据观察，未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具，主要针对加拿大、印度、波兰和美国目标。 Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份报告中表示：“MerkSpy 旨在秘密监视用户活动，获取敏感信息并在受感染系统上建立持久性。” 攻击链的起点是一个 Microsoft Word 文档，其中表面上包含软件工程师职位的描述。 诱饵文档 但打开该文件会触发CVE-2021-40444漏洞利用，这是 MSHTML 中的一个高严重性漏洞，可能导致远程代码执行而无需任何用户交互。微软已在 2021 年 9 月发布的补丁更新中解决了该问题。 在这种情况下，它为从远程服务器下载 HTML 文件（“olerender.html”）铺平了道路，然后在检查操作系统版本后启动嵌入式 shellcode 的执行。 林解释说，“Olerender.html”利用“VirtualProtect”修改内存权限，从而允许将解码后的 shellcode 安全地写入内存”。 “随后，‘CreateThread’ 执行注入的 shellcode，为从攻击者的服务器下载和执行下一个负载做好准备。此过程确保恶意代码无缝运行，从而促进进一步的利用。” 该 shellcode 充当一个文件下载器，该文件的标题看似是“GoogleUpdate”，但实际上却包含一个注入器负载，负责逃避安全软件的检测并将 MerkSpy 加载到内存中。 攻击链 该间谍软件通过更改 Windows 注册表在主机上建立持久性，以便在系统启动时自动启动。它还具有秘密捕获敏感信息、监视用户活动以及将数据泄露到黑客控制的外部服务器的功能。 其中包括屏幕截图、按键、存储在 Google Chrome 中的登录凭据以及来自 MetaMask 浏览器扩展程序的数据。所有这些信息都传输到 URL“45.89.53[.]46/google/update[.]php”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-JhoU2lIZtocBR9Fg0z4cw 封面来源于网络，如有侵权请联系删除

波兰政府正在调查俄罗斯与该国国家通讯社波兰新闻社（PAP）网络攻击之间的关联。 “波兰新闻社 (PAP) 遭受了网络攻击；目前，有关这一重大事件的所有相关信息正在提供给相关部门。”波兰新闻社清算人马雷克·布隆斯基 (Marek Blonski) 和波兰新闻社主编沃伊切赫·图米达尔斯基 (Wojciech Tumidalski)在一份联合声明中写道。“我们正在努力加强我们所有系统和服务的安全性。”布隆斯基和图米达尔斯基补充道。 针对波兰新闻社（PAP）的袭击发生于五月，目的是传播虚假信息并破坏该国稳定。 当局认为，波兰国家通讯社发布的虚假新闻报道很可能是由俄罗斯黑客所为，该报道声称波兰总理唐纳德·图斯克将从 7 月 1 日起动员 20 万人，此次攻击似乎是企图干涉即将举行的欧洲议会选举。 “一切都表明，我们正面临俄罗斯方面的网络攻击。”负责数字事务的副总理克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 表示。“其目的是在（欧洲议会）选举前散布虚假信息，并造成社会瘫痪。” 周五下午，波兰人民行动党 (PAP) 发布了两篇关于 2024 年 7 月 1 日开始波兰部分动员的虚假报道。人民行动党澄清说，他们不是这些报道的来源，并迅速宣布作废并撤回了这些报道。 波兰当局怀疑此次袭击是俄罗斯所为。 人民行动党首席执行官马雷克·布隆斯基谴责此次袭击。 布隆斯基表示：“我们致力于与相关国家部门合作澄清这一问题。” 包括波兰广播电台在内的波兰媒体报道称，波兰公司频繁遭到俄罗斯黑客攻击，每周遭受超过 1,400 次攻击。 俄罗斯驻华沙大使馆对路透社表示，对此事并不知情，并拒绝进一步置评。 5 月份，CERT Polska 和 CSIRT MON 团队发出警告，称针对波兰政府机构的大规模恶意软件活动据称是由与俄罗斯有关的 APT28 组织策划的。 将这些攻击归咎于俄罗斯 APT 是基于其与 APT28 在攻击乌克兰实体时所采用的 TTP 有相似之处。 “CERT Polska（CSIRT NASK）和 CSIRT MON 团队观察到针对波兰政府机构的大规模恶意软件活动。” 警报写道。“根据技术指标和与过去描述的攻击 （例如针对乌克兰实体的攻击）的相似性，该活动可能与 APT28 活动集有关，该活动与俄罗斯联邦武装部队总参谋部（GRU）有关。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/E_UkK7c7SLkXSFjw52BSZw 封面来源于网络，如有侵权请联系删除

BleepingComputer 网站消息，近日，Xbox Live 服务因重大故障而瘫痪，全球用户受到影响，无法登录 Xbox 账户和玩游戏。 根据大量用户报告，该在线游戏平台已瘫痪至少三个小时，用户无法玩需要登录 Xbox 账户的云游戏和离线游戏。Xbox 支持团队表示，他们知道有些用户的 Xbox Live 已经断开，正在进行调查。 截至文章发布，Xbox 状态页面仍然显示中断，账户和配置文件服务受到影响。 这次中断影响了不同平台的用户，包括云游戏、Xbox One 游戏机、Windows 上的 Xbox、安卓设备、苹果设备和网络服务等。 在第一批用户报告出现在网上几个小时之后，Xbox 团队承认了这一问题。 Xbox 团队解释说：”您可能无法登录 Xbox 配置文件，登录时可能会断开连接，或出现其他相关问题。大多数游戏、应用程序和社交活动等需要登录的功能将无法使用。” 自中断开始以来，Downdetector 已收到数万份服务问题报告，受影响的玩家称他们无法登录账户玩游戏，并报告了服务器问题。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405076.html 封面来源于网络，如有侵权请联系删除

随着“大菠萝”、Flipperzero等WiFi黑客硬件的流行，在机场、航班、酒店、办公楼等公共场所架设恶意WiFi热点窃取隐私数据的“恶作剧”越来越多，这种行为是否“可刑”？近日，澳大利亚联邦警察（AFP）指控一名澳大利亚男子在珀斯、墨尔本和阿德莱德的多趟国内航班和机场实施“恶意双胞胎”WiFi攻击，窃取他人的电子邮件或社交媒体账号。警方在2024年4月接到航空公司员工的报告后开始调查，并在检查其在机场被扣押的设备后，发现了该男子从事网络间谍活动的证据。 “恶意双胞胎”WiFi攻击 “恶意双胞胎”WiFi网络指恶意或假冒的无线接入点，使用与特定区域合法WiFi网络相同的SSID（WiFi网络名称）。例如，许多航班提供机上WiFi服务，要求乘客首先连接到航空公司的WiFi网络。 网络犯罪分子进行“恶意双胞胎”攻击时，会首先设置一个自己控制的WiFi网络，使用与航空公司WiFi网络相同的名称（信号甚至更强）。试图连接到这些恶意接入点的用户会被引导到一个假登录页面（钓鱼网页），要求他们使用电子邮件地址、密码或其他凭证登录。 澳大利亚警方表示，这名被捕的澳大利亚男子使用便携WiFi设备在多个地点创建免费WiFi接入点，要求用户使用其电子邮件或社交媒体账户登录。该男子收集了这些信息，随后可用于访问更敏感的数据、劫持社交媒体账户、敲诈受害者或将其出售给其他网络犯罪分子。 “AFP网络犯罪调查员已确定与珀斯、墨尔本和阿德莱德机场的欺诈性WiFi页面使用相关的数据，作案地点除澳洲国内航班外，还包括该男子离职前的工作地点。”AFP透露。 最高可判23年 目前，关于该男子利用所窃取信息从事非法活动的调查仍在进行中。该嫌疑人面临的刑事指控包括： 未经授权干扰电子通信，最高可判处10年监禁。 持有意图实施严重犯罪的数据，最高可判处3年监禁。 未经授权访问或修改受限制数据，最高可判处2年监禁。 不诚实地获取或处理个人财务信息，最高可判处5年监禁。 持有意图实施犯罪的身份信息，最高可判处3年监禁。 上述罪名如果全部成立，该嫌疑人面临的最高刑期将长达23年。 公众场所使用WiFi安全需知 在公共场所，恶意或不可信的WiFi接入点是最常见的风险之一，需要使用此类网络的用户应谨慎分享其他登录凭证。专家建议在不可信的WiFi网络上关闭文件共享，并使用VPN加密互联网流量，防止敏感信息被捕获。网络安全研究员Daniel Card认为，网络犯罪分子极少使用“恶意双胞胎”WiFi攻击，大多数人无需为此担心。 “这种攻击完全可能，我们在实验室中以及安全测试/培训中都会进行这种攻击，但在现实世界中很少见到，”Card在接受BleepingComputer采访时表示：“这属于近距离的网络钓鱼。除了在黑客会议上作为演示/玩笑/比赛使用外，我处理过的所有黑客事件中都未曾见过或听说过这种攻击。” 不过，Card提到2018年被起诉的俄罗斯国家黑客组织GRU曾实施“恶意双胞胎”攻击以监控目标的互联网流量。 Card认为，告诉人们不要使用WiFi是不现实的，因为在长途旅行中使用无线网络对员工和学生来说至关重要。他认为，用户名和密码是有缺陷的认证机制，因此需要多因素认证（MFA）和强大的安全标准来保护我们的账户。   转自e安全，原文链接：https://mp.weixin.qq.com/s/SOVxli_IL4-o79v3r4UCRg 封面来源于网络，如有侵权请联系删除

“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。 SentinelOne 安全研究员 Alex Delamotte在一篇报告中表示：“这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势，新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。” 该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。 透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。 “本报告中重点介绍的活动表明，这种技术仍在继续使用，社会工程学借口不断更新，并努力最大限度地提高间谍软件与旧版本 Android 操作系统的兼容性，同时扩大攻击面以包括支持最新 Android 版本。”Delamotte 解释道。 SentinelOne 识别出的新恶意 APK 文件列表如下： 疯狂游戏（com.maeps.crygms.tktols） 性感视频（com.nobra.crygms.tktols） TikTok（com.maeps.vdosa.tktols） 武器（com.maeps.vdosa.tktols） CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL，同时在后台滥用其权限访问位置、短信、联系人和通话记录；拨打电话；截屏；或录制音频和视频。 假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView 该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限，这表明攻击者旨在将其用作监视工具而不是后门。 Delamotte 说：“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少，但表明开发人员专注于使该工具更加可靠和稳定。” “决定使用较新版本的 Android 操作系统是合乎逻辑的，并且可能与该组织持续针对印度政府或军事领域的个人的目标一致，这些人不太可能使用运行旧版本 Android 的设备，例如 8 年前发布的 Lollipop。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IESzCr121X58ch9kQ3oLVw 封面来源于网络，如有侵权请联系删除

Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞，可能被利用来发起软件供应链攻击，使下游客户面临严重风险。 EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin在今天发布的一份报告（https://www.evasec.io/blog/eva-discovered-supply-chain-vulnerabities-in-cocoapods）中表示，这些漏洞允许“任何恶意攻击者声称拥有数千个无人认领的 pod，并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中”。 这家以色列应用安全公司表示，截至 2023 年 10 月，这三个漏洞已被CocoaPods修补。为了应对这些披露，它还重置了当时的所有用户会话。 其中一个漏洞是 CVE-2024-38368（CVSS 评分：9.3），攻击者可以利用该漏洞滥用“ Claim Your Pods ”流程并控制软件包，从而有效地篡改源代码并引入恶意更改。但是，这需要所有先前的维护者都已从项目中移除。 问题的根源可以追溯到 2014 年，当时迁移到Trunk 服务器时留下了数千个所有者不明（或无人认领）的软件包，这允许攻击者使用公共 API 来认领 pod 以及 CocoaPods 源代码中提供的电子邮件地址（“unclaimed-pods@cocoapods.org”）来接管控制权。 第二个漏洞更为严重（CVE-2024-38366，CVSS 评分：10.0），它利用不安全的电子邮件验证工作流程在 Trunk 服务器上运行任意代码，然后可用于操纵或替换软件包。 该服务中还发现了电子邮件地址验证组件中的第二个问题（CVE-2024-38367，CVSS 评分：8.2），该问题可能会诱使收件人点击看似无害的验证链接，而实际上，它会将请求重新路由到攻击者控制的域以获取对开发人员会话令牌的访问权限。 更糟糕的是，通过欺骗 HTTP 标头（即修改X-Forwarded-Host标头字段）并利用配置错误的电子邮件安全工具，这可以升级为零点击帐户接管攻击。 研究人员表示：“我们发现几乎每个 pod 所有者都在 Trunk 服务器上注册了他们的组织电子邮件，这使得他们容易受到我们的零点击接管漏洞的攻击。” 这并不是 CocoaPods 第一次受到关注。2023 年 3 月，Checkmarx透露，与依赖项管理器关联的废弃子域（“cdn2.cocoapods[.]org”）可能已被攻击者通过 GitHub Pages 劫持，目的是托管他们的有效载荷。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JKVTO7h2qdZ8aNLr6m-rSg 封面来源于网络，如有侵权请联系删除

瞻博网络（Juniper）上周发布了一份不定期安全公告，警告 Session Smart 路由器和导体产品存在导致身份验证绕过的严重漏洞。 该公司解释说，该问题被编号为 CVE-2024-2973（CVSS 评分为 10），影响所有在高可用性冗余配置中运行的 Session Smart 路由器和导体。 瞻博网络在其公告中指出：“与冗余对等体一起运行的瞻博网络会话智能路由器或导体中存在利用备用路径或通道绕过身份验证的漏洞，可让网络攻击者绕过身份验证并完全控制设备。” 据该公司称，5.6.15、6.1.9-lts 和 6.2.5-sts 之前的 Session Smart 路由器和连接器版本受到 CVE-2024-2973 的影响。6.1.9-lts 和 6.2.5-sts 之前的 WAN Assurance 路由器版本也容易受到攻击。 SSR-5.6.15、SSR-6.1.9-lts、SSR-6.2.5-sts 及后续版本解决了此漏洞。 Juniper 指出：“建议将所有受影响的系统升级到这些软件版本。在 Conductor 管理的部署中，只需升级 Conductor 节点即可，修复将自动应用于所有连接的路由器。实际上，路由器仍应升级到修复版本；但是，一旦它们连接到升级的 Conductor，它们就不会再受到攻击。” 该公司还解释说，对于连接到 Mist 云的 Mist 管理 WAN Assurance 路由器，该漏洞已在受影响的设备上自动解决。 Juniper 表示：“需要注意的是，修复程序会自动应用到由 Conductor 管理的路由器或 WAN 路由器上，确保不会影响路由器的数据平面功能。修复程序的应用不会对生产流量造成干扰。” 此次更新可能会导致基于 Web 的管理和 API 的停机时间少于 30 秒。 瞻博网络指出，目前尚无针对该漏洞的解决方法，且并未发现有人利用该漏洞进行攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IMLQxKTk3rdrzoUDP-rKJw 封面来源于网络，如有侵权请联系删除

思科修补了 4 月份曝出的 NX-OS 零日漏洞，威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份，安装未知恶意软件。 网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件，威胁攻击者利用安全漏洞进入受害者内部系统后，收集了大量的管理员级的凭据，一边可以随时访问思科 Nexus 交换机，部署了一个此前未出现过的定制化恶意软件。 此后，威胁攻击者利用这一”渠道“，便可以轻松的远程连接到受害者的设备，上传额外文件并执行恶意代码。 接到漏洞通知后，思科方面立刻做出回应，指出具有管理员权限的本地威胁攻击者可以利用安全漏洞（跟踪为 CVE-2024-20399），在易受攻击设备的底层操作系统上以 root 权限执行任意命令。 此外，思科相关负责人还指出，CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的，使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数，从而利用这一安全漏洞。 一旦威胁攻击者成功利用该安全漏洞后，就可以以 root 权限在底层操作系统上执行任意命令。 受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机： MDS 9000 系列多层交换机； Nexus 3000 系列交换机； Nexus 5500 平台交换机； Nexus 5600 平台交换机； Nexus 6000 系列交换机； Nexus 7000 系列交换机； 独立 NX-OS 模式下的 Nexus 9000 系列交换机。 威胁攻击者还可以利用 CVE-2024-20399 安全漏洞，在不触发系统 syslog 消息的情况下执行命令，从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。 因此，思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。 今年 4 月，思科曾警告称，自 2023 年 11 月以来，一个由国家支持的黑客组织（被追踪为 UAT4356 和 STORM-1849）一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞（CVE-2024-20353 和 CVE-2024-20359），针对全球政府网络开展名为 ArcaneDoor 的活动。 当时，斯克公司多次强调，安全研究人员还发现有证据表明，威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后，威胁攻击者利用这些安全漏洞安装了未知的恶意软件，使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。 值得一提的是，思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。 上个月，Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备，在这次攻击活动中，威胁攻击者利用对受害者网络的持续访问，在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/404980.html 封面来源于网络，如有侵权请联系删除

虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。 这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。 具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。 在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。 安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 – ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。 “安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。 Windows 更新中的 0x80070643 事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。 这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。 虚假 IT 网站宣传 PowerShell 修复程序 据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。 eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。” “当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。” 研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。 就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。 YouTube 上宣传的虚假 IT 支持网站 这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。 伪装成 Windows 错误修复程序的恶意 PowerShell 脚本 该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。 混淆的 Windows 注册表文件 但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。 未混淆的 Windows 注册表文件 使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。 虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。 您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。 至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCN4EZMLj7Hhlszvau0xdA 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名澳大利亚男子被澳大利亚联邦警察（AFP）指控涉嫌在珀斯、墨尔本和阿德莱德的各种国内航班和机场，以伪造虚假WIFI的形式窃取他人的电子邮件或社交媒体凭证。 该男子42岁，通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络，当用户尝试连接时会被定向到虚假登录页面或强制门户网页，要求他们使用电子邮件地址、密码或其他凭证登录。 据法新社报道，警方在接到一家航空公司航班上出现可疑WIFI网络的报告后，于2024年4月展开调查，并于当月19日他准备乘飞机返回珀斯机场时将其逮捕，并现场从手提行李中查获了一个便携式无线接入设备、一台笔记本电脑和一部手机。 警方对查获的设备进行了分析，发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息，包括受害者的在线通信、存储的图像和视频以及银行账户信息。 2024年5月，警方正式对这名男子提出了指控，目前对该男子的的违法犯罪活动还在进一步调查中，该男子已于2024年6月28日在珀斯地方法院出庭，并面临多项指控： 未经授权破坏电子通信，最高可判处 10 年监禁； 拥有数据控制权，意图实施严重犯罪，最高可判处 3 年监禁； 未经授权访问或修改受限数据，最高可判处 2 年监禁； 以不正当手段获取或处理个人财务信息，最高可判处 5 年监禁； 持有身份信息意图犯罪，最高可判处 3 年监禁。 法新社西部司令部网络犯罪侦探督察安德里亚·科尔曼（Andrea Coleman）表示，此案是一个及时的警告，要谨慎登录任何公共WIFI网络，避免输入个人敏感信息。 他还建议在公共场合外出时关闭手机或其他电子设备上的WiFi，以防止设备自动连接到不安全的热点。   转自Freebuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除