Aggregator

Aircraft systems are getting more connected and ground operations increasingly integrated, and attackers are taking notice. They’re shifting from minor disruptions to targeting critical systems with serious intent. Any time an aircraft transmits data, whether it’s flight position updates or maintenance alerts, it is vulnerable to interception by third parties. In several recent cases, cyber incidents have grounded flights, exposed sensitive data, and led to significant financial losses. The main threat actors behind these attacks … More →

The post Cyber turbulence ahead as airlines strap in for a security crisis appeared first on Help Net Security.

Nearly one in 12 employees are using Chinese-developed generative AI tools at work, and they’re exposing sensitive data in the process. That’s according to new research from Harmonic Security, which analyzed the behavior of roughly 14,000 end users in the U.S. and U.K. over a 30-day period. The report found that 7.95% of users accessed at least one Chinese GenAI application during that time. Of the 1,059 users who interacted with these tools, Harmonic identified … More →

The post Are your employees using Chinese GenAI tools at work? appeared first on Help Net Security.

一种新的Konfety安卓恶意软件变种出现，带有畸形的ZIP结构和其他混淆方法，使其能够逃避分析和检测。

据悉，Konfety自称是一款合法的应用程序，模仿谷歌Play上的无害产品，但没有任何承诺的功能。恶意软件的功能包括将用户重定向到恶意网站，推送不需要的应用程序安装，以及虚假的浏览器通知。

相反，它使用CaramelAds SDK获取并呈现隐藏的广告，并泄露安装的应用程序、网络配置和系统信息等信息。

由Konfety触发的不良广告和重定向

虽然Konfety不是间谍软件或RAT工具，但它在APK中包含一个加密的二级DEX文件，该文件在运行时被解密和加载，包含在AndroidManifest文件中声明的隐藏服务。这为动态安装额外的模块敞开了大门，从而允许在当前感染中提供更危险的功能。

逃避策略

移动安全平台Zimperium的研究人员发现并分析了最新的Konfety变种，报告称该恶意软件使用几种方法来混淆其真实性质和活动。

Konfety通过复制谷歌Play上可用的合法应用程序的名称和品牌，并通过第三方商店分发，从而诱骗受害者安装它——Human的研究人员将这种策略称为“诱饵双胞胎”。

恶意软件的运营商正在第三方应用商店中推广它。

这些市场通常是用户寻找“免费”的高级应用版本的地方，因为他们想避免被Google跟踪，或者他们的安卓设备不再受支持，或者他们无法使用Google服务。

动态代码加载（恶意逻辑隐藏在运行时加载的加密DEX文件中）是Konfety采用的另一种有效的混淆和逃避机制。

Konfety中另一个不常见的反分析策略是以一种混淆或破坏静态分析和逆向工程工具的方式操纵APK文件。

首先，APK将通用位标志设置为“0位”，表示文件已加密，即使它没有加密。当试图检查文件时，这会触发错误的密码提示，阻止或延迟对APK内容的访问。

其次，APK中的关键文件是使用BZIP压缩（0x000C）声明的，而APKTool和JADX等分析工具不支持这种压缩，从而导致解析失败。

分析工具在试图解析恶意APK时崩溃

同时，Android忽略声明的方法，退回到默认处理以保持稳定性，允许恶意应用在设备上毫无问题地安装和运行。安装后，Konfety会隐藏其应用程序图标和名称，并使用地理围栏根据受害者所在地区改变行为。

在过去的Android恶意软件中也观察到基于压缩的混淆，正如卡巴斯基在2024年4月关于SoumniBot恶意软件的报告中所强调的那样。在这种情况下，SoumniBot在AndroidManifest.xml中声明了一个无效的压缩方法，声明了一个虚假的文件大小和数据覆盖，并用非常大的命名空间字符串混淆了分析工具。

通常建议人们避免安装第三方Android应用商店的APK文件，只信任你知道的发行商的软件。

A critical memory corruption vulnerability in the popular file archiver 7-Zip has been discovered that allows attackers to trigger denial of service conditions by crafting malicious RAR5 archive files. The vulnerability, tracked as CVE-2025-53816 and designated GHSL-2025-058, affects all versions of 7-Zip prior to version 25.00. Security researcher Jaroslav Lobačevski discovered the vulnerability from GitHub […]

The post New 7-Zip Vulnerability Enables Malicious RAR5 File to Crash Your System appeared first on Cyber Security News.

A team of analysts at Kaspersky Lab has uncovered an exceptionally sophisticated piece of malware embedded within the Exchange infrastructure of governmental institutions. Based on forensic logs and the nature of the executable code,...

The post GhostContainer: Kaspersky Uncovers Elite APT Backdoor Infiltrating Asian Government Exchange Servers appeared first on Penetration Testing Tools.