火绒安全周报：暴雪游戏出现严重漏洞 1加手机承认用户信息被黑客盗取

1、暴雪游戏出现严重漏洞 可将恶意文件当游戏更新运行

很多游戏玩家都知道，如果要用网络浏览器在线玩暴雪游戏，用户需要在自己电脑系统中安装一个名为“Blizzard Update Agent”的客户端程序，以便执行命令安装、卸载、设置更改、更新和其他维护相关的动作。而近日，谷歌安全研究员发现“Update Agent”存在漏洞，攻击者利用该漏洞针对游戏玩家电脑可实现远程恶意代码执行。也就是说利用这个漏洞，攻击者可以用暴雪更新服务器的身份通过验证并发送恶意文件，“Update Agent”会将恶意文件当做游戏更新来运行。此漏洞影响到数百万安装暴雪游戏“Update Agent”的计算机。

来源：http://www.freebuf.com/news/161206.html

2、一加手机承认被黑客窃取了多达4万名客户信用卡信息

一加（OnePlus）手机承认，2017年11月中旬至2018年1月11日期间，黑客利用其安全漏洞入侵了其网站服务器，并植入了恶意JavaScript代码，窃取了多达4万余用户的信用卡信息。一旦用户在网站上输入信用卡信息，黑客就能直接从客户的浏览器窗口中获取包括卡号、到期日期以及安全代码等信息。一加公司表示，针对此次安全事件的调查仍在进行中。

来源：http://www.4hou.com/info/news/10044.html

3、新型跨平台间谍软件CrossRAT可绕过多款安全软件检测 火绒可查杀

 上周开始电子前哨基金会开始披露经数年追踪的黑暗狞猫，该间谍组织主要针对Android设备发起间谍攻击，但同时亦开发新型跨平台的间谍软件展开攻击，这个名为CrossRAT的间谍软件基于甲骨文的Java应用程序构建，Windows、Linux以及旧版macOS可被感染。

目前绝大多数安全软件无法成功检测这个病毒，在研究人员初次透露时只有微软和趋势科技成功拦截。

虽然黑暗狞猫间谍网络主要攻击目标在中东和欧洲，不过东南亚地区例如中国同样有不少用户已经遭到感染。被感染的主要包括Android移动设备和Windows电脑，更新火绒安全软件到最新版后即可查杀。

人工排查是否被CrossRAT感染：

Windows系统请打开注册表编辑器然后打开下列路径，若发现含有java、-jar和mediamgrs.jar说明被感染。

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Linux发行版请打开/usr/var/文件夹检查是否存在mediamgrs.jar文件，若存在此文件说明系统已经被感染。

macOS系统可检查 ~/Library/ 路径下是否存在mediamgrs.jar文件，若存在此文件说明该系统已经被感染。

来源：https://www.landiannews.com/archives/44664.html

4、戴尔和惠普以及华擎等均紧急撤回英特尔修复补丁

本周英特尔官方已经发布公告提醒所有用户：暂时不要安装近期发布的英特尔处理器高危安全漏洞修复更新。原因在于英特尔联合软硬件制造商们推出安全修复更新后，发现设备出现死机和自动重启的概率远高于预期。同时英特尔发布官方声明称已经找到频繁死机和重启的原因，将在近期重新制作修复代码推送给用户。

目前包括戴尔公司、惠普公司以及主板制造商华擎都已经撤回更新，同时呼吁用户将固件恢复到此前版本。

来源：https://www.landiannews.com/archives/44625.html

5、谷歌 Play Store再现恶意程序 可窃取 Facebook 登录凭证并推送广告

近日，安全研究人员在 Google Play Store 中发现了一种新的恶意软件“GhostTeam”，影响到至少 56 个应用程序。它可以伪装成各种应用，潜伏在用户的手机中，如手电筒、指南针清理器等等。

最终，GhostTeam不仅能够窃取 Facebook 登录凭据， 被盗的 Facebook账户可能会被用于传播更多恶意程序及虚假新闻，还可能暴露金融状况等其他个人身份信息，并在地下市场出售。此外，GhostTeam 还会在后台激活设备，向用户推送弹出式广告。 据研究人员介绍，受 GhostTeam 影响最多的用户分布在印度、印度尼西亚、巴西、越南和菲律宾。

来源：https://thehackernews.com/2018/01/facebook-password-hacking-android.html?m=1