HackerNews 编译，转载请注明出处： 云端直播公司StreamElements确认，其一名第三方服务提供商遭遇了数据泄露事件，导致威胁行为者在黑客论坛上泄露了部分被窃数据样本。 该平台向用户保证，此次攻击并未影响其服务器，但去年停止合作的一家第三方提供商的旧数据仍然遭到泄露。   “我们最近了解到，一个我们去年停止合作的第三方服务提供商发生了数据安全事件。”该公司在X平台上发文称。   “我们可以确认，StreamElements的服务器没有遭到入侵。”   “尽管此次事件并非源自StreamElements系统内部，但我们非常重视客户数据的安全，并正在积极与他们联系，以评估和解决可能的影响。”   StreamElements是一家广受欢迎的云端直播工具平台，主要为Twitch和YouTube上的内容创作者提供服务。它提供一系列功能，包括直播叠加层、打赏/捐赠管理、聊天机器人、活动信息流、商品商店集成、直播分析、忠诚度/奖励系统等。   该平台与主要游戏品牌建立了合作伙伴关系，并被许多顶级Twitch主播使用，注册创作者超过100万。   StreamElements的声明是在一名昵称为“victim”的威胁行为者声称窃取了21万名StreamElements客户的数据后发布的。该行为者在2025年3月20日还在黑客论坛上分享了部分被窃数据样本，包括用户的全名、地址、电话号码和电子邮件地址。   威胁行为者在BreachForums上的帖子 来源：BleepingComputer Twitch领域的记者和直播评论员Zach Bussey报道称，他曾与该黑客组织相关人员取得联系，对方提供了证据，证实了数据的真实性。   “我尝试验证数据泄露的真实性，请求查看我在2021年或2022年下的订单中的个人信息。”Bussey在X平台上解释道。   “几秒钟后，他们便提供了这些信息，包括我的姓名、地址、邮政编码、电话号码和电子邮件。”   该黑客还声称，他们通过信息窃取恶意软件感染了StreamElements的一名员工，进而接管了内部账户，访问了平台的订单管理系统。   威胁行为者表示，他们从该系统中窃取了2020年至2024年的用户数据。   尽管StreamElements尚未正式验证这些细节，但在此期间注册的用户被建议保持高度警惕，以防潜在的网络钓鱼和诈骗行为。   今天早些时候，StreamElements提醒社区警惕有人利用此次安全事件进行网络钓鱼攻击，发送假冒的“数据泄露”邮件以欺骗收件人。   截至目前，StreamElements尚未向受影响用户发送数据泄露通知，并表示调查仍在进行中。   值得注意的是，威胁行为者在BreachForums上的帖子目前已被删除。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗，但BleepingComputer已与多家公司确认，威胁行为者分享的数据样本是有效的。 上周，一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器，并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示，被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密，并愿意与能够帮助恢复这些密码的人分享部分数据。 威胁行为者发布了多个文本文件，包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表，这些域据称受到了此次入侵的影响。需要注意的是，其中一些公司域看起来像是测试用的，而且每个公司有多个域。 威胁行为者正在出售据称被盗的Oracle Cloud数据 来源：BleepingComputer 除了数据之外，“rose87168”还与BleepingComputer分享了一个Archive.org网址，该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件，其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件，这表明实际发生了入侵。 然而，Oracle否认其Oracle Cloud遭受了入侵，并拒绝回答关于此次事件的任何进一步问题。 “Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据，”该公司上周五对BleepingComputer表示。 然而，这一否认与BleepingComputer的调查结果相矛盾，后者从威胁行为者那里获得了更多泄露数据的样本，并联系了相关公司。 这些公司的代表在承诺匿名的情况下同意确认数据，他们确认了信息的真实性。这些公司表示，相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的，并且属于他们。 威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。 一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件（secalert_us@oracle.com），报告他们入侵了服务器。 “我已经深入研究了你们的云仪表板基础设施，发现了一个巨大的漏洞，让我获得了600万用户信息的完全访问权限，”BleepingComputer看到的电子邮件中写道。 另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流，该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖，因为我们无法验证他们的身份或电子邮件交流的真实性。 在这封电子邮件交流中，威胁行为者表示，一个使用@proton.me电子邮件地址的Oracle人告诉他们：“我们收到了你的电子邮件。从现在起，我们使用这个电子邮件进行所有通信。你收到后告诉我。” 网络安全公司Cloudsek还发现了一个Archive.org网址，显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后，Oracle已将这台服务器下线。 该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响，该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。 BleepingComputer已多次就这些信息向Oracle发送电子邮件，但尚未收到任何回复。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国信息专员办公室（ICO）因2022年的一次勒索软件攻击，对高级计算机软件集团有限公司处以307万英镑的罚款，该攻击暴露了79,404人的敏感个人数据，其中包括国家医疗服务体系（NHS）的患者数据。 2022年8月初，当包括111紧急服务在内的各种NHS服务出现重大故障时，宣布了此次网络攻击，这表明英国托管服务提供商（MSP）高级计算机软件集团受到了攻击。 高级计算机软件集团为NHS提供了多种患者管理和健康相关产品，如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。 该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节，但在接下来的几天里，显然恢复工作将需要很长时间，即使有Mandiant和微软专家的帮助。 后来证实，LockBit勒索软件组织是此次攻击的幕后黑手，他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议（RDP）会话，随后横向移动进入组织的环境。 今天，ICO宣布对高级计算机软件集团处以307万英镑（约合395万美元）的罚款，以惩罚其未能保护敏感数据和系统免受黑客攻击。 ICO在其声明中强调了软件供应商未能实施足够的安全措施，以防止导致数据泄露和危及生命的健康服务中断的漏洞。 这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证（MFA）覆盖。 “高级计算机软件集团的子公司安全措施严重不足，不符合我们对处理如此大量敏感信息的组织的期望，”信息专员约翰·爱德华兹表示。 “尽管高级计算机软件集团在许多系统上安装了多因素认证，但覆盖不全面意味着黑客可以进入，使成千上万人的敏感个人信息面临风险。” 值得注意的是，此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑（约合774万美元）的罚款相比大幅减少。 然而，此次罚款具有重要意义，因为这是英国首次对数据处理者而非数据控制者处以罚款。 过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款，以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Abnormal Security 的研究发现，威胁者正在利用一种名为 Atlantis AIO Multi-Checker 的电子犯罪工具，来自动化针对 140 多个平台的凭证填充攻击。 “Atlantis AIO 已经成为网络犯罪分子武器库中的强大武器，能够使攻击者快速连续地测试数百万个被盗凭证，”网络安全公司在分析中表示。 凭证填充是一种网络攻击类型，攻击者收集被盗的账户凭证，通常是用户名或电子邮件地址和密码的列表，然后通过大规模的自动化登录请求，利用这些凭证在不相关的系统上获取未经授权的访问权限。 这些凭证可能来自社交媒体服务的数据泄露，也可能从地下论坛获取，由其他威胁者出售。凭证填充与暴力破解攻击不同，后者围绕使用试错法破解密码、登录凭证和加密密钥。 据 Abnormal Security 称，Atlantis AIO 为威胁者提供了通过预配置模块大规模发起凭证填充攻击的能力，目标是各种平台和基于云的服务，从而促进欺诈、数据盗窃和账户接管。 “Atlantis AIO Multi-Checker 是一种旨在自动化凭证填充攻击的网络犯罪工具，”该公司表示，“它能够大规模测试被盗凭证，能够迅速在 140 多个平台上尝试数百万个用户名和密码组合。” 该程序背后的威胁者还声称，它建立在“经过验证的成功基础之上”，并且他们有成千上万满意的客户，同时向客户保证平台的安全性，以保持他们的购买隐私。 “每个功能、更新和交互都经过精心设计，以超越预期的方式提升您的体验，”他们在官方广告中表示，并补充说“我们不断开创推动前所未有成果的解决方案。” Atlantis AIO 的目标包括像 Hotmail、Yahoo、AOL、GMX 和 Web.de 这样的电子邮件提供商，以及电子商务、流媒体服务、VPN、金融机构和食品配送服务。 另一个值得注意的方面是该工具能够对上述电子邮件平台进行暴力破解攻击，并自动化与 eBay 和 Yahoo 相关的账户恢复流程。 “像 Atlantis AIO 这样的凭证填充工具为网络犯罪分子提供了一条直接的路径，将被盗凭证变现，”Abnormal Security 表示。 “一旦攻击者在各个平台上获得账户访问权限，他们可以以多种方式利用这些账户，例如在暗网市场上出售登录详情、进行欺诈或使用被攻破的账户分发垃圾邮件和发起网络钓鱼活动。” 为了缓解此类攻击带来的账户接管风险，建议实施严格的密码规则，并采用抗网络钓鱼的多因素认证（MFA）机制。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯语言的黑客组织 RedCurl（又名 Earth Kapre 和 Red Wolf）首次与勒索软件活动相关联，这标志着该威胁组织的攻击手法发生了转变。 这一活动由罗马尼亚网络安全公司 Bitdefender 观察到，涉及部署一种前所未见的勒索软件变种，名为 QWCrypt。 RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。 2020 年，Group-IB 记录的攻击链涉及使用带有 “人力资源”（HR）主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月，Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击，以部署名为 RedLoader 的加载程序，该程序具有 “简单的后门功能”。 上个月，加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件，在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。 Bitdefender 详细描述的攻击过程遵循相同的步骤，使用伪装成简历的可挂载磁盘镜像（ISO）文件来启动多阶段感染程序。在磁盘镜像中存在一个文件，它模仿 Windows 屏保（SCR），但实际上是由 ADNotificationManager.exe 执行的加载程序（“netutils.dll”）使用的二进制文件，通过 DLL 侧载执行。 “执行后，netutils.dll 立即用 open 动词发起 ShellExecuteA 调用，将受害者的浏览器定向到 https://secure.indeed.com/auth，”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。 “这显示了一个合法的 Indeed 登录页面，这是一个精心设计的干扰，旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。” 加载程序还充当下载程序，用于下载下一阶段的后门 DLL，同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手（pcalua.exe）执行新检索到的 DLL，这种技术在 2024 年 3 月由 Trend Micro 详细描述。 植入物提供的访问权限为横向移动铺平了道路，使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变，他们已知的作案手法之一也导致了勒索软件的首次部署。 “这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试，”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机，使其无法启动，RedCurl 有效地禁用了整个虚拟化基础设施，影响所有托管服务。” 勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”（BYOVD）技术来禁用端点安全软件外，还会在启动加密例程之前采取步骤收集系统信息。此外，加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。 “这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题，”Zugec 说。“值得注意的是，没有已知的专门泄露网站（DLS）与该勒索软件相关联，目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处: 名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞，来投放包括后门和信息窃取器（如 Rhadamanthys 和 StealC）在内的多种恶意软件家族。 “在这次攻击中，威胁者操纵 .msc 文件和多语言用户界面路径（MUIPath），以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据，”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。 所涉及的漏洞是 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft Management Console（MMC）中的不正确中和漏洞，可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。 Trend Micro 已将该漏洞利用命名为 MSC EvilTwin，并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。 CVE-2025-26633 核心上利用了 Microsoft Management Console 框架（MMC），通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console（.msc）文件。 具体来说，它涉及加载程序创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是，当运行前者时，MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径（MUIPath）功能实现的。 “通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备恶意 .msc 文件，导致 mmc.exe 加载并执行恶意文件，而不是原始文件，且在受害者不知情的情况下进行，”Zahravi 解释说。 EncryptHub 还被观察到采用另外两种方法，利用 .msc 文件在受感染系统上运行恶意载荷： – 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷，这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。 – 使用伪造的可信目录（如 “C:\Windows \System32”）来绕过用户账户控制（UAC），并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。 Trend Micro 表示，攻击链可能从受害者下载伪装成合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序（MSI）文件开始，然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。 “这场活动正处于积极发展阶段，它采用多种投递方法和定制载荷，旨在维持持久性、窃取敏感数据，然后将其外泄至攻击者的命令与控制（C&C）服务器，”Zahravi 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大安全意识培训提供商Beauceron Security的负责人大卫·希普利（David Shipley）周一回应了美国联邦调查局（FBI）丹佛办事处本月初发布的一则警告，该警告涉及一种利用免费在线文档转换工具窃取信息或向毫无戒心的用户计算机植入恶意软件的骗局的增长。 “使用被污染的网站，这些网站可能试图通过未打补丁的浏览器部署恶意软件，或者使用特洛伊木马程序部署远程访问工具，这些方法是寻找传统带有恶意Office附件的网络钓鱼替代方式的有效手段，”他指出。 为了实施这一骗局，美国联邦调查局表示，“全球的网络犯罪分子正在使用任何类型的免费文档转换或下载工具。这可能是一个声称将一种文件类型转换为另一种的网站，例如将.doc文件转换为.pdf文件。它也可能声称合并文件，例如将多个.jpg文件合并成一个.pdf文件。嫌疑程序可能声称是一个MP3或MP4下载工具。” 该机构称，除了执行承诺的任务外，恶意工具还会从提交的文件中抓取个人身份信息、银行信息、电子邮件地址和密码。 信息科技研究集团（Info-Tech Research Group）的首席研究总监弗雷德·沙格农（Fred Chagnon）呼应了美国联邦调查局的警告，指出，“使用在线文档转换器的担忧是双重的。首先，也是最突出的是，你无法信任你得到的文件的完整性。即使是恶意服务也会为用户执行实际的转换。” 然而，他说，“生成的PDF文件可能包含嵌入式JavaScript代码，该代码在启动时执行，或者在Word或Excel文档的情况下，Visual Basic代码形式的宏可能隐藏在文档中。端点检测和响应工具可以作为抵御这些恶意程序的一层防御，但这并非万无一失。” 其次，他补充说，无法确定服务对上传文件中的数据做了什么，这些文件可能包含敏感或机密信息。 桑斯技术研究所（SANS Technology Institute）研究院长约翰内斯·乌尔里希（Johannes Ullrich）博士说，“这些攻击很简单。用户被欺骗执行恶意代码，声称该代码是一个文件转换工具。过去，攻击者声称是‘破解软件’（软件的许可证检查被移除）或游戏作弊。” 在这种情况下，他说，“用户通常会在谷歌上搜索一个工具，例如将Word文档转换为PDF。坏人有时会购买谷歌广告，或者操纵搜索排名，使其恶意工具出现在结果列表的顶部。在某些情况下，他们可能会回复像Stackoverflow这样的网站上的问题，以宣传恶意工具。” 一旦受害者执行程序，乌尔里希说，“工具将运行恶意代码。在某些情况下，工具会直接退出，并在用户看来‘损坏’。在其他情况下，工具可能同时执行合法操作和恶意操作。” 此外，美国联邦调查局丹佛办事处的公共事务官员维姬·米戈亚（Vikki Migoya）在电子邮件中表示，“骗子试图模仿合法的网址——只改变一个字母，或者用‘INC’代替‘CO’。过去在搜索引擎中输入‘免费在线文件转换器’的用户容易受到攻击，因为现在用于结果的算法通常包括付费结果，这些结果可能是骗局。” 她说，“在过去的一个月里，丹佛都会区的一个公共部门实体遭到了这种骗局的攻击，并随后遭遇了勒索软件攻击。”她拒绝提供更多细节，指出，“任何其他细节，包括有多少案例或何时首次出现，都会让骗子知道什么对他们有效，以及我们已经发现了他们的哪些骗局。” 网络安全软件和咨询公司Emsisoft的威胁分析师卢克·康诺利（Luke Connolly）说，美国联邦调查局发布警告这一事实很好地表明这个问题相当普遍，应该被严肃对待。 他说，防御措施包括只使用来自可信供应商的服务，在打开来自外部来源的文件之前使用端点保护进行扫描，使用网络保护阻止访问已知的恶意网站，以及仔细检查任何你正在交换信息的网站的网址。 康诺利说，不要“只看标志。骗子使用的域名看起来很可信，但并非如其表面所示，在快速浏览时，‘rn’组合看起来像‘m’。” 希普利补充说，IT部门可以通过解决根本问题来帮助降低风险。“理解业务摩擦痛点，比如文件转换，这有助于改变与同事的关系，将IT和安全部门从令人讨厌的‘不’部门转变为友好的‘知道如何安全地做这件事’部门，”他指出。 他说，简单的答案是IT部门要确保普通用户不能从未经批准的来源安装软件，并且浏览器和操作系统已更新。但他指出，“如果有人认为他们需要为工作做某事而工具没有提供，他们可能会试图绕过控制。”例如，他们可能会将文件电子邮件发送到他们的私人账户，并使用不安全的个人设备进行转换。 降低这种风险的唯一方法是通过用户教育，并提供人们需要的工具，使他们能够成功完成工作，他补充说。 乌尔里希表示同意。他说，用户应该对任何下载的来源保持谨慎，尽可能坚持使用官方应用商店。此外，他说，“组织的安全部门还应通过提供经过审查的工具库来支持用户。反恶意软件可能有帮助，但效果参差不齐。”   消息来源：CSO Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 博通公司（Broadcom）今日发布安全更新，修复了VMware Tools for Windows中的一个高危身份验证绕过漏洞。 VMware Tools是一套专为提升性能、图形显示及整体系统集成而设计的驱动程序和实用工具，适用于在VMware虚拟机中运行的客户操作系统。 该漏洞（CVE-2025-22230）源于访问控制不当，由俄罗斯网络安全公司Positive Technologies的Sergey Bliznyuk报告，该公司因涉嫌交易黑客工具而受到制裁。 具有低权限的本地攻击者可在无需用户交互的低复杂度攻击中利用该漏洞，在易受攻击的虚拟机上获取高权限。 “恶意行为者若在Windows客户虚拟机上拥有非管理员权限，可能会获得在该虚拟机内执行某些高权限操作的能力，”VMware在周二发布的一份安全公告中解释道。 本月早些时候，博通还修复了三个VMware零日漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226），这些漏洞在攻击中被利用，由微软威胁情报中心报告。 正如公司当时所解释的，拥有特权管理员或root访问权限的攻击者可将这些漏洞串联起来，以逃逸虚拟机的沙箱。 补丁发布数日后，威胁监测平台Shadowserver发现超过37000个暴露在互联网上的VMware ESXi实例易受CVE-2025-22224攻击。 勒索软件团伙和国家赞助的黑客经常以VMware漏洞为目标，因为VMware产品在企业运营中广泛用于存储或传输敏感企业数据。 例如，在11月，博通警告称攻击者正在利用两个VMware vCenter Server漏洞：一个特权提升到root的漏洞（CVE-2024-38813）和一个关键的远程代码执行漏洞（CVE-2024-38812），后者是在2024年中国矩阵杯黑客大赛期间被发现的。 2024年1月，博通还披露称中国国家黑客自2021年底以来一直在利用一个关键的vCenter Server零日漏洞（CVE-2023-34048），在受影响的ESXi系统上部署VirtualPita和VirtualPie后门。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文