HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个臭名昭著的关联俄罗斯勒索软件团伙声称，已从意大利最大的工业气体生产商之一窃取 159GB 数据，并已启动公开泄露倒计时。 这起勒索软件攻击的幕后黑手是关联俄罗斯的网络犯罪团伙 “珠穆朗玛峰集团”（Everest Group），该团伙已在暗网的泄露站点上将西亚德集团（SIAD Group）列为受害者。 西亚德集团是意大利领先的化工及工业气体公司，生产和分销应用于食品、医疗、汽车、冶金和化工制造等多个行业的气体产品。其业务还包括液化石油气（LPG）和天然气供应。 除气体生产外，该公司还研发气体处理设备、压缩机和自动化系统，并提供家庭及医院医疗保健服务。西亚德集团于 1927 年在贝加莫成立，2024 年营业额超过 11 亿欧元。 目前，该团伙尚未发布数据样本佐证其说法。受害者站点上的帖子包含一个计时器，显示该公司需在 8 天内联系网络犯罪分子，否则被盗数据将被公开。 西亚德集团勒索软件攻击事件 勒索软件团伙常将受害者列在暗网泄露站点上，试图通过勒索迫使企业支付赎金。 此次潜在数据泄露的影响范围和后果目前尚无法确定。 “尚未有任何证据上传，因此我们不清楚哪些系统可能受到影响，”Cybernews 研究人员表示。 “由于西亚德集团是多种工业耗材的主要供应商，若勒索软件攻击导致其生产运营中断，可能会使其无法向客户交付所需耗材，进而对欧盟地区的制造业、医疗保健和能源行业造成一定程度的干扰，” 研究人员补充道。 Cybernews 已联系该公司寻求说明，但尚未收到回应。 珠穆朗玛峰集团（Everest Group）是谁？ 珠穆朗玛峰集团大概率关联俄罗斯，于 2021 年 7 月首次现身。该团伙今年发动的最具破坏性攻击瞄准了航空业。 他们声称入侵了柯林斯航空航天公司（Collins Aerospace）及其 MUSE 值机软件 —— 这款软件用于机场值机和乘客管理。 此次攻击影响了欧洲多个主要机场，导致连续数日的出行混乱。随后，该团伙威胁要泄露与柯林斯航空航天公司入侵事件相关的都柏林机场乘客数据。 今年 9 月，该团伙声称宝马集团（BMW）遭其攻击，还宣称入侵了德国第二大银行德国中央合作银行（DZ Bank）的一家子公司，并威胁泄露被盗数据，但该银行否认发生过任何攻击事件。 7 月，该集团声称攻击了知名电子邮件营销平台 Mailchimp，窃取了一批 “公司内部文件”，但部分安全圈内人士称这些文件只是 “零星碎片”。 该团伙被认为与 BlackByte 勒索软件集团存在关联。5 月 22 日，珠穆朗玛峰集团将目标对准可口可乐中东分部，最终泄露了该公司多个配送中心近 1000 名员工的数据。 据悉，这起攻击似乎是针对全球最大可口可乐装瓶商 “可口可乐欧洲太平洋合作伙伴公司” 的大规模攻击的一部分，勒索软件团伙声称窃取了约 2300 万条记录。 在攻击可口可乐后数日，珠穆朗玛峰集团又声称攻击了知名国际私立医院集团 Mediclinic（在阿联酋设有分院）、阿布扎比文化和旅游部，以及约旦科威特银行（JKB）。 此外，该团伙还曾在 2022 年 10 月攻击美国电话电报公司（AT&T），据称当时试图出售 AT&T 整个企业网络的访问权限；2024 年秋季，还攻击了丽笙乡村旅馆及套房连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “Fantasy Hub” 的新型安卓远程访问木马（RAT）。该恶意软件以 “恶意软件即服务（MaaS）” 模式，在俄语 Telegram 频道上售卖。 据卖家介绍，这款恶意软件可实现设备控制与窃密功能，能让威胁者收集短信、联系人、通话记录、图片和视频，还可拦截、回复及删除 incoming 通知。 Zimperium 研究员维什努・普拉塔帕吉里在上周的报告中表示：“它是一款配备卖家文档、视频教程和机器人驱动订阅模式的 MaaS 产品，降低了入门门槛，方便新手攻击者使用。” “由于它瞄准金融操作流程（伪造银行弹窗）并滥用短信处理权限（拦截双因素认证短信），因此对采用自带设备办公（BYOD）的企业客户，以及员工依赖移动银行或敏感移动应用的任何组织，都构成直接威胁。” 该威胁者在 Fantasy Hub 的广告中，将受害者称为 “猛犸象”—— 这一术语常被俄语区 Telegram 网络犯罪分子使用。 这款网络犯罪工具的买家会收到相关指导，包括创建用于分发的伪造谷歌应用商店（Google Play Store）落地页，以及绕过限制的步骤。潜在买家可自定义图标、名称和页面内容，获得外观精美的伪装页面。 管理付费订阅和生成器访问权限的机器人，还支持威胁者上传任意 APK 文件，随后返回嵌入恶意有效载荷的篡改版本。该服务的订阅方案为：单用户（即一个活跃会话）每周 200 美元、每月 500 美元，也可选择每年 4500 美元的年度订阅。 与该恶意软件关联的命令与控制（C2）面板，会显示受攻陷设备的详细信息及订阅状态，还能让攻击者下发指令收集各类数据。 Zimperium 指出：“卖家指导买家创建机器人、获取聊天 ID 并配置令牌，将普通警报和高优先级警报路由至不同聊天窗口。这种设计与上月披露的安卓 RAT‘HyperRat’高度相似。” 这款恶意软件借鉴了 ClayRAT 的手法，滥用默认短信权限获取短信、联系人、相机和文件访问权。它会诱导用户将其设为默认短信处理应用，从而一次性获取多项高级权限，无需在运行时逐一申请。 已发现的投放程序（dropper app）会伪装成谷歌应用商店更新，以营造合法性，诱骗用户授予必要权限。除了通过伪造弹窗窃取阿尔法银行（Alfa）、PSB 银行、T 银行（T-Bank）和俄罗斯联邦储蓄银行（Sberbank）等俄罗斯金融机构的银行凭证外，这款间谍软件还借助开源项目，通过 WebRTC 实时流式传输摄像头和麦克风内容。 普拉塔帕吉里表示：“Fantasy Hub 这类 MaaS 服务的快速崛起，表明攻击者能轻易利用安卓合法组件实现设备完全攻陷。与仅依赖弹窗的老式银行木马不同，Fantasy Hub 整合了原生投放程序、基于 WebRTC 的实时流传输和短信处理权限滥用功能，可实时窃取数据并伪装成合法应用。” 与此同时，Zscaler ThreatLabz 披露，受精密间谍软件和银行木马推动，安卓恶意软件交易同比增长 67%。2024 年 6 月至 2025 年 5 月期间，谷歌应用商店已标记出 239 款恶意应用，总下载量达 4200 万次。 同期观测到的知名安卓恶意软件家族包括 Anatsa（又称 TeaBot、Toddler）、Void（又称 Vo1d），以及一款名为 Xnotice 的新型安卓 RAT。该木马伪装成招聘应用，通过虚假招聘网站分发，专门针对中东和北非地区石油天然气行业的求职者。 这些恶意软件安装后，会通过弹窗窃取银行凭证，并收集多因素认证（MFA）码、短信和截图等其他敏感数据。 Zscaler 表示：“威胁者部署了 Anatsa、ERMAC 和 TrickMo 等精密银行木马，这些木马常伪装成合法工具或办公应用，出现在官方应用商店和第三方应用商店中。安装后，它们会采用高度欺骗性技术，窃取交易授权所需的用户名、密码乃至双因素认证（2FA）码。” 此前，波兰计算机应急响应小组（CERT Polska）也曾发布预警，提醒一款名为 NGate（又称 NFSkate）的安卓恶意软件新样本。该木马针对波兰银行用户，通过近场通信（NFC）中继攻击窃取银行卡信息。恶意应用链接通过钓鱼邮件或短信分发，这些信息伪称来自银行，以 “技术问题” 或 “安全事件” 为由，诱导用户安装应用。 受害者启动该应用后，会被要求将支付卡贴近安卓设备背面，在应用内直接验证。而这一操作会导致应用秘密捕获银行卡的 NFC 数据，并将其窃取至攻击者控制的服务器，或直接发送至攻击者安装的配套应用，以便在 ATM 机取现。 该机构表示：“此次攻击活动旨在利用受害者自身的支付卡，在 ATM 机进行未授权取现。犯罪分子无需物理盗取银行卡，只需将受害者安卓手机中的 NFC 流量，中继至攻击者在 ATM 机旁控制的设备即可。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Huntress 的最新调查结果显示，曾在今年 3 月出现活动激增的 GootLoader 恶意软件，在短暂沉寂后再度卷土重来。 这家网络安全公司表示，自 2025 年 10 月 27 日以来，已监测到三起 GootLoader 感染事件。其中两起导致攻击者手动入侵，且在初始感染后的 17 小时内就攻陷了域控制器。 安全研究员安娜・范指出：“GootLoader 回来了，如今它利用自定义 WOFF2 字体和字形替换技术混淆文件名。” 她补充道，该恶意软件 “利用 WordPress 评论端点，投递采用 XOR 加密的 ZIP 有效载荷，每个文件都配有唯一密钥”。 GootLoader 与代号为 Hive0127（又称 UNC2565）的威胁 actor 相关联，是一款基于 JavaScript 的恶意软件加载器。它常通过搜索引擎优化（SEO）投毒策略传播，用于投递勒索软件等其他有效载荷。 微软在去年 9 月发布的报告中披露，代号为 Vanilla Tempest 的威胁 actor 会接手 Storm-0494 通过 GootLoader 感染获取的访问权限，部署名为 Supper（又称 SocksShell 或 ZAPCAT）的后门程序，以及用于远程访问的 AnyDesk。这些攻击链最终会导致 INC 勒索软件的部署。 值得注意的是，Supper 还被发现与 Interlock 远程访问木马（RAT，又称 NodeSnake）存在关联 —— 后者主要与 Interlock 勒索软件相关联。Forescout 上月指出：“虽然没有直接证据表明 Interlock 使用 Supper，但 Interlock 和 Vice Society 都曾在不同时期与 Rhysida 勒索软件有关联，这表明在更广泛的网络犯罪生态系统中可能存在交集。” 今年早些时候，研究人员发现 GootLoader 背后的威胁 actor 曾利用谷歌广告，针对在搜索引擎上查找协议等法律模板的受害者，将其重定向至托管恶意 ZIP 压缩包的受攻陷 WordPress 站点。 Huntress 记录的最新攻击流程显示，攻击者利用必应（Bing）上 “密苏里州公用设施地役权道路保障” 等搜索词条，将毫无防备的用户引导至恶意 ZIP 压缩包的下载页面。此次攻击的显著特征是使用自定义网页字体，混淆浏览器中显示的文件名，以规避静态分析检测。 范解释道：“当用户试图复制文件名或查看源代码时，会看到诸如‘›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O [™€v3cwv,,’ 之类的怪异字符。” “但这些字符在受害者的浏览器中渲染时，会神奇地转化为完全可读的文本，比如‘Florida_HOA_Committee_Meeting_Guide.pdf’。这一效果通过自定义 WOFF2 字体文件实现 ——GootLoader 利用 Z85 编码（一种 Base85 变体，可将 32KB 的字体压缩至 40KB），将该字体文件直接嵌入页面的 JavaScript 代码中。” 研究人员还发现了一项新的规避技巧：恶意软件会修改 ZIP 文件，使其在通过 VirusTotal、Python ZIP 工具或 7-Zip 等工具打开时，解压出看似无害的.TXT 文件。而在 Windows 文件资源管理器中，该压缩包会提取出真正的目标有效载荷 —— 一个合法的 JavaScript 文件。 一位长期以 “GootLoader” 为化名追踪该恶意软件的安全研究员，在谈及此次技术演进时表示：“这种简单的规避技术通过向自动化分析工具隐藏有效载荷的真实性质，为攻击者争取了时间。” 压缩包中的 JavaScript 有效载荷用于部署 Supper 后门程序，该程序具备远程控制和 SOCKS5 代理功能。据称，在至少一起事件中，威胁 actor 利用 Windows 远程管理（WinRM）横向移动至域控制器，并创建了一个拥有管理员级权限的新用户。 Huntress 表示：“Supper SOCKS5 后门采用繁琐的混淆技术保护简单功能 ——API 滥用、运行时 shellcode 构建和自定义加密给分析工作带来了麻烦，但核心功能刻意保持基础：SOCKS 代理和远程 shell 访问。” “这种‘足够好用’的策略表明，当经过适当混淆的基础工具能够实现目标时，威胁 actor 并不需要尖端漏洞利用技术。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员发现一款名为 Coyote 的银行恶意软件，与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。 根据 CyberProof 的报告，这两款恶意软件均采用.NET 编写，以巴西用户和银行为攻击目标，具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是，两者都能通过 WhatsApp 网页版传播。 Maverick 于上月初由趋势科技首次记录在案，其攻击方被命名为 “水萨西”（Water Saci）。该攻击活动包含两个组件：一款名为 SORVEPOTEL 的自传播恶意软件，通过 WhatsApp 桌面网页版扩散，用于投递包含 Maverick 有效载荷的 ZIP 压缩包。 这款恶意软件会监控浏览器活动标签页，识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL，它会与远程服务器建立连接，获取后续指令以收集系统信息，并推送钓鱼页面窃取凭证。 网络安全公司 Sophos 在后续报告中率先提出疑问，认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关，且 Maverick 可能是 Coyote 的升级版。卡巴斯基（Kaspersky）的另一项分析发现，Maverick 与 Coyote 存在大量代码重叠，但仍将其视为针对巴西的全新大规模威胁。 CyberProof 的最新调查结果显示，该 ZIP 文件包含一个 Windows 快捷方式（LNK 文件）。用户启动该快捷方式后，会运行 cmd.exe 或 PowerShell 连接外部服务器（zapgrande [.] com），下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具，禁用微软 Defender 杀毒软件和用户账户控制（UAC），并获取.NET 加载器。 该加载器具备反分析技术，会检测逆向工程工具的存在，一旦发现便自动终止运行。随后加载器会下载攻击的核心模块：SORVEPOTEL 和 Maverick。值得注意的是，Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式，确认受害者位于巴西后才会安装。 CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店，表明其攻击目标可能正在扩大。 与此同时，趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制（C2）架构，依赖多向量持久化技术保障攻击韧性，并整合多项高级检测规避机制，提升操作隐蔽性，且仅在葡萄牙语系统中执行。 这家网络安全公司在上月末发布的报告中表示：“新攻击链还配备了复杂的远程命令与控制系统，允许攻击者进行实时管理，包括暂停、恢复和监控恶意软件活动，将受感染设备有效转化为僵尸网络工具，实现跨多个端点的协同动态操作。” 该感染流程未使用.NET 二进制文件，而是采用 Visual Basic 脚本（VBScript）和 PowerShell 劫持 WhatsApp 浏览器会话，并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似，WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。 攻击触发机制为用户下载并解压 ZIP 压缩包，其中包含一个经过混淆处理的 VBS 下载器（“Orcamento.vbs”，即 SORVEPOTEL）。该下载器会执行一条 PowerShell 命令，直接在内存中下载并运行 PowerShell 脚本（“tadeu.ps1”）。 该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话，向账户关联的所有联系人分发恶意 ZIP 文件，同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗，掩盖其恶意意图。此外，该脚本还会连接 C2 服务器，获取消息模板并窃取联系人列表。 趋势科技指出：“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净，随后将受害者的合法 Chrome 配置文件数据（包括 Cookie、认证令牌和已保存的浏览器会话）复制到其临时工作目录。” “这种技术能够完全绕过 WhatsApp 网页版的认证机制，无需扫描二维码或触发安全警报，即可直接访问受害者的 WhatsApp 账户。” 该公司补充称，这款恶意软件还内置了复杂的远程控制机制，允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程，使其成为能够像僵尸网络一样控制受感染主机的恶意程序。 在 ZIP 文件的实际分发过程中，PowerShell 代码会遍历所有窃取的联系人，发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量，插入基于时间的问候语和联系人姓名生成。 SORVEPOTEL 的另一大显著特征是，它未使用传统的基于 HTTP 的通信方式，而是利用硬编码的电子邮件凭证，通过 IMAP 协议连接terra.com[.] br 邮箱账户，获取攻击指令。部分此类账户已启用多因素认证（MFA）以防范未授权访问。 网络安全与基础设施安全局（CIS）构建工具包 据称，这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱，获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器，获取攻击指令。支持的指令列表如下： INFO：收集详细系统信息 CMD：通过 cmd.exe 运行命令，并将执行结果导出至临时文件 POWERSHELL：运行 PowerShell 命令 SCREENSHOT：截取屏幕截图 TASKLIST：枚举所有运行中的进程 KILL：终止特定进程 LIST_FILES：枚举文件 / 文件夹 DOWNLOAD_FILE：从受感染系统下载文件 UPLOAD_FILE：向受感染系统上传文件 DELETE：删除特定文件 / 文件夹 RENAME：重命名文件 / 文件夹 COPY：复制文件 / 文件夹 MOVE：移动文件 / 文件夹 FILE_INFO：获取文件的详细元数据 SEARCH：递归搜索匹配指定模式的文件 CREATE_FOLDER：创建文件夹 REBOOT：30 秒延迟后重启系统 SHUTDOWN：30 秒延迟后关闭系统 UPDATE：下载并安装自身更新版本 CHECK_EMAIL：检查攻击者控制的邮箱，获取新的 C2 服务器 URL WhatsApp 在巴西拥有超过 1.48 亿活跃用户，是全球第二大市场（仅次于印度），其广泛普及成为该攻击活动大规模扩散的关键推手。 趋势科技表示：“攻击方式及战术的持续演进，加之区域定向攻击特征，表明‘水萨西’很可能与 Coyote 存在关联，且这两个攻击活动均隶属于同一巴西网络犯罪生态系统。” 该公司形容攻击者在 “数量和质量上都极具攻击性”。 “将‘水萨西’攻击活动与 Coyote 关联后，我们发现银行木马的传播方式已发生重大转变。攻击者已从依赖传统有效载荷，转向利用合法浏览器配置文件和即时通讯平台，实施隐蔽且可规模化的攻击。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 得克萨斯州总检察长肯・帕克斯顿已对在线游戏平台 Roblox 提起诉讼，指控其将儿童置于危险之中，且无视网络安全相关法律。 帕克斯顿于 11 月 6 日在 X 平台（原推特）宣布了该诉讼，称自己 “起诉 Roblox 是因为其将虚拟世界中的恋童癖者和商业利润置于得州儿童的安全之上”。 “我们绝不能允许像 Roblox 这样的平台继续沦为捕食者的数字游乐场 —— 在那里，孩子们的福祉被献祭给企业贪婪的祭坛。” 帕克斯顿补充道。 该诉讼详细指出，Roblox 已成为 “捕食者的滋生地”，使儿童面临多种网络伤害，包括 “色情内容、性剥削及诱导侵害”。 诉讼解释，捕食者会在儿童玩游戏时主动接触他们，随后在私人聊天中进行诱导，最终试图在网络上或现实中伤害儿童。此外，捕食者还会以平台虚拟货币 “罗布克斯（Robux）” 为诱饵吸引儿童，而这种虚拟货币极易让人上瘾。 诉讼还提及 “764” 威胁组织的活动，该组织专门剥削儿童并传播色情内容。诉讼称，Roblox 非但未采取行动，反而 “欺诈性地” 将自身平台宣传为对儿童安全无害。 帕克斯顿此前曾对 TikTok 提起类似诉讼，指控该平台未经家长同意就分享儿童的敏感个人信息，违反了得克萨斯州法律。 过去几个月里，Roblox 已遭到美国多个州的起诉。路易斯安那州总检察长莉兹・默里尔（Liz Murrill）以 “缺乏安全协议，危及路易斯安那州儿童安全” 为由起诉该平台；肯塔基州总检察长拉塞尔・科尔曼（Russell Coleman）则因平台让儿童接触暴力或色情场景对其提起诉讼。 Roblox 向哥伦比亚广播公司新闻（CBS News）表示，该诉讼基于 “耸人听闻、过时且断章取义的信息”。 “目前，我们尚未收到总检察长办公室关于我们平台或安全功能的任何联系，但我们欢迎与总检察长办公室及所有政策制定者进行直接对话，以确保他们清楚了解 Roblox 为保护用户安全所做的一切。”Roblox 在电子邮件声明中称，“保障儿童网络安全需要全行业的协作努力，我们对此表示欢迎。”   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家医疗技术公司近日成为勒索攻击目标，黑客威胁称若不支付赎金将公开超过120万条患者医疗记录。据称失窃数据包含从诊断结果到检查总结在内的全方位敏感医疗信息。 网络犯罪分子在某知名数据泄露论坛上公开宣布此次攻击，声称近期从为医生提供计费服务的Doctor Alliance公司窃取了这些数据。Cybernews研究团队对攻击者公布的200MB数据样本进行分析后确认，其中包含各类高度敏感的医疗记录： 处方笺与治疗方案 检查总结与医院订单 患者姓名、家庭住址、电话号码 医保理赔编号 具体诊断信息 接诊医生姓名 研究团队警告：“此类医疗数据泄露使患者面临严重的身份盗用和医疗欺诈风险，例如冒用受害者名义获取医疗服务或处方药物。医患双方都可能成为社交工程攻击的目标。” 更严重的是，与可重置的密码或信用卡不同，医疗和生物特征数据具有不可再生性，一旦泄露将造成永久性隐私暴露。医疗数据在网络黑市中价值极高，犯罪分子常利用这些信息提交虚假医疗索赔，甚至非法购买处方药物。 总部位于达拉斯的Doctor Alliance公司与多家美国医疗机构保持合作，包括Intrepid、AccentCare、Carter、Interim等知名企业。该公司宣称过去15年间已协助签署数百万份医疗文件。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 供应链安全公司Socket近日发现九个由”shanhai666″发布的恶意NuGet软件包，这些在2023至2024年间发布的软件包已被下载9，488次，其内预置的延时攻击载荷将在2027年8月至2028年11月期间陆续激活，目标直指数据库与工业控制系统。 研究人员指出，最具危害性的Sharp7Extend软件包采用双重破坏机制针对工业PLC：安装后立即随机终止进程，并在30-90分钟后开始引发静默写入故障，直接影响制造环境中的安全关键系统。这些软件包中99%均包含完全正常的功能代码以掩盖恶意行为。 恶意软件包完整名单包括： SqlUnicorn.Core、SqlDbRepository、SqlLiteRepository、SqlUnicornCoreTest、SqlUnicornCore、SqlRepository、MyDbRepository、MCDbRepository、Sharp7Extend。 攻击手法上，恶意包通过名为Sharp7Extend的仿冒组件捆绑正版Sharp7库与隐藏恶意代码，利用C#扩展方法（.Exec和.BeginTran）截获操作指令。攻击触发器经过精心设计：SQL Server版本将于2027年8月8日激活，其他数据库版本于2028年11月29日激活，而Sharp7Extend则立即激活并持续运行至2028年6月6日。 特别值得关注的是，Sharp7Extend在30-90分钟潜伏期后，将以80%的概率令写入操作静默失败，影响执行器、设定点、安全系统与生产控制。这种随机崩溃与隐藏数据损坏的组合机制使得攻击极难被察觉。 该活动展现出NuGet供应链攻击中罕见的精密特性：从安装到触发最长可达三年的时差，结合20%概率执行机制，使得系统故障极易被误判为随机崩溃或硬件问题。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，针对Visual Studio Code生态系统的GlassWorm恶意软件活动再现新动向。三款仍可下载的VS Code扩展被发现植入该恶意代码，总安装量已近万次。 涉事扩展包括： ai-driven-dev.ai-driven-dev（3，402次下载） adhamu.history-in-sublime-merge（4，057次下载） yasuyuky.transient-emacs（2，431次下载） GlassWorm攻击活动最初由Koi Security于上月末披露，其独特之处在于使用不可见Unicode字符隐藏恶意代码，并通过窃取的凭证进一步入侵其他扩展，形成类似蠕虫的自我复制传播循环。该恶意软件主要窃取Open VSX、GitHub和Git凭证，盗取49款加密货币钱包扩展资金，并投放远程访问工具。 尽管Open VSX注册中心已于10月21日下架所有恶意扩展并撤销相关令牌，但Koi Security最新报告显示，攻击者通过向Solana区块链提交新交易，成功更新了命令与控制（C2）服务器地址。研究人员指出：”这彰显了基于区块链的C2基础设施韧性——即使载荷服务器被关闭，攻击者仅需支付极低成本提交新交易，所有受感染机器就会自动获取新地址。” 安全厂商还意外发现攻击者服务器上暴露的端点信息，受害者名单涵盖美国、南美、欧洲和亚洲等多个地区，其中包括中东某主要政府机构。通过对攻击者机器上获取的键盘记录数据进行分析，研究人员判定威胁行为主体使用俄语，并采用开源浏览器扩展C2框架RedExt作为其基础设施组成部分。 Koi Security警告：”这些受害组织与个人的凭证已被窃取，其机器可能正在为犯罪活动提供代理基础设施，内部网络或已遭渗透。”与此同时，Aikido Security最新研究显示，GlassWorm已扩大攻击范围开始针对GitHub，被窃凭证正被用于向代码库推送恶意提交。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件，诱骗酒店经理点击伪造的验证页面，进而部署名为PureRAT的远程访问木马。 据法国安全公司Sekoia分析，该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户，向多家酒店发送精心伪造的邮件，将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制，最终诱使用户执行恶意PowerShell命令。 攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能，并通过.NET Reactor进行混淆保护，还通过注册表实现持久化驻留。 更严重的是，攻击得手后，犯罪分子会利用窃取的酒店预订平台账户，通过WhatsApp或邮件联系真实客户，以”确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面，进而窃取银行卡信息。 调查发现，犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息，甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人，以及提供人工验号服务的黑产供应商。 值得注意的是，ClickFix攻击页面近期持续升级，新增嵌入式视频、倒计时器和”近期验证用户”计数器等元素，还能根据受害者操作系统自动显示对应指令，并采用剪贴板劫持技术自动复制恶意代码。 Push安全公司警告称：”ClickFix页面正变得日益精密，有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样，还不断演化出规避安全检测的新手法。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文