HackerNews 编译，转载请注明出处： 美国司法部于本周一宣布，查获一个用于实施银行账户盗用诈骗的网络域名及相关数据库，该犯罪活动专门针对美国民众并实施诈骗。 涉案域名为web3adspanels[.]org，其功能为后端网络控制面板，用于存储和操控非法获取的银行账户登录凭据。目前，访问该网站的用户会看到查扣公告，公告显示该域名已在一场由美国与爱沙尼亚执法机构牵头的国际执法行动中被依法关停。 美国司法部指出：“该银行账户盗用诈骗团伙通过谷歌、必应等搜索引擎投放欺诈广告，这些广告模仿合法金融机构的搜索引擎赞助广告样式，以此混淆视听。” 这些欺诈广告会将毫无防备的用户重定向至由诈骗分子操控的虚假银行网站。该网站内置了一款未公开具体信息的恶意软件，专门窃取受害者输入的登录凭据。随后，犯罪分子利用这些被盗取的凭据登录合法银行网站，接管受害者账户并转走资金。 涉案规模与危害 据统计，该诈骗案目前已造成全美范围内 19 名受害者，其中包括佐治亚州北区的两家企业，未遂损失金额约达 2800 万美元，实际损失金额则高达 1460 万美元。 美国司法部表示，此次查获的域名不仅存储了数千名受害者的被盗登录凭据，其搭载的后端服务器直至上月仍在为账户盗用诈骗活动提供支持。 美国联邦调查局（FBI）公布的数据显示，自 2025 年 1 月以来，互联网犯罪投诉中心已收到超过 5100 起与银行账户盗用诈骗相关的投诉，涉案上报损失金额累计超 2.62 亿美元。 相关部门建议用户，在网络或社交媒体上分享个人信息时务必谨慎；定期检查账户是否存在异常资金交易；为各类账户设置独一无二且复杂度高的密码；登录银行网站前，务必核对网址的正确性；同时提高警惕，防范钓鱼攻击与可疑来电。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两款名称相同、开发者一致的恶意谷歌浏览器扩展程序，这两款程序具备拦截网络流量和窃取用户凭据的功能。 这两款扩展程序对外宣传为面向开发者与外贸从业者的 “多地区网络测速插件”。截至本文撰写时，它们仍可被下载获取。两款扩展程序的具体信息如下： 幻影穿梭（ID：fbfldogmkadejddihifklefknmikncaj）：用户量 2000 人，于 2017 年 11 月 26 日发布 幻影穿梭（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd）：用户量 180 人，于 2023 年 4 月 27 日发布 “用户需支付 9.9 元至 95.9 元人民币（折合 1.40 至 13.50 美元）的订阅费用，以为自己购买的是合法 VPN 服务，但这两款变体程序执行的恶意操作完全相同。”Socket 安全研究员库什・潘迪亚表示。 “在订阅服务的伪装之下，这两款扩展程序通过注入身份验证凭据实现流量的全面拦截，充当中间人代理，并持续将用户数据窃取至威胁发起者的命令与控制服务器。” 毫无防备的用户完成付款后，会获得 VIP 权限，扩展程序随即自动开启 “智能” 代理模式，将来自超 170 个目标域名的流量路由至 C2 基础设施。 技术原理与窃取手段 这两款扩展程序会按宣传内容执行基础功能，以此营造出 “产品可用” 的假象。它们会对代理服务器进行真实的延迟测试，并展示连接状态，但对其核心目的 —— 拦截网络流量、窃取用户凭据 —— 则对用户完全隐瞒。 其恶意功能的实现，是通过对扩展程序内置的两个 JavaScript 库（即 jquery-1.12.2.min.js 和 scripts.js）进行前置恶意修改。相关代码被设计为：通过监听chrome.webRequest.onAuthRequired事件，在所有网站的每次 HTTP 身份验证请求中，自动注入硬编码的代理凭据（用户名：topfany / 密码：963852wei）。 “当任意网站或服务发起 HTTP 身份验证请求（包括基本身份验证、摘要式身份验证或代理身份验证）时，该监听器会在浏览器弹出凭据输入提示框之前触发，” 潘迪亚解释道，“它会立即返回硬编码的代理凭据，整个过程对用户完全透明。异步阻塞模式可确保凭据注入的同步执行，从而避免用户进行任何手动操作。” 用户完成代理服务器身份验证后，扩展程序会利用代理自动配置（PAC）脚本修改谷歌浏览器的代理设置，实现三种运行模式： 关闭模式：禁用代理功能 全局模式：将所有网络流量路由至代理服务器 智能模式：仅将硬编码列表中 170 余个高价值域名的流量路由至代理服务器 该目标域名列表涵盖开发者平台（GitHub、Stack Overflow、Docker）、云服务提供商（亚马逊云科技、DigitalOcean、微软 Azure）、企业级解决方案供应商（思科、IBM、威睿）、社交媒体平台（脸书、照片墙、推特），以及成人内容网站。Socket 推测，将成人网站纳入目标，可能是为了对受害者实施敲诈勒索。 这一系列操作带来的最终后果是：用户的网络流量会被路由至威胁发起者控制的代理服务器，同时扩展程序会以 60 秒为间隔，向其位于phantomshuttle[.]space的 C2 服务器发送心跳包，目前该域名仍处于运行状态。这一机制让攻击者获得中间人（MitM）攻击位置，进而实现流量捕获、响应篡改和任意有效载荷注入。 更值得警惕的是，心跳数据包会通过 HTTP GET 请求，每五分钟向外部服务器传输一次 VIP 用户的电子邮箱、明文密码及程序版本号，以此实现用户凭据的持续窃取和会话监控。 Socket 指出：“心跳机制的数据窃取（涵盖凭据与元数据），再加上代理中间人攻击（实时流量捕获），让这款扩展程序在运行期间具备持续、全面的数据窃取能力。” 简言之，当用户开启 VIP 模式访问目标域名时，该扩展程序可窃取其密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、应用程序编程接口（API）密钥和访问令牌。此外，开发者相关机密信息的泄露，还可能为供应链攻击埋下隐患。 攻击团伙溯源线索 目前，这一已持续八年的恶意操作的幕后黑手身份仍不明确，但多项线索指向其为中国境内的操作团伙：扩展程序的描述文本使用中文；支付环节集成了支付宝与微信支付渠道；其 C2 服务器搭建于阿里云平台。 Socket 评价称：“订阅模式既实现了受害者留存，又能产生收益；再加上整合支付功能的专业化基础设施，共同构建起‘合法产品’的虚假外衣。用户以为自己购买的是 VPN 服务，却在毫不知情的情况下，任由自身网络流量被完全操控。” 安全建议 该研究发现凸显出，浏览器扩展程序正成为企业网络中一个缺乏管控的风险点。安全研究人员建议，已安装这两款扩展程序的用户应立即卸载；企业安全团队则需采取以下防护措施：部署扩展程序白名单机制、密切监控带有订阅付费功能且具备代理权限的扩展程序、对可疑的代理身份验证尝试开展网络监测。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约网络安全公司Intezer的研究人员在10月初发现了这一活动，他们识别出一个上传至VirusTotal的恶意XLL文件，文件上传地址最早显示为乌克兰，后又出现在俄罗斯。该文件名为《敌军计划打击目标》，一旦在 Excel 软件中打开，便会自动执行恶意代码。 文件运行后，会下载一款此前未被记录在案的后门程序，研究人员将其命名为EchoGather。这款后门程序允许攻击者收集目标设备的系统信息、执行相关指令并传输文件，窃取的数据会被发送至一台伪装成外卖网站的命令与控制服务器。 事件披露 Intezer在上周五发布的一份报告中指出，为诱使受害者上钩，Goffee组织的黑客使用俄语编写钓鱼诱饵，其中包含一份面向俄军高级军官的虚假新年音乐会邀请函。不过这份文档存在明显的人工智能生成痕迹，不仅有多处语言错误，文档上仿制的俄罗斯双头鹰国徽也严重失真，看上去更像一只普通鸟类，完全没有国徽的辨识度。 另一款钓鱼诱饵则伪装成俄罗斯工业和贸易部副部长的信函，要求收件方提供与国防合同相关的定价证明文件。该信函的接收对象为大型国防及高科技企业，Intezer表示，这些企业很可能就是黑客的预定攻击目标。 目前尚不清楚此次攻击行动的成功率究竟如何，也无法确定黑客的具体窃取目标。 研究人员表示：“该威胁攻击者显然在积极探索新的反侦测手段。不过其攻击手段在技术执行和语言准确性两方面仍存在明显缺陷，表明他们的攻击技术尚处于发展阶段。” Goffee黑客组织 Goffee组织又名Paper Werewolf，至少从2022年起就处于活跃状态。尽管其确切背景尚未得到证实，但研究人员认为该组织具有亲乌克兰倾向。此前关于该组织的相关报告大多出自俄罗斯本土的网络安全企业。 今年4月，卡巴斯基实验室曾发布报告称，Goffee组织利用定制恶意软件，从接入俄罗斯相关系统的U盘里窃取敏感文件。8月，俄罗斯网络安全公司BI.ZONE披露，该组织在针对俄罗斯机构的攻击中，同时利用了一个零日漏洞和压缩软件WinRAR的一个已知漏洞。 虽然情报窃取仍是该组织的首要目标，但BI.ZONE此前也曾指出，该组织至少有过一次在已入侵的网络中实施运营中断攻击的记录。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据ShadowServer Foundation的最新研究显示，黑客已蠢蠢欲动，约 12 万台承担着数万家企业防护任务的 WatchGuard Firebox 防火墙，因未安装补丁程序，至今仍存在严重漏洞，面临被攻击风险。 上周，WatchGuard 公司披露了其 Firebox 防火墙固件中存在的一个严重漏洞，呼吁用户紧急安装补丁修复。该漏洞的通用漏洞评分系统（CVSS）得分为 9.3 分（满分 10 分）。 美国网络安全与基础设施安全局就该漏洞已遭威胁攻击者利用一事发布紧急预警，并要求联邦政府机构在 12 月 26 日前完成相关防护措施部署，整改期限仅为一周。 Firebox 系列网络边界防护设备被广泛应用于数万家企业的网络边界安全防护。 影子服务器基金会的报告指出，其检测到近 12.5 万个关联 WatchGuard Firebox 设备的 IP 地址，均未针对编号为CVE-2025-14733的严重漏洞安装补丁。 截至 2025 年 12 月 21 日，存在漏洞风险的 IP 地址数量已降至 11.75 万个。 这些存在漏洞的设备大多分布在美国（3.56 万个），其次是德国（1.3 万个）、意大利（1.13 万个）、英国（9000 个）和加拿大（5800 个），其余数千个则分布在其他国家。 WatchGuard 公司在一份安全公告中解释道：“WatchGuard Fireware 操作系统的互联网密钥交换守护进程存在缓冲区溢出写入漏洞，远程未授权攻击者可利用该漏洞执行任意代码。当设备配置了动态网关对等体，且启用基于互联网密钥交换协议第二版的移动用户虚拟专用网络或分支办公室虚拟专用网络时，均会受到该漏洞影响。” 简单来说，攻击者可构造畸形数据包并发送至目标防火墙，利用负责协商 VPN 连接的组件漏洞，诱导防火墙未经授权执行攻击者植入的恶意代码。 该漏洞影响数十款搭载 Fireware OS 12.5.x、2025.1.x 及 12.x 版本的 WatchGuard 产品，其中也包括版本较旧且已停止技术支持的 11.x 系列产品。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国国家邮政局（La Poste）证实，圣诞前夕发生的疑似网络攻击导致其网站和移动应用陷入瘫痪，配送服务放缓，部分在线业务中断。 该局在周一发布的声明中表示，此次事件为DDoS攻击，导致核心数字系统下线。声明指出，目前无证据表明用户数据遭到泄露，但承认邮政业务（包括包裹配送）已受到影响。 攻击影响还波及旗下金融机构法国邮政银行（La Banque Postale），该行提醒用户，网上银行及移动应用的访问功能受到影响。不过银行强调，门店 POS 机刷卡支付、ATM 取款业务正常运行，通过短信验证的在线支付也可正常使用。 法国邮政局称，部分邮局已缩减运营规模，但用户仍可在柜台办理银行业务和邮政业务。“我们的团队已全员动员，力求尽快恢复各项服务，” 该局在声明中表示。 此次服务中断正值邮政业务高峰期。有用户在社交媒体抱怨，配送延迟可能导致他们无法在圣诞前收到包裹；法国媒体报道称，部分试图寄送或领取包裹的民众被邮局拒之门外。 值得注意的是，上周法国内政部刚披露一起数据泄露事件，攻击者非法入侵了电子邮件账户并获取机密文件，法国当局随后逮捕了一名 22 岁的涉案嫌疑人。 目前尚不明确法国邮政局遇袭的幕后黑手，该局也未将攻击归咎于任何特定组织。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 主流媒体音乐平台 Spotify 于周一作出回应，针对某开源组织周末公开的、包含从其平台爬取的 8600 万首歌曲的文件采取行动。 自称 “人类历史上最大的真正开放图书馆” 的 “安娜档案库”（Anna’s Archive）周六表示，该组织发现了一种大规模爬取 Spotify 文件的方法，并随后发布了包含音乐元数据和歌曲本身的数据库。 Spotify 的一位发言人向Recorded Future 透露：“我们已识别并禁用了参与非法爬取的恶意用户账户。” 该发言人强调：“我们已针对此类反版权攻击实施了新的防护措施，并正在积极监控可疑行为。自成立以来，我们始终与艺术家群体站在一起，打击盗版行为，同时正与行业合作伙伴密切合作，保护创作者及其合法权益。” 发言人补充称，安娜档案库在发布文件前未与 Spotify 取得任何联系，且此次事件并不属于对 Spotify 的 “黑客攻击”。泄露数据库的相关人员在数月内，通过第三方注册的用户账户对平台部分音乐进行流媒体抓取，系统性违反了 Spotify 的服务条款 —— 而非通过入侵平台商业系统实现。 安娜档案库周末发布博客文章介绍了该音乐缓存库，文中提到，尽管其核心工作通常聚焦于文本类资源，但该组织 “保护人类知识与文化遗产” 的使命 “并不区分媒介类型”。 “有时我们会遇到文本之外的重要机会，此次便是如此。不久前，我们发现了一种大规模爬取 Spotify 的方法。我们认为自身有责任搭建一个以保存为主要目的的音乐档案库。” 文章写道。 “这次对 Spotify 的爬取，是我们为建立这样一个音乐‘保存档案库’所做的微薄尝试。当然，Spotify 并未收录世界上所有的音乐，但这无疑是一个良好的开端。” 此次完整发布的资源包含一个涵盖 2.56 亿首歌曲的音乐元数据库，此外安娜档案库还整合了一个近 300 太字节（TB）的批量文件，内含 8600 万首音乐文件，占 Spotify 平台总播放量的约 99.6%。另有一个较小的文件专门收录了平台最受欢迎的 1 万首歌曲。 这些文件覆盖了 2007 年至 2025 年 7 月期间 Spotify 平台上发布的所有音乐。安娜档案库称其为 “目前公开可获取的规模最大的音乐元数据库”。 该组织表示：“在大家的支持下，人类的音乐遗产将永远免受自然灾害、战争、预算削减及其他灾难的破坏。” 博客文章还披露了从 Spotify 数据中发现的显著趋势：平台播放量前三的歌曲 —— 比莉・艾利什（Billie Eilish）的《Birds of a Feather》、Lady Gaga 的《Die with a Smile》以及巴德・bunny（Bad Bunny）的《DtMF》—— 其总播放量之和，超过了末尾 2000 万至 1 亿首歌曲的播放量总和。 安娜档案库因多次侵犯版权已在多个国家被封禁，该组织成立于 2022 年执法部门关闭 “Z 图书馆”（Z-Library）之后。2022 年，美国司法部逮捕并起诉了两名运营 Z-Library 的俄罗斯公民，当时该平台号称 “世界上最大的图书馆”，声称拥有至少 1100 万册电子书可供下载。 Z-Library 被关闭数天后，安娜档案库应运而生，整合了该网站以及互联网档案馆（Internet Archive）、 genesis 图书馆（Library Genesis）、科学枢纽（Sci-Hub）等多个免费在线图书馆的资源记录。 截至 12 月，安娜档案库已收录超过 6100 万册图书和 9500 万篇论文。多个国家的版权方曾试图起诉该组织，谷歌则于 11 月表示，在出版商提出下架请求后，已从其搜索引擎中移除了近 8 亿条指向安娜档案库的链接。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家水务管理机构于周日宣布遭受勒索软件攻击，导致约1000台计算机系统无法使用。 此次攻击影响了从工作站到服务器的各类设备，但国家网络安全局表示，包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。 水务机构的基础设施仍在正常运行，但由于网络攻击影响了电子邮件服务器，员工被迫使用电话和无线电进行通信。 与传统勒索软件攻击从外部网络引入加密软件不同，罗马尼亚当局的初步技术评估显示，此次攻击者使用了合法的Windows工具BitLocker试图勒索该机构。 使用所谓的”LOLBins”——如现有的Windows工具——有助于攻击者在遍历和操控受害者网络时规避安全控制。 卡巴斯基实验室去年发布的研究指出，墨西哥、印度尼西亚和约旦的受害者——包括钢铁和疫苗制造公司以及政府实体——遭遇了一波此类勒索软件攻击。 去年，网络安全公司Bitdefender表示，ShrinkLocker恶意软件——一种将合法BitLocker工具用于攻击系统用户的脚本——正被”多个独立的威胁行为体用于针对老旧Windows系统的简单攻击”。 根据罗马尼亚网络安全机构的说法，攻击者已发出勒索信息，要求其在七天内取得联系。该机构强调，其自身的”政策和严格建议”是受害者不与网络勒索者进行接触或谈判。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被观察到利用伪装成合法应用程序的恶意释放器应用，在针对乌兹别克斯坦用户的移动攻击中，投放一种名为 Wonderland 的安卓短信窃取程序。 “以前，用户会收到’纯粹的’木马APK文件，这些文件在安装后立即充当恶意软件，” Group-IB在上周发布的一份分析报告中表示。”现在，攻击者越来越多地部署伪装成合法应用程序的释放器。释放器表面看起来无害，但包含内置的恶意有效载荷，安装后会在本地部署——甚至无需主动的互联网连接。” 根据这家总部位于新加坡的网络安全公司的分析，Wonderland 促进了双向的命令与控制通信，以实时执行命令，从而允许发起任意的USSD请求和窃取短信。它伪装成Google Play或视频、照片、婚礼邀请等格式的其他文件。 该恶意软件背后以经济利益为动机的威胁组织 TrickyWonders，利用Telegram 作为主要平台来协调运营的各个方面。该组织于2023年11月首次被发现，还被归因于两个旨在隐藏主要加密有效载荷的释放器恶意软件家族： MidnightDat（首次发现于2025年8月27日） RoundRift（首次发现于2025年10月15日） Wonderland主要通过伪造的Google Play商店网页、Facebook上的广告活动、约会应用上的虚假账户以及Telegram等即时通讯应用进行传播。攻击者滥用暗网市场上出售的乌兹别克用户的被盗Telegram会话，向受害者的联系人和聊天群分发APK文件。 一旦恶意软件安装，它就能访问短信并拦截一次性密码，该组织利用这些信息从受害者的银行卡中窃取资金。其他功能包括获取电话号码、窃取联系人列表、隐藏推送通知以压制安全警报或OTP提醒，甚至从受感染设备发送短信进行横向移动。 然而，值得指出的是，要侧载该应用，首先需要用户启用允许从未知来源安装的设置。这是通过显示一个”安装更新以使用应用”的更新屏幕指示来完成的。 “当受害者安装APK并提供权限后，攻击者会劫持电话号码，并尝试登录使用该电话号码注册的Telegram账户，” Group-IB说。”如果登录成功，分发过程会重复，形成一个循环感染链。” Wonderland代表了乌兹别克斯坦移动恶意软件的最新演变，该地区已从依赖大规模垃圾邮件活动的Ajina.Banker等初级恶意软件，转变为伪装成看似良性媒体文件的Qwizzserial等更隐蔽的变种。 释放器应用的使用具有战略意义，因为它使它们看起来无害并能逃避安全检查。此外，释放器和短信窃取器组件都经过重度混淆，并采用了反分析技巧，使得逆向工程更具挑战性和耗时。 更重要的是，双向C2通信的使用将恶意软件从被动的短信窃取器转变为主动的远程控制代理，可以执行服务器发出的任意USSD请求。 “支撑性基础设施也变得更加动态和有弹性，”研究人员说。”运营者依赖快速变化的域名，每个域名在更换前只用于有限的几批构建。这种方法使监控复杂化，破坏基于黑名单的防御，并延长了命令与控制通道的寿命。” 恶意APK构建是通过一个专用的Telegram机器人生成的，然后由一类称为”工作者”的威胁行为者进行分发，以换取被盗资金的分成。作为这项工作的一部分，每个构建都有其关联的C2域名，因此任何取缔尝试都不会摧毁整个攻击基础设施。 这个犯罪企业还包括群组所有者、开发者和”vbiver”（验证被盗卡片信息的人）。这种等级结构反映了金融诈骗运营的新成熟阶段。 “该地区新一波的恶意软件开发清楚地表明，入侵安卓设备的方法不仅变得更加复杂——而且正在快速演变，” Group-IB说。”攻击者正在积极调整他们的工具，实施新的方法来改进分发、活动隐藏以及维持对受感染设备的控制。” 这一披露恰逢新安卓恶意软件的出现，例如 Cellik、Frogblight 和 NexusRoute，这些恶意软件能够从受感染的设备中收集敏感信息。 Cellik在暗网上以每月150美元起或终身许可900美元的价格做广告，具备实时屏幕流传输、键盘记录、远程摄像头/麦克风访问、数据擦除、隐藏网页浏览、通知拦截和应用叠加以窃取凭证等功能。 也许该木马最令人不安的功能是一个一键APK构建器，允许客户将恶意有效载荷捆绑在合法的Google Play应用中以便分发。 “通过其控制界面，攻击者可以浏览整个Google Play商店目录，并选择合法的应用程序与Cellik有效载荷捆绑，” iVerify的Daniel Kelley说。”只需点击一下，Cellik就会生成一个新的恶意APK，将RAT包装在所选的合法应用内部。” 另一方面，Frogblight 被发现通过短信钓鱼消息瞄准土耳其用户，这些消息诱骗收件人以查看据称与他们涉及的法庭案件相关的法庭文件为借口安装恶意软件，卡巴斯基表示。 除了使用WebView窃取银行凭证外，该恶意软件还能收集短信、通话记录、设备上已安装应用列表以及设备文件系统信息。它还可以管理联系人并发送任意短信。 据信Frogblight正处于积极开发中，该工具背后的威胁行为者正在为将其作为恶意软件即服务模式进行分发奠定基础。这一评估基于在C2服务器上发现的Web控制面板，以及只有使用与Web面板登录相同密钥的样本才能通过该面板进行远程控制这一事实。 像Cellik和Frogblight这样的恶意软件家族是安卓恶意软件日益增长趋势的一部分，即使是没有技术专长的攻击者，现在也可以轻松地大规模运行移动攻击活动。 最近几周，印度安卓用户也成为名为 NexusRoute 的恶意软件的目标，该软件使用冒充印度政府服务的钓鱼门户，将访问者重定向到托管在GitHub仓库和GitHub Pages上的恶意APK，同时收集他们的个人和财务信息。 这些虚假网站旨在感染安卓设备，安装一个完全混淆的远程访问木马，该木马可以窃取手机号码、车辆数据、UPI PIN、OTP和卡片详细信息，并通过滥用无障碍服务和提示用户将其设置为默认主屏幕启动器来收集大量数据。 “威胁行为者越来越多地将政府品牌、支付流程和公民服务门户武器化，在合法性的幌子下部署以经济利益驱动的恶意软件和网络钓鱼攻击，” CYFIRMA表示。”该恶意软件执行短信拦截、SIM卡信息收集、联系人窃取、通话记录收集、文件访问、屏幕截图捕捉、麦克风激活和GPS跟踪。” 对嵌入式电子邮件地址”gymkhana.studio@gmail[.]com”的进一步分析将NexusRoute与更广泛的地下开发生态系统联系起来，增加了其可能属于一个专业维护、大规模欺诈和监控基础设施的可能性。 “NexusRoute攻击活动代表了一个高度成熟、专业设计的移动网络犯罪运营，它将网络钓鱼、恶意软件、金融欺诈和监控结合到一个统一的攻击框架中，”该公司表示。”使用原生级混淆、动态加载器、自动化基础设施和集中式监控控制，使该活动的能力远超常见的诈骗行为者。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁猎手发现了一个被称为Infy的伊朗威胁行为者（又名Prince of Persia）的新活动，这距离该黑客组织被观察到针对瑞典、荷兰和土耳其的受害者已近五年。 “Prince of Persia的活动规模比我们最初预期的更为重大，”SafeBreach的安全研究副总裁托默·巴尔在与The Hacker News分享的技术分析中表示。”这个威胁组织仍然活跃、相关且危险。” 根据Palo Alto Networks Unit 42在2016年5月发布的一份报告，Infy是现存最古老的APT组织之一，其早期活动证据可追溯到2004年12月。该报告由巴尔与研究员西蒙·科南特共同撰写。 该组织也一直保持隐蔽，不像Charming Kitten、MuddyWater和OilRig等其他伊朗组织那样受到较多关注。该组织发起的攻击主要利用了两种恶意软件：一种名为Foudre的下载器和受害者剖析器，用于投递被称为Tonnerre的第二阶段植入程序，以从高价值机器中窃取数据。据评估，Foudre是通过钓鱼邮件传播的。 SafeBreach的最新发现揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽活动，活动中使用了更新版本的Foudre和Tonnerre。Tonnerre的最新版本于2025年9月被检测到。 攻击链也发生了变化，从使用包含宏的Microsoft Excel文件，转向在此类文档中嵌入可执行文件来安装Foudre。或许该威胁行为者最引人注目的手法是使用域名生成算法，以使其命令与控制基础设施更具韧性。 此外，已知Foudre和Tonnerre的组件会通过下载一个RSA签名文件来验证C2域名是否真实，恶意软件随后使用公钥解密该文件，并与本地存储的验证文件进行比较。 SafeBreach对C2基础设施的分析还发现了一个用于C2验证的名为”key”的目录，以及其他用于存储通信日志和窃取文件的文件夹。 “每天，Foudre都会下载一个由威胁行为者用RSA私钥加密的专用签名文件，然后使用内嵌公钥进行RSA验证，以确认该域名是经批准的域名，”巴尔说道。”请求格式为：’https://<域名>/key/<域名><yy><年份中的第几天>.sig’。” C2服务器中还存在一个”download”目录，其当前用途未知，推测可能用于下载并升级到新版本。 另一方面，Tonnerre的最新版本包含一个通过C2服务器联系Telegram群组的机制。该群组有两名成员：一个很可能用于发出命令和收集数据的Telegram机器人”@ttestro1bot”，以及一个用户名为”@ehsan8999100″的用户。 虽然使用即时通讯应用进行C2通信并不罕见，但值得注意的是，关于Telegram群组的信息存储在C2服务器中名为”t”的目录内一个名为”tga.adr”的文件中。需要指出的是，”tga.adr”文件的下载只能为特定的受害者GUID列表触发。 这家网络安全公司还发现了2017年至2020年间在Foudre活动中使用的其他较旧变种： 伪装成Amaq新闻查找器以下载和执行恶意软件的Foudre版本 一种名为MaxPinner的木马新版本，由Foudre第24版DLL下载，用于窥探Telegram内容 一种名为Deep Freeze的恶意软件变体，类似于Amaq新闻查找器，用于感染受害者并投递Foudre 一种名为Rugissement的未知恶意软件 “尽管看似在2022年销声匿迹，但Prince of Persia威胁行为者却恰恰相反，”SafeBreach表示。”我们针对这个多产且隐蔽的组织的持续研究活动，突显了关于他们过去三年活动、C2服务器以及已识别恶意软件变种的关键细节。” 此次披露正值DomainTools对Charming Kitten泄露信息的持续分析描绘出该黑客组织的形象：其运作更像是一个政府部门，同时以”文书般的精准度开展间谍行动”。该威胁行为者还被揭露是Moses Staff身份的幕后操纵者。 “运行德黑兰长期凭证钓鱼行动的同一台行政机器APT 35，也负责运行支持Moses Staff勒索软件活动的后勤工作，”该公司表示。 “所谓的黑客活动分子和政府网络部门不仅共享工具和目标，还使用同一个应付账款系统。宣传部门和间谍部门是单一工作流程的两个产物：同一内部工单制度下的不同’项目’。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，在一起涉及数百万美元的ATM“吐钞”计划中，对54名个人提起指控。 这项大规模合谋涉及部署名为Ploutus的恶意软件入侵美国各地的自动取款机，并强制其吐出现金。据称，被指控的成员是委内瑞拉帮派Tren de Aragua的一部分，该帮派已被美国国务院指定为外国恐怖组织。 2025年7月，美国政府宣布对该组织头目赫克托·拉斯特福德·格雷罗·弗洛雷斯及其他五名关键成员实施制裁，原因是他们参与了“非法毒品贸易、人口走私和贩卖、勒索、对妇女和儿童的性剥削以及洗钱等犯罪活动”。 美国司法部表示，2025年12月9日提交的一份起诉书指控22人涉嫌犯有银行诈骗、入室盗窃和洗钱罪。检察官还称，TdA利用“吐钞”计划在美国吸走数百万美元，并在其成员及同伙之间转移非法所得。 另外32人则在2025年10月21日提交的另一份相关起诉书中被指控，罪名包括“一项合谋实施银行诈骗罪、一项合谋实施银行入室盗窃和计算机诈骗罪、18项银行诈骗罪、18项银行入室盗窃罪以及18项破坏计算机罪”。 如果罪名成立，被告可能面临最高20年至335年不等的监禁。 “这些被告采用有条不紊的监视和入室盗窃技术将恶意软件安装到ATM机中，然后从机器中窃取并清洗资金，部分目的是为指定的外国恐怖组织TDA的恐怖活动及其他影响广泛的犯罪活动提供资金，”司法部刑事司代理助理检察长马修·R·加莱奥蒂表示。 据称，该“吐钞”行动依赖TdA在全国范围内招募数量不详的人员来部署恶意软件。这些人会先进行初步侦察，评估各ATM机的外部安全措施，然后尝试打开ATM机的外盖，以检查是否触发了警报或执法部门的反应。 完成此步骤后，威胁行为者会安装Ploutus恶意软件，方法要么是更换已预装恶意程序的硬盘，要么是连接可移动U盘。该恶意软件能够发出与ATM机现金取款模块相关的未经授权命令，从而强制提取现金。 “Ploutus恶意软件还被设计用来删除恶意软件的证据，以试图隐藏、制造假象、误导或以其他方式欺骗银行和信用合作社的员工，使其无法得知ATM机上已部署恶意软件，”司法部表示。“然后，合谋成员会按预定比例分赃。” Ploutus于2013年在墨西哥首次被发现。赛门铁克在2014年的一份报告中详细介绍了如何利用基于Windows XP的ATM机的弱点，使网络犯罪分子仅通过向被入侵的ATM机发送短信即可提取现金。FireEye在2017年的一项后续分析中，详细说明了其控制Diebold品牌ATM机以及在各种Windows版本上运行的能力。 “一旦部署到ATM机上，Ploutus-D能使‘钱骡’在几分钟内获取数千美元，”当时解释道。“‘钱骡’必须拥有打开ATM机顶部（或能够撬开）的主钥匙、连接机器的物理键盘以及一个激活码（由负责行动的‘老板’提供），才能让ATM机吐出现金。” 据该机构称，自2021年以来，美国共记录了1529起“吐钞”事件，截至2025年8月，该国际犯罪网络已造成约4073万美元损失。 “这一合谋导致全美ATM机被掏空了数百万美元，据称这些钱流向了Tren de Aragua的头目，用于资助他们的恐怖活动和目的，”美国检察官莱斯利·伍兹表示。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文