BUF早餐铺 | 联想指纹管理Pro软件中存在硬编码密码漏洞；Tor-to-Web 代理会替换勒索软件的比特币赎金地址

今天的早餐铺包括：联想指纹管理Pro软件中存在硬编码密码漏洞；勒索软件GandCrab通过Exploit Kit分发，添加GDCB拓展；Tor-to-Web 代理会替换勒索软件的比特币赎金地址；Lizard squad 与 Marai 僵尸网络有关……

【系统安全】 联想指纹管理Pro软件中存在硬编码密码漏洞

近期联想在其指纹管理软件Pro软件中修复了一个严重级别的安全补丁，用户存储的敏感数据可能泄漏。Fingerprint Manager Pro是一款适用于Microsoft Windows 7,8和8.1操作系统的应用程序，允许用户使用他们的指纹登录到支持指纹输入的联想PC。

而该软件还可以添加存储网站身份凭证、通过指纹验证等附加功能。因此，除了指纹数据之外，软件还存储用户的敏感信息，如他们的Windows登录凭证等数据。

但由于漏洞的存在，这些数据都只是通过弱密码算法进行加密而可能被黑客利用，所有用户都可以通过本地非管理访问的权限访问该软件。

[来源：thehackernews]

【Web安全】 勒索软件GandCrab通过Exploit Kit分发，添加GDCB拓展

一款名为GandCrab的勒索软件目前通过 exploit kit进行分发。GandCrab具备其他勒索软件没有的有趣特性：这是第一款接受DASH加密货币，也是第一款接受 .BIT tld的勒索软件。

安全研究员 David Montenegro 首次分析了这款软件，并在twitter上发布了研究结果。但目前还无法解密被此勒索软件加密后的文件。

[来源：bleepingcomputer]

Tor-to-Web 代理会替换勒索软件的比特币赎金地址

目前有至少一款 Tor 代理服务商被发现会将用户支付赎金的比特币地址替换成自己地址，将用户用于解密的资金转移到运营商的钱包中。

所谓的“Tor代理服务”可以允许用户访问托管在Tor网络上的.onion域名，而无需安装Tor浏览器。用户可以在任何Tor URL末尾附加一个域名扩展名，如.top，.cab，.to，并在Firefox，Chrome，Vivaldi，Edge等常规浏览器中访问。

在过去的两年里，这种服务逐渐变得流行，也特别受勒索软件作者的欢迎。

[来源：bleepingcomputer]

Lizard squad 与 Marai 僵尸网络有关

ZingBox发布的报告显示 Lizard Squad 与前一阵子爆发的Mirai僵尸网络有关。Lizard Squad 黑客组织，在过去就有过一些“辉煌”的DDoS攻击事件，比如索尼PlayStation和Xbox Live网络的中断事件。 

而在过去几年中，多名选择使用Lizard Squad提供的LizardStresser DDoS服务的个人被警方逮捕。虽然这个黑客组织已经运行了好几年，但Mirai只在一年半左右的时间里活跃。

而Mirai恶意软件的源代码在攻击发生的几周后就开源了，也出现了许多变种。ZingBox 研究员表示他们发现了一些证据证实它们的猜测。

[来源：securityweek]

【终端安全】 两大ATM供应商发出警告：近期需小心jackpotting攻击

世界最大的两家ATM制造商发布了安全警告：他们在美国首次发现了针对ATM 的 jackpotting 攻击。近期网络分子可能在集中利用ATM搜集资金。