【慢雾首席信息安全官：WinRAR存在安全漏洞，且WinRAR漏洞检测工具也是恶意钓鱼程序】

【慢雾首席信息安全官：WinRAR存在安全漏洞，且WinRAR漏洞检测工具也是恶意钓鱼程序】2023年08月22日02点35分老不正经报道，据慢雾首席信息安全官23pds发推称，WinRAR爆远程代码执行漏洞(CVE-2023-40477)，WinRAR压缩软件是一款解压缩软件，电脑装机所需的软件之一，攻击者引诱目标访问恶意页面或简单地打开恶意文件就可以利用此漏洞执行代码，一旦用户执行可能让黑客控制你的电脑。加密货币用户注意升级，同时注意现在出现所谓'WinRAR漏洞检测工具'也是恶意钓鱼程序，注意资金风险。

Android 15增加OTP验证码保护功能 防止恶意软件窃取2FA验证码

Android15增加OTP验证码保护功能防止恶意软件窃取2FA验证码OTP或者叫TOTP生成的六位数字通常作为2FA验证，在开启2FA验证的情况下，即便用户的账号密码已经泄露，黑客也无法登录账号。但如果黑客进行针对性的攻击呢？例如在已经窃取用户账号密码的情况下，再通过某些方式入侵了用户的Android设备，那么就可以窃取OTP验证码。所以谷歌在开发的其实就是一个专门的API，开发者可以通过这个API声明某些通知信息是敏感的，那么这则通知内容就禁止第三方无关应用读取，避免泄露敏感数据。目前开发者发现这个API有两种功能，第一个是在锁屏状态下通知里不会显示具体的OTP验证码信息；第二是不受信任的应用程序无法读取带有OTP验证码的通知。在Android14中谷歌在开发该功能但没有启用，因此谷歌大概率是准备在Android15中启用此功能，从而提高一些场景下的安全性。...PC版：https://www.cnbeta.com.tw/articles/soft/1419415.htm手机版：https://m.cnbeta.com.tw/view/1419415.htm

慢雾：警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

【慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】

【慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】2024年04月28日02点46分老不正经报道，慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

【苹果App Store上出现假冒Trezor的恶意应用程序Trezor Wallet Suite】

【苹果AppStore上出现假冒Trezor的恶意应用程序TrezorWalletSuite】6月20日消息，苹果AppStore上出现一款假冒Trezor的恶意应用程序TrezorWalletSuite，该应用已经上架了几周，可能已经窃取了数千人的资金。该恶意程序最初由TheCryptoLawyers的管理合伙人RafaelYakobi发现。Trezor的实际iOS应用程序被称为“TrezorSuiteLite”，使用户能够跟踪他们的投资组合并交易资产。如果用户忘记了钱包应用的登录细节，钱包供应商会要求他们离线存储种子短语。种子短语是最后一道防线，用户只能用它从钱包应用程序中收回资金。Trezor为用户提供了Shamir备份，以帮助他们生成多个种子短语，这些种子短语可以存储在不同的物理位置。下载应用程序后，用户可以选择一定数量的短语来解锁资金。例如，他们可以生成三个种子短语，但只需要两个就可以解锁他们的资金。而使用假冒的TrezorWalletSuite泄露种子短语的用户可能创建了一个种子短语。生成多个种子短语需要用户创建新的钱包。多个种子短语可以确保即使假冒应用获取了一个短语，它也无法访问用户资金。截至发稿时，这款假冒应用已成为英国区AppStore搜索量第二高的应用。快讯/广告联系@xingkong888885