Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露，当时他们声称黑客利用 Web 应用漏洞入侵数据库，但并未披露任何细节。本周，Equifax 证实，宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。

漏洞利用特制的 HTTP Headers（HTTP 首部/ HTTP 报文）允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”，影响了无数网站，其中攻击的两个工作版本也在网上公布。目前，许多大型机构，如银行、政府机构和一些世界顶级公司，都在应用程序中使用 Apache Struts。

Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁，而黑客对 Equifax 的入侵发生在 5 月中旬，也就是 Equifax 没有及时打上补丁，让黑客能利用已修复的漏洞入侵系统。研究人员表示，像这样的漏洞会不时发生，非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过，修复该漏洞较为繁琐，涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。

来源：cnbeta、solidot

趋势科技（Trend Micro）研究人员于 9 月 13 日发布安全报告，指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示，该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动，其中 10 家受害组织来自阿联酋地区。

恶意软件 BankBot 于今年 1 月浮出水面，其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外，BankBot 还可劫持与拦截用户 SMS 信息，从而绕过基于短信的双重身份验证。

近期，研究人员再次发现 5 款受感染的新型应用程序，其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示，最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而，一旦安装并运行 BankBot 后，它将自动检查受感染设备上是否存在银行应用安装包。倘若存在，BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后，C&C 服务器还会向受感染应用发送恶意链接，从而下载包含用于覆盖页面的恶意文件库，以便攻击者后续使用。

图1. BankBot 下载覆盖网页

值得注意的是，研究人员发现该款恶意软件在针对阿联酋银行应用程序时，表现略有不同。BankBot 并非直接显示虚假的覆盖页面，而是请求用户输入电话号码等信息。随后，C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面，他们将会被提示输入银行具体信息。即使用户提供的信息正确，也会弹出一个 “ 错误页面 ” ，致使受害者必须再次输入信息进行确认。显然，BankBot 的开发人员想要再次核实受害者银行凭证，以便快速正确登录用户账号、窃取资金。

图2.伪造阿联酋银行应用程序屏幕

目前，BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围，对此，研究人员提醒用户在安装任何应用程序前（即使从 Google Play 商店下载）始终验证应用权限，以防黑客恶意攻击。

附：趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》