据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77 家加密货币交易所和银行应用程序的凭证，涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。 据发现恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 （MaaS） 平台运行，每月的使用价格为3000美元。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其一个僵尸网络的分析显示，英国、意大利、法国、土耳其和德国发生了 776 起感染活动，表明其存在显著活跃的迹象，且该恶意软件似乎仍在积极开发中。目前，一些比较典型的凭证窃取对象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。 DroidBot 的开发人员可能是土耳其人，为威胁组织提供进行攻击所需的所有工具，包括恶意软件构建器、命令和控制 （C2） 服务器以及中央管理面板，可以从目标那里控制其操作、检索被盗数据和发出命令。通过对一个C2 基础设施的分析，已有17个威胁组织在使用该恶意软件。 DroidBot 的后台面板 有效负载构建器允许威胁组织自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址，此外还可以访问详细的文档、获得恶意软件创建者的支持，并访问定期发布更新的 Telegram 频道。 总而言之，DroidBot MaaS 操作使没有经验或技能较低的网络犯罪分子的进入门槛相当低。 模仿热门应用 DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”，以诱骗用户安装恶意应用程序，主要功能包括： 键盘记录 – 捕获受害者输入的每次击键。 叠加 – 在合法的银行应用程序界面上显示虚假登录页面。 SMS interception （SMS 拦截）– 劫持传入的 SMS 消息，尤其是那些包含用于银行登录的一次性密码 （OTP） 的消息。 虚拟网络计算– VNC 模块使威胁组织能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。 要实现上述恶意功能，一个关键要素也在于DroidBot能够滥用 Android 的辅助功能服务来监控用户操作，并代表恶意软件模拟滑动和点击。因此，如果用户安装的应用程序请求非必要且敏感的权限，应该提高警惕并拒绝相关请求。 此外，建议安卓用户仅从官方应用商店下载程序，在安装时仔细检查权限请求，并确保 Play Protect 在其设备上处于活动状态。       转自Freebuf，原文链接：https://www.freebuf.com/news/417038.html 封面来源于网络，如有侵权请联系删除

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。 Trellix 研究人员发现了一个恶意软件活动，该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。 这种策略会破坏受信任的内核模式驱动程序，将其转变为终止保护进程和破坏受感染系统的工具。 威胁组织针对多种安全产品，包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。 Trellix 发布的报告指出：“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。 恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。” “一旦合法的内核驱动程序被删除，恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”，该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后，恶意软件将获得内核级系统访问权限，从而能够终止关键安全进程并控制系统。” Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行，允许恶意软件获得对操作系统的不受限制的访问权限。 该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。 安全专家建议组织实施 BYOVD （自带易受攻击的驱动程序）保护，以保护系统免受使用易受攻击的驱动程序的攻击。 这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限，从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ 封面来源于网络，如有侵权请联系删除

Cisco Talos 最近发现了一个针对欧洲和亚洲政府和教育部门敏感信息的复杂网络活动。该活动由一个讲越南语的威胁分子操纵，利用一种名为 “PXA Stealer ”的新型信息窃取恶意软件。思科的报告显示，PXA Stealer 经过精心设计，可潜入受害者的系统，从网络浏览器和应用程序中窃取一系列关键数据，包括凭证、财务信息和其他敏感信息。 Talos 报告强调：“PXA Stealer 有能力解密受害者的浏览器主密码，并利用它窃取各种在线账户的存储凭证。”这一独特功能使恶意软件能够绕过安全措施，直接访问加密的浏览器数据，让攻击者能够获取用户名、密码、cookie，甚至自动填充信息。 此次活动的目标实体包括印度的教育机构以及瑞典和丹麦等欧洲国家的政府组织。据 Talos 称，“攻击者的动机是窃取受害者的信息，包括各种在线账户的凭证、浏览器登录数据、cookie、自动填充信息、信用卡详细信息、各种加密货币在线和桌面钱包的数据、已安装的 VPN 客户端的数据、游戏软件账户、聊天工具、密码管理器和 FTP 客户端。” 支持 PXA Stealer 的基础架构包括 tvdseo[.]com 等域，这些域疑似已被攻陷或被用于托管恶意有效载荷的合法访问。威胁行为者利用 Telegram 机器人进行数据外渗，有效隐藏并协调敏感数据的传输。Talos 专家发现，“攻击者的 Telegram 账户有传记数据，其中包括一个指向私人杀毒软件检查网站的链接，该网站允许用户或买家评估恶意软件程序的检测率”，这表明这是一种确保 PXA Stealer 不被发现的精心策划的方法。 Cisco Talos 观察到，PXA Stealer 活动开始于一封带有 ZIP 文件附件的钓鱼电子邮件，其中包含一个用 Rust 编写的恶意加载程序。加载程序执行后，会部署多个混淆批脚本，以避免被检测到。Talos 指出，“该过程中的每一步都至关重要，需要精确执行才能实现准确的去混淆”，这凸显了恶意软件传播方式的复杂性。 除了传统的数据窃取，PXA Stealer 还针对流行浏览器中的特定配置文件，提取存储在加密数据库中的登录数据、cookie 和信用卡详细信息。该恶意软件还 “从浏览器的登录数据文件中收集受害者的登录信息”，优先获取与高价值账户相关的信息。     转自安全客，原文链接：https://www.anquanke.com/post/id/301925 封面来源于网络，如有侵权请联系删除

Gen Digital 公司的高级恶意软件研究员 Jan Rubín 最近分析发现，一种名为 Glove Stealer 的新型恶意软件是一种针对大量浏览器数据和本地安装的应用程序的强力信息窃取程序。Glove Stealer 使用 .NET 编写，它采用了一种专注于渗出敏感数据的方法，包括 Cookie、自动填充数据、加密货币钱包和 2FA 身份验证器。 Glove Stealer 严重依赖社交工程策略进行传播。它经常以一种看似有用的工具（如 ClickFix）出现在网络钓鱼活动中，诱使用户以为自己正在排除系统故障。Rubín 解释说：“诸如此类的策略会欺骗用户，让他们以为是在帮助自己，但按照攻击者的指示操作，他们实际上是在无意中感染了自己的设备。” 网络钓鱼邮件通常包含一个模仿虚假错误信息的 HTML 附件，提示用户通过 PowerShell 或运行提示执行恶意脚本。恶意软件本身以编码有效载荷的形式从服务器下载，并最终在服务器上进行数据窃取操作。 Glove Stealer 更为先进的功能之一是能够绕过谷歌 Chrome 浏览器的应用绑定加密（Chrome 浏览器 127 版引入）。为了实现这一功能，Glove Stealer 使用了一个利用 IElevator 服务的专用模块，这是 2024 年 10 月公开披露的一种方法。这种绕过方法允许 Glove Stealer 访问原本受保护的 Chrome 浏览器数据，包括 Cookie 和存储的密码。Rubín 解释说：“这种绕过方法涉及使用 IElevator 服务，”使攻击者能够检索对解密受保护信息至关重要的 App-Bound 密钥。 该模块伪装成 zagent.exe，被战略性地放置在 Chrome 浏览器的 “程序文件 ”目录中。这个位置至关重要，因为 App-Bound 加密会验证调用者进程的路径，这意味着 Glove Stealer 必须拥有本地管理员权限才能成功执行该模块。 Glove Stealer 并不局限于 Chrome 浏览器。它还针对其他流行浏览器，如 Firefox、Edge、Brave，甚至 CryptoTab 等专注于加密货币的浏览器。该恶意软件会系统性地终止浏览器进程，然后以有组织的结构收集数据，并将其保存在名为 Cookies、Autofill、OTP 和 Wallets 的文件夹中。通过这种方法，攻击者可以全面掌握受害者的在线活动和敏感信息。 Glove Stealer 的攻击目标包括加密货币钱包扩展、Google Authenticator 和 LastPass 等 2FA 工具以及 Thunderbird 等电子邮件客户端。 收集数据后，Glove Stealer 会根据受害者最近的文件将其整理到一个唯一的目录路径中，并标记上根据设备名称和序列号生成的 MD5 哈希值。数据收集完成后，将使用 ECB 模式下的 3DES 加密技术对数据进行打包和加密。加密后的数据包会以 Base64 编码文件的形式发送到命令与控制 (C&C) 服务器，为数据外泄过程增加了一层隐蔽性。 Rubín 总结说：“Glove Stealer 能够从 Chrome、Firefox、Edge、Brave 等多种浏览器中窃取各种信息。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301936 封面来源于网络，如有侵权请联系删除

网络犯罪分子一直在寻找绕过安全防御的新方法，据 Perception Point 报道，最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性，允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。 ZIP 文件压缩效率高、使用方便，因此被广泛用于捆绑文件。然而，这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说：“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。 这种规避策略的影响因所使用的 ZIP 阅读器而异： 7zip： 它只显示存档的一部分，通常是良性文件，而潜在的恶意内容仍被隐藏。 WinRAR：这一工具可揭示整个有效载荷，同时暴露良性和恶意内容。 Windows 文件资源管理器： 它很难处理连接的 ZIP 文件，用户往往看不到隐藏的内容。 Perception Point 强调指出，这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的，“许多安全厂商依赖于流行的 ZIP 处理程序，如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。” Perception Point 的分析发现了一个钓鱼电子邮件活动，该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开，就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入，能够下载额外的恶意有效载荷，有可能导致严重的系统危害。 Perception Point 推出了 “递归解包器”，这是一种专有的反规避算法，能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层，Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301742 封面来源于网络，如有侵权请联系删除  

图片来源：安全客 趋势科技研究公司的一份最新报告指出，巴西出现了一种鱼叉式网络钓鱼活动，该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件，以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”，他们采用了复杂的技术来逃避检测，对该地区的制造企业、零售企业和政府机构构成了严重威胁。 该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始，这种策略旨在引诱毫无戒心的用户。报告称，“这些电子邮件的附件通常伪装成个人所得税文件”，而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”（违规通知），诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后，会通过 mshta.exe 工具运行嵌入的 JavaScript 命令，而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。 最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片： 趋势科技研究 趋势科技研究人员解释说：“除了 LNK 文件外，ZIP 文件还包含另一个文件，其中有类似的混淆 JavaScript 命令，”这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。 该活动的核心是 Astaroth，这是一种臭名昭著的银行木马，可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它就会造成长期破坏，不仅包括数据盗窃，还包括监管罚款、业务中断和失去消费者信任。 报告说：“虽然 Astaroth 看起来像是一个古老的银行木马，但它的再次出现和持续演化使其成为一个持久的威胁。” Water Makara 采用了先进的混淆技术，使检测变得困难。研究人员发现，编码后的 JavaScript 命令会指向恶意 URL，如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA)，这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。 巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出：“鱼叉式网络钓鱼活动主要针对巴西的公司，其中受影响最大的是制造公司、零售公司和政府机构。” 报告总结道：“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件，这凸显了人类意识的关键作用。” 随着巴西继续面临来自复杂网络行为者的日益严重的威胁，防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法，将技术防御与强大的用户教育相结合。     转自安全客，原文链接：https://www.anquanke.com/post/id/300950 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。 Zimperium 和 Cleafy 均报道了此消息。 TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。 新版 TrickMo 利用虚假锁屏窃取安卓密码 新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。 该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。 该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。 攻击中使用的银行业务覆盖，来源：Zimperium Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。 Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。 当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 展示的伪造安卓锁屏，来源：Zimperium 通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。 暴露的受害者 由于 C2 基础设施的安全防护不当，Zimperium 还能够确定至少有 13000 名受害者受到了该恶意软件的影响，其中大部分位于加拿大，还有相当数量的受害者位于阿拉伯联合酋长国、土耳其和德国。 TrickMo 受害者热图，来源：Zimperium 据 Zimperium 称，这一数字与 “多个 C2 服务器 ”相对应，因此 TrickMo 受害者的总数可能更高。另外，分析发现，每当恶意软件成功渗出凭证时，IP列表文件就会定期更新。在这些文件中，研究人员发现了数以百万计的记录，这表明被入侵的设备数量庞大，威胁行为者访问了大量敏感数据。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标。Zimperium 现在选择在 GitHub 存储库中发布所有信息。 然而，TrickMo 的目标范围似乎足够广泛，涵盖了银行以外的应用程序类型（和账户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标，但 Zimperium 现在选择在 GitHub 存储库中发布所有信息。 据悉，TrickMo 目前是通过网络钓鱼传播的，因此为了尽量减少感染的可能性，应避免从不认识的人通过短信或直接消息发送的 URL 下载 APK。 Google Play Protect 可以识别并阻止 TrickMo 的已知变种，因此确保它在设备上处于激活状态对于抵御恶意软件至关重要。 参考来源：TrickMo malware steals Android PINs using fake lock screen (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412834.html 封面来源于网络，如有侵权请联系删除