二份进展报告,这项被称为公司史上最大规模网络安全工程的计划由微软安全执行副总裁查理·贝尔(Charlie Bell)领导,已累计投入相当于3.4万名工程师全职工作11个月的工作量,旨在强化微软自身、客户及整个行业的安全防护。
为应对关键网络安全风险而启动的SFI计划,着重在微软全体员工中培育安全优先的文化。目前每位员工都将"安全核心优先事项"纳入绩效考核,99%的员工已完成《安全基础与可信代码》必修培训。超过5万名员工参加了微软安全学院(Microsoft Security Academy)的网络安全技能提升课程。
"这种转变的核心是赋能,"贝尔强调,"我们的目标是让所有员工都具备保护客户的能力。"
微软工程团队基于"设计安全、默认安全、运营安全"(Secure by Design, Default, and in Operations)原则推出多项创新成果。其中,经过20个产品团队测试、部署给2.2万名员工并对外公开的"安全设计用户体验工具包"(Secure by Design UX Toolkit)尤为突出,该工具包将安全最佳实践嵌入产品开发全流程,帮助团队识别漏洞并确定修复优先级。在Azure、Microsoft 365、Windows和微软安全产品中,团队新增了11项安全功能以增强默认防护能力。人工智能开发方面,微软通过新成立的"生成式人工智能安全与保障组织"(Artificial Generative Intelligence Safety and Security Organization)实施专项安全审查。《负责任AI透明度报告》中详述的安全运营实践,现已成为所有AI系统的标准配置。通过新政策和检测模型,这些措施还成功拦截了价值40亿美元的欺诈企图。报告特别展示了在身份、网络和系统防护方面的重要进展。继2023年Storm-0558攻击事件后,微软已将Entra ID和微软账户(MSA)的令牌签名密钥迁移至基于硬件的安全模块(HSM)和Azure机密虚拟机,并实施自动轮换及新的纵深防御措施。目前微软应用程序90%以上的身份令牌使用强化版身份软件开发工具包,92%的员工账户采用防钓鱼多因素认证。通过将88%的资源迁移至Azure资源管理器、清理630万个闲置租户,以及限制440万个托管身份只能在特定网络位置进行认证,微软有效降低了横向移动风险。网络安全方面,99%的资产已完成清点,并新增网络安全边界(Network Security Perimeter)和DNS安全扩展等防护功能。微软的威胁检测与响应能力显著提升,针对主流攻击战术、技术和程序(TTP)新增200余项检测规则,这些规则将集成至Microsoft Defender。公司现已对97%的生产基础设施资产实施集中追踪,并执行安全日志两年留存政策。通过"零日探索"(Zero Day Quest)计划,微软主动发现云和AI系统中的180个漏洞,并将缓解方案扩展至更多产品和环境。
为加强企业级风险管理,微软新设业务应用副首席信息安全官(Deputy CISO)职位,并整合Microsoft 365等部门的安监职能。14位副CISO已完成风险清单梳理,形成统一的安全优先级视图。这一治理框架确保安全理念贯穿组织各个层级。在SFI计划的28项目标中,已有5项接近完成,11项取得重大进展。该计划显著提升了微软平台的安全性、威胁检测能力和客户保护水平。"我们的平台和服务比以往任何时候都更安全,"贝尔表示,"这既造福微软,也惠及我们的客户。"微软还积极与安全研究社区合作,共享"安全设计用户体验工具包"等工具以提升行业标准。完整版SFI进展报告现已发布,详细阐述了各项成果及微软对网络安全的持续承诺。声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:FreeBuf
还没有评论,来说两句吧...