HackerNews 编译，转载请注明出处： 玛莎百货（M&S）在5月13日证实，攻击者在今年4月针对该公司发起的勒索软件攻击中窃取了客户数据。该事件发生时，客户报告称电子支付系统出现故障，影响信用卡支付、礼品卡使用及Click and Collect服务。 该公司于4月通过伦敦证券交易所发布声明称：“玛莎百货集团（以下简称公司或M&S）过去数日持续处理网络安全事件。发现事件后，我们立即对门店运营做出临时性调整以保护客户与业务，对造成的不便深表歉意。需强调的是，所有门店正常营业，网站与应用程序运行未受影响。” “公司已聘请外部网络安全专家协助事件调查与处置。”玛莎百货立即向数据保护监管机构及英国国家网络安全中心报告了该事件，但未透露攻击技术细节。 作为总部位于伦敦的英国跨国零售巨头（创立于1884年，主营服装、家居及食品业务），玛莎百货在伦敦证券交易所上市且为富时100指数成分股。该公司在英国及部分国际市场拥有大量实体店与线上服务，是英国家喻户晓的传统优质品牌。 勒索软件组织DragonForce声称对玛莎百货及英国合作社集团（Co-op）实施攻击，并向BBC透露曾试图入侵哈罗德百货（Harrods）。据BleepingComputer报道，DragonForce附属组织使用Scattered Spider社会工程手段攻击玛莎百货，加密了该公司使用的VMware ESXi虚拟机。 本周玛莎百货在官网更新的声明确认数据泄露：“为主动应对事件，我们立即采取系统防护措施并引入顶尖网络安全团队。事件已上报政府部门和执法机构，目前保持密切合作。” “由于攻击性质特殊，部分客户个人数据被窃取，但无证据表明数据被共享。受影响信息可能包括联系方式、出生日期、线上订单记录等，但关键支付信息与账户密码未泄露。”具体而言，失窃数据涵盖： 联系方式（姓名、邮箱、地址、电话号码） 出生日期 线上购物历史 家庭信息 用于在线支付的脱敏支付卡信息（仅显示首尾四位数字） M&S信用卡或Sparks Pay会员的客户参考编号（非实际卡号） 玛莎百货强调：“为明确起见，公司系统不存储完整支付卡信息，因此声明中使用‘脱敏’表述。目前无证据表明数据外泄包含可用支付信息或密码，但客户下次登录时需强制重置密码。” 该公司建议客户：警惕可疑邮件/短信（玛莎绝不会索要账户信息）；为每个账户设置独立高强度密码；保持设备安全补丁更新；可访问英国国家网络安全中心官网获取数据泄露防护指南。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全格局因生成式AI的出现发生根本性转变。攻击者现在利用大语言模型（LLM）大规模伪造可信身份并自动化实施社会工程攻击。 最新威胁情报报告强调AI驱动攻击的复杂化趋势： 语音钓鱼激增：根据CrowdStrike《2025全球威胁报告》，2024年下半年语音钓鱼（vishing）攻击量较上半年激增442%，主因是AI生成的钓鱼语音和身份伪造技术。 社会工程主导攻击：Verizon《2025数据泄露调查报告》指出，钓鱼攻击和虚假借口仍是数据泄露的主要成因。 朝鲜深度伪造行动：朝鲜黑客组织被曝光使用深度伪造技术创建合成身份参与远程职位面试，试图渗透目标组织。 三大趋势推动AI冒充成为新型威胁载体： AI降低欺骗成本：借助开源音视频工具，攻击者仅需数分钟素材即可伪造任意身份。 虚拟协作暴露信任漏洞：Zoom、Teams和Slack等工具默认屏幕后用户的身份真实性，攻击者正利用这一假设。 概率式防御体系失效：现有深度伪造检测工具依赖面部标记分析进行概率判断，无法应对高精度伪造攻击。端点防护工具和用户培训虽有一定作用，但无法实时解答关键问题：正在对话的对象是否可信？ 传统检测技术存在根本缺陷：当前防御体系聚焦于事后检测，例如训练用户识别可疑行为或用AI分析人员真伪。但随着深度伪造技术快速进化，基于概率的工具已无法对抗AI生成的欺骗。 构建可验证的信任体系实现主动防御： 身份验证：仅允许持有加密凭证的授权用户加入敏感会议或聊天，取代传统密码/验证码机制。 设备完整性检查：若用户设备被感染、越狱或不合规，即使身份已验证也应阻止其接入会议，直至风险修复。 可视化信任标识：所有会议参与者需看到他人身份与设备安全的可验证证明，从而消除终端用户的判断负担。 Beyond Identity的RealityCheck方案专为填补协作工具信任缺口设计，通过以下功能实现实时防护： 身份核验：为每位参与者生成基于加密设备认证的可视化身份徽章。 动态风险检测：实时验证设备合规性，包括非托管设备。 跨平台支持：目前兼容Zoom和Microsoft Teams（视频与聊天功能）。 该方案通过构建无法被伪造的信任条件，在董事会会议、金融交易等高危场景中彻底阻断AI深度伪造攻击的渗透路径。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在Python软件包索引（PyPI）仓库中发现一个恶意组件，该组件伪装成与Solana区块链相关的应用程序，实则包含窃取源代码和开发者敏感信息的功能。 这款名为solana-token的软件包目前已被下架，但在删除前已被下载761次。该组件最初于2024年4月初上传至PyPI，但其版本编号方案与常规标准完全不同。 ReversingLabs研究员Karlo Zanki在分享给《黑客新闻》的报告中指出：“安装该恶意包后，它会试图将开发者机器上的源代码和敏感凭证外泄至硬编码的IP地址。” 具体而言，该软件包会以名为“register_node()”的区块链功能为掩护，复制并外泄Python执行栈中所有文件包含的源代码。这种异常行为表明，攻击者试图窃取可能在程序编写初期硬编码的加密相关敏感信息。 研究人员认为，该软件包的攻击目标可能是试图创建私有区块链的开发者，这一判断基于软件包名称及其内置功能。尽管当前尚不清楚攻击者如何分发该恶意包，但推测其可能通过开发者技术论坛进行推广。 此次发现再次印证加密货币仍是供应链攻击者的主要目标，开发者需严格审查每个软件包后再使用。Zanki强调：“开发团队需对开源和商业第三方软件模块中的可疑活动或异常变更保持高度警惕。通过在恶意代码侵入安全开发环境前将其拦截，可有效防范破坏性供应链攻击。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织Konni APT被指与针对乌克兰政府机构的钓鱼活动有关，这表明该组织的攻击目标已扩展到俄罗斯以外的地区。企业安全公司Proofpoint表示，此次活动的最终目标是收集有关“俄罗斯入侵轨迹”的情报。 安全研究人员Greg Lesnewich、Saher Naumaan和Mark Kelly在分享给《黑客新闻》的报告中表示：“该组织对乌克兰的关注延续了其历史上针对俄罗斯政府机构进行战略情报收集的模式。” Konni APT（又称Opal Sleet、Osmium、TA406和Vedalia）是一个长期针对韩国、美国和俄罗斯实体的网络间谍组织，其活动至少可追溯至2014年。该组织通常通过钓鱼邮件分发Konni RAT（又名UpDog）恶意软件，并将收件人重定向至凭证窃取页面。Proofpoint在2021年11月发布的分析报告中评估称，TA406是被公开追踪为Kimsuky、Thallium和Konni集团活动的多个关联组织之一。 网络安全公司记录的最新攻击使用伪装成虚构智库“皇家战略研究院”高级研究员的钓鱼邮件，该智库本身也是不存在的机构。邮件包含托管在MEGA云服务的密码保护RAR压缩包链接。使用邮件正文中提供的密码打开压缩包后，会启动旨在对受感染设备进行广泛侦察的感染链。 具体而言，RAR压缩包内的CHM文件会显示与乌克兰前军事领导人瓦列里·扎卢日内相关的诱饵内容。如果受害者点击页面任意位置，嵌入HTML的PowerShell命令就会连接外部服务器下载第二阶段PowerShell载荷。 新启动的PowerShell脚本可执行多种命令收集系统信息，使用Base64编码后发送至同一服务器。研究人员指出：“当目标未点击链接时，攻击者连续多日发送多封钓鱼邮件，询问目标是否收到先前邮件并催促下载文件。” Proofpoint还观察到钓鱼邮件直接附加HTML文件的情况。在此攻击变种中，受害者被诱导点击HTML文件内的链接，下载包含良性PDF和Windows快捷方式（LNK）文件的ZIP压缩包。执行LNK文件时会运行Base64编码的PowerShell，通过Visual Basic脚本投放名为“Themes.jse”的JavaScript编码文件。该恶意软件随后联系攻击者控制的URL，并通过PowerShell执行服务器响应。当前有效载荷的具体性质尚不明确。 此外，TA406被曝通过ProtonMail账户向乌克兰政府机构发送伪造的微软安全警报邮件，警告存在来自美国IP地址的可疑登录活动，诱骗受害者访问链接验证登录信息。虽然凭证窃取页面尚未恢复，但据悉该域名此前曾被用于窃取Naver登录信息。Proofpoint表示：“这些凭证窃取活动发生在恶意软件部署尝试之前，部分目标用户后来也成为HTML投递活动的攻击对象。TA406极可能正在收集情报，帮助朝鲜领导人评估其已在战区部队的当前风险，以及俄罗斯请求更多部队或武器的可能性。” 此次披露正值Konni集团被指参与针对韩国实体的复杂多阶段恶意软件活动，攻击者使用包含LNK文件的ZIP压缩包，通过PowerShell脚本提取CAB压缩包，最终投放能够收集敏感数据并外泄至远程服务器的批处理脚本恶意软件。 这些发现与Kimsuky针对韩国政府机构的鱼叉式钓鱼活动相吻合，该活动通过投放能够建立命令与控制（C2）通信、窃取文件、浏览器数据和加密货币钱包信息的窃取程序实施攻击。 韩国网络安全公司AhnLab表示，Kimsuky还被观察到传播PEBBLEDASH恶意软件，该木马通过鱼叉式钓鱼启动多阶段感染链。美国政府于2020年5月将PEBBLEDASH归因于Lazarus集团。 该公司称：“虽然Kimsuky集团使用多种恶意软件，但在PEBBLEDASH案例中，他们通过初始访问阶段的鱼叉式钓鱼执行基于LNK文件的恶意软件发动攻击，随后利用PowerShell脚本创建任务计划程序实现自动执行，通过与Dropbox和基于TCP套接字的C2服务器通信，安装包括PEBBLEDASH在内的多种恶意软件和工具。” 专注于朝鲜问题的活动人士近期成为APT37（又称ScarCruft）攻击目标。据Genians安全中心（GSC）披露，这项名为“Operation ToyBox Story”的鱼叉式钓鱼攻击首次发现于2025年3月8日。 该韩国公司表示：“邮件中的Dropbox链接指向包含恶意LNK文件的压缩包，提取执行后会激活包含‘toy’关键词的附加恶意软件。”LNK文件被配置为启动诱饵HWP文件并运行PowerShell命令，依次执行toy03.bat、toy02.bat和toy01.bat文件，最终释放与APT37关联的RoKRAT木马。 RoKRAT能够收集系统信息、截取屏幕截图，并利用pCloud、Yandex和Dropbox三种云服务进行C2通信。Genians指出：“威胁分子利用合法云服务作为C2基础设施，持续修改LNK文件，同时专注于无文件攻击技术以规避目标终端杀毒软件的检测。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新西兰研究员“MrBruh”指出，华硕主板预装的驱动程序软件DriverHub存在两个可通过远程利用执行任意代码的漏洞。 这两个漏洞被追踪为CVE-2025-3462（CVSS评分8.4）和CVE-2025-3463（CVSS评分9.4），攻击者可通过构造恶意HTTP请求与DriverHub交互。 华硕表示，漏洞源于缺乏充分验证，分别可被用于与软件功能交互及影响系统行为。该公司同时称“笔记本电脑、台式机或其他终端设备”不受影响。 然而MrBruh解释称，安全缺陷存在于预装软件接收和执行软件包的过程中，可实现远程代码执行。 DriverHub在后台运行，与driverhub.asus.com通信以通知用户需安装或更新的驱动程序。其依赖远程过程调用（RPC）协议，并通过本地服务允许网站通过API请求连接。 据MrBruh分析，虽然DriverHub仅接受来自driverhub.asus.com的RPC请求，但将源地址改为“driverhub.asus.com.*”即可允许未授权用户发送请求。 此外，驱动程序的UpdateApp端点接受包含“.asus.com”的构造URL参数，保存指定名称文件，下载任意扩展名文件，自动以管理员权限执行签名文件，且不删除签名验证失败的文件。 在分析以ZIP压缩包分发的独立Wi-Fi驱动程序时，MrBruh发现可利用静默安装功能通过UpdateApp端点执行任意文件。 该研究员演示了如何通过诱使用户访问托管在driverhub.asus.com.*子域名的恶意网页，实现一键远程代码执行。 MrBruh于4月8日报告漏洞，华硕于5月9日发布修复补丁。研究员称未发现任何注册的driverhub.asus.com.*域名，“表明漏洞在报告前未被主动利用”。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。 ClickFix是一种社会工程学策略，通过伪造验证系统或应用错误诱骗网站访客运行控制台命令以安装恶意软件。此类攻击传统上以Windows系统为目标，诱使受害者从Windows运行命令执行PowerShell脚本，导致信息窃取恶意软件感染甚至勒索攻击。 然而，2024年一项使用虚假Google Meet错误的活动也瞄准了macOS用户。Hunt.io研究人员上周发现的最新活动，是首批将这种社会工程学技术适配到Linux系统的攻击之一。 此次攻击被归因于与巴基斯坦关联的威胁组织APT36（又名“Transparent Tribe”），攻击者仿冒印度国防部网站，提供所谓官方新闻稿链接。 当访客点击链接时，平台会对其操作系统进行识别并重定向至相应攻击流程。在Windows系统上，受害者会看到全屏页面警告内容使用权受限。点击“继续”触发JavaScript将恶意MSHTA命令复制到剪贴板，并指示用户在Windows终端粘贴执行。该操作启动基于.NET的加载器连接攻击者地址，同时用户会看到诱饵PDF文件使一切看似正常。 在Linux系统上，受害者被重定向至验证码页面，点击“我不是机器人”按钮时将Shell命令复制到剪贴板。随后引导用户按ALT+F2打开Linux运行对话框，粘贴命令并按Enter执行。该命令在目标系统部署“mapeal.sh”载荷。据Hunt.io称，当前版本尚未执行任何恶意行为，仅从攻击者服务器获取JPEG图像。 “脚本从同一trade4wealth[.]in目录下载JPEG图像并在后台打开，”Hunt.io解释道，“执行期间未观察到持久化机制、横向移动或外联通信等额外活动。” 但研究人员指出，APT36可能正在测试Linux感染链的有效性——只需将图像替换为Shell脚本即可安装恶意软件或实施其他恶意活动。 ClickFix攻击成功适配Linux系统，标志着该攻击类型现已覆盖三大主流桌面操作系统平台。 作为通用安全原则，用户在未明确知晓命令功能的情况下，不应将任何命令复制粘贴至运行对话框。此类操作只会增加恶意软件感染和敏感数据被盗风险。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 浏览器扩展已深度嵌入员工日常工作流程，从语法检查到寻找折扣等任务均提供助力。然而，其广泛权限带来了重大安全风险，却大多未被IT和安全团队察觉。 一份独特的《2025年企业浏览器扩展安全报告》首次结合公开扩展商店数据与企业实际使用遥测数据，揭示了这一被低估的威胁载体。 报告主要发现： 扩展无处不在但危险：99%的企业用户安装了浏览器扩展，其中52%运行超过10个扩展，显著扩大了威胁面。 安全分析：几乎每位员工都可能危及组织安全。 对敏感数据的广泛权限：企业环境中53%的扩展拥有“高”或“关键”风险权限，可访问Cookie、密码、浏览历史和网页内容等敏感数据。 安全分析：单个被攻破的扩展可能使整个组织陷入风险。 生成式AI扩展：隐蔽威胁：超过20%的企业员工使用生成式AI扩展，其中58%具有“高”或“关键”权限，构成重大风险。 安全分析：企业必须对生成式AI扩展的使用和数据处理实施严格政策。 不可信的扩展发布者：54%的扩展通过Gmail账户匿名发布，79%来自仅发布过单个扩展的发布者，导致信任评估极度困难。 安全分析：扩展信任验证高度困难，增加了恶意活动的可能性。 废弃和过时扩展：51%的扩展超过一年未更新，26%的企业扩展通过旁加载规避安全审查。 安全分析：过时或未受管理的扩展因潜在漏洞显著增加安全风险。 对安全和IT团队的建议： 审计企业环境中所有浏览器扩展。 对扩展进行分类以了解其风险特征。 详细枚举和分析扩展权限。 对每个扩展执行全面风险评估。 实施基于风险的自适应安全策略以有效管理扩展威胁。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员周一披露，一个与土耳其政府结盟的网络间谍组织似乎利用某即时通讯应用的零日漏洞，监视伊拉克境内库尔德军事行动。 据微软威胁情报部门称，追踪代号为Marbled Dust的黑客自2024年4月起入侵Output Messenger（一款常用于工作场所和组织聊天的应用）用户账户。 该团队表示“高度确信攻击目标与伊拉克境内库尔德军事组织相关，这与Marbled Dust既往攻击优先级一致。”库尔德武装组织库尔德工人党（PKK）周一宣布，在与土耳其持续数十年的冲突后，将解散并解除武装。伊拉克多数库尔德人居住在与土耳其接壤的半自治地区。 Marbled Dust的活动与其他公司追踪的Sea Turtle或UNC1326行动存在重叠。微软指出，该组织以攻击欧洲和中东实体闻名，“特别是与土耳其政府存在利益冲突的政府机构及组织，以及电信和信息技术行业目标。” 此前未记录的Output Messenger漏洞（CVE-2025-27920）可使认证用户将恶意文件上传至服务器启动目录。微软称尚不确定Marbled Dust如何每次均获取认证账户权限，但推测该组织可能使用DNS劫持或仿冒域名等技术拦截网络流量并窃取用户凭证。 在微软通报漏洞后，Output Messenger开发商印度公司Srimax发布了软件更新。研究人员还发现第二个未遭利用的漏洞（CVE-2025-27921），Srimax补丁亦涵盖该缺陷。 微软表示，利用首个漏洞可使攻击者“无差别访问所有用户的通信内容、窃取敏感数据并冒充用户身份，进而导致运营中断、内部系统未授权访问及大规模凭证泄露。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近几周，针对印度数字基础设施的黑客活动分子攻击声明引发广泛担忧——在印度与巴基斯坦的地缘政治紧张局势下，政府、教育及关键行业领域据称发生超100起入侵事件。 然而，CloudSEK的新调查表明实际损害微乎其微，许多声明存在夸大或完全捏造。 包括Nation Of Saviors、KAL EGY 319和SYLHET GANG-SG在内的知名黑客活动组织声称已入侵印度选举委员会和总理办公室等重要目标。 但CloudSEK分析师发现这些破坏行为大多具有象征意义：遭篡改的网站通常在数分钟内恢复，泄露数据实为公开或回收利用的旧数据，分布式拒绝服务（DDoS）攻击造成的停机时间可忽略不计。 攻击声明与事实对比： 尽管有声明称从印度国家信息中心窃取247 GB敏感政府数据，但泄露的“证据”仅为1.5 GB公开媒体文件。类似地，所谓从安得拉邦高等法院窃取的数据主要由线上已有的案件元数据构成。其他声明攻击（包括对印度陆军和选举委员会的入侵）被揭露为使用过期数据或完全伪造。 根据CloudSEK分析，围绕所谓入侵的炒作主要由X平台（原Twitter）上与巴基斯坦关联的账号推动，包括@PakistanCyberForce和@CyberLegendX。这些账号传播未经核实的声明，并将其与“Operation Sindoor”“Bunyan Al Marsous”等持续行动关联。 尽管传播广泛，大多数声明仍缺乏系统入侵或破坏的可信证据支持。 与此同时，在舆论喧嚣背后，一个据称对印度构成更严重威胁的网络攻击正在升级。以关联巴基斯坦闻名的高级持续性威胁组织APT36已发起复杂钓鱼活动，意图渗透印度政府和国防网络。 在2025年4月印控克什米尔帕哈尔加姆恐怖袭击后，APT36利用情绪化诱导内容，通过伪装成政府简报（PPT或PDF格式）的钓鱼邮件传播Crimson RAT恶意软件。这些恶意文档将用户导向仿冒印度官方网站的钓鱼域名，诱骗受害者提交凭证或执行恶意代码。 Crimson RAT是一种用于远程控制系统并窃取数据的远程访问木马。 在近期APT36行动中，该木马一旦安装便会连接至命令服务器，允许攻击者远程窃取文件、截取屏幕截图并在受感染系统执行超20种不同指令。其隐蔽性、持久性及对国防网络的针对性使其成为高风险间谍工具。 CloudSEK指出：“恶意软件收集敏感数据（如截图、文件或系统信息）后，会将数据回传至C2服务器供攻击者进一步分析。该过程设计隐蔽，最大限度降低被安全软件检测的概率。” 随着印度持续监控黑客活动分子的动向，警惕APT36等更隐蔽且能力更强的攻击者已成为明确需求。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种由虚假网站网络构成的复杂钓鱼计划多年来持续针对Web3项目并大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络，但很快显现出更高复杂性和更大规模。这促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作开展进一步调查。 这项被研究人员命名为FreeDrain的计划，未依赖钓鱼邮件、短信（短信钓鱼）、社交媒体帖子和博客评论垃圾信息等常见传播手段，而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。该行动可能由位于印度（或可能斯里兰卡）的团队实施，至少自2022年起持续活跃。 Validin和SentinelLabs于2025年5月7日至9日在马拉加举行的威胁情报大会PIVOTcon 2025上公布了其发现。 2024年4月，Validin发布了一份记录系列加密窃取钓鱼页面的报告。该报告引起一名人士的注意，其联系Validin称损失了8枚比特币（当时价值约50万美元）。SentinelLabs和Validin研究人员在5月8日的联合报告中解释称：“受害者在点击高排名搜索引擎结果后，试图检查钱包余额时，无意间将钱包助记词提交至钓鱼网站。” 助记词（又称恢复短语或助记种子）是用于恢复加密货币钱包并访问相关资金的单词列表。可信的加密货币追踪分析师确认，用于接收受害者资金的目标钱包为一次性地址。他们表示，被盗资产迅速通过加密货币混币器转移——这是一种通过多笔交易分割和洗钱的混淆方法，使得追踪和追回几乎不可能。 研究人员报告称，尽管无法协助追回损失资产，但此次接触表明钓鱼攻击属于更广泛的大规模行动的一部分。进一步调查后，SentinelLabs和Validin研究人员识别出38,048个托管诱饵页面的FreeDrain子域名。这些子域名托管在亚马逊S3和微软Azure Web Apps等云基础设施上，模仿合法的加密货币钱包界面。 为使钓鱼网站网络更具吸引力，黑客综合运用SEO操纵技术、免费层级网络托管服务（如GitHub.io、WordPress.com、GoDaddySites、Gitbook）、域名抢注技术、熟悉视觉元素和分层重定向技术，诱使受害者误认为网站合法。 “我们对所有主流搜索引擎顶部结果中出现的大量诱饵页面感到震惊。”研究人员表示。“多数页面仅包含一张大图（通常是合法加密钱包界面的静态截图）和几行看似提供帮助说明的文字——讽刺的是，部分页面甚至声称要教育用户如何防范钓鱼攻击。”尽管看似基础，这些网页直接回答了搜索引擎用户可能输入的问题。此类页面已知会受到搜索引擎算法的推荐，尤其是当托管在高声誉平台时。 此外，FreeDrain运营者通过在维护不善的网站上进行大规模评论灌水，通过搜索引擎索引提升其诱饵页面的可见度——这种技术被称为“垃圾索引”。研究人员写道：“该技术使FreeDrain能绕过钓鱼邮件或恶意广告等传统传播途径，直接在用户最信任的搜索引擎顶部接触目标。”调查人员发现，许多诱饵页面的文字存在由大语言模型生成的证据。 他们指出，发现的复制粘贴痕迹揭示了具体使用工具，包括“4o mini”等字符串——可能指向OpenAI的GPT-4o mini模型。调查人员表示，这些迹象表明FreeDrain运营者正在利用生成式AI创建可扩展内容，但有时操作粗心。SentinelLabs和Validin研究人员梳理出最终导向钓鱼网站的逐步流程： 在主流搜索引擎搜索钱包相关查询（如“Trezor钱包余额”）。 点击高排名结果（通常托管在gitbook.io或webflow.io等看似可信的平台）。 进入显示可点击大图（通常是合法钱包界面静态截图）的页面。 点击图片，跳转至钓鱼页面或重定向至中间网站。 抵达最终钓鱼网站（与真实钱包服务近乎完美的克隆），诱导用户输入助记词。 一旦提交助记词，攻击者的自动化基础设施将在数分钟内清空资金。 调查人员最终表示，由于FreeDrain使用临时基础设施和共享免费服务，溯源行动具有挑战性。然而，通过分析仓库元数据、行为信号和时间痕迹，他们成功获取了运营者特征的重要线索，包括其可能位置、工作模式和协作水平。研究人员称，调查揭示了多项关键发现。他们分析了与FreeDrain关联的GitHub仓库，发现提交记录中的电子邮件地址唯一且关联独立GitHub账户，多数来自免费邮箱提供商。 此外，提交时间戳主要集中于UTC+05:30时区（对应印度标准时间IST），表明与印度（或可能斯里兰卡）存在强烈地理关联。该发现通过分析Webflow等其他服务的元数据得到佐证——日志显示IST时区清晰的工作日9点至17点工作模式。研究人员总结称，综合证据表明FreeDrain行动极可能由印度境内人员在标准工作日时段实施。他们还指出，该活动至少自2022年活跃，2024年中活动量显著增加，且报告发布时仍在持续。 针对FreeDrain活动暴露的问题，调查人员建议免费内容平台采取措施防止滥用并改进对恶意活动的响应： 改进滥用报告机制：允许直接从已发布内容页面举报滥用行为，并与可信威胁情报分析师和研究人员建立直接沟通渠道。 投资基础防滥用工具：监测批量账户创建、相似域名结构和外部钓鱼工具包重复托管等滥用模式。 增强检测能力：识别协同滥用行为，例如重复命名模式和跨子域名复用的相同模板。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文