卡巴斯基安全研究人员发现，钉钉和微信等中国即时通讯应用的用户是苹果 macOS 版后门HZ RAT的目标。 卡巴斯基研究员 Sergey Puzan表示，这些文件“几乎完全复制了 Windows 版后门的功能，仅在于有效载荷有所不同，该载荷以来自攻击者服务器的 shell 脚本的形式接收” 。 HZ RAT于 2022 年 11 月首次由德国网络安全公司 DCSO 记录，该恶意软件通过自解压 zip 档案或恶意 RTF 文档进行分发，据推测是使用Royal Road RTF 武器化器构建的。 涉及 RTF 文档的攻击链旨在通过利用公式编辑器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 来部署在受感染主机上执行的 Windows 版本的恶意软件。 另一方面，第二种分发方法伪装成合法软件（如 OpenVPN、PuTTYgen 或 EasyConnect）的安装程序，除了实际安装诱饵程序外，还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。 HZ RAT 的功能相当简单，它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送心跳信息。 鉴于该工具的功能有限，人们怀疑该恶意软件主要用于凭证收集和系统侦察活动。 证据表明，早在 2020 年 6 月，该恶意软件的首次迭代就已在野外被发现。根据 DCSO 的说法，该活动本身被认为至少从 2020 年 10 月开始活跃。 卡巴斯基发现的最新样本于 2023 年 7 月上传到 VirusTotal，它冒充了 OpenVPN Connect（“OpenVPNConnect.pkg”），一旦启动，就会与后门中指定的 C2 服务器建立联系，运行与 Windows 版本类似的四个基本命令: 执行 shell     命令（例如系统信息、本地 IP 地址、已安装应用程序列表、来自钉钉、Google 密码管理器和微信的数据） 将文件写入磁盘 发送文件到 C2 服务器 检查受害者的可用性 它于 2023 年 7 月被上传到 VirusTotal，在研究时，与其他后门样本一样，没有被任何供应商检测到。安装程序采用合法“OpenVPN Connect”应用程序的包装器形式，而 MacOS 软件包目录 除了原始客户端外还包含两个文件：exe和 init。 Puzan 表示：“该恶意软件试图从微信获取受害者的微信 ID、电子邮件和电话号码。至于钉钉，攻击者对更详细的受害者数据感兴趣：用户所在组织和部门的名称、用户名、公司电子邮件地址和电话号码。” 获取微信数据 获取钉钉数据 对攻击基础设施的进一步分析显示，除位于美国和荷兰的两台 C2 服务器外，几乎所有 C2 服务器都位于中国。 除此之外，据说包含 macOS 安装包（“OpenVPNConnect.zip”）的 ZIP 存档是先前从一家名为 miHoYo 的中国视频游戏开发商的域中下载的，该开发商以《原神》和《崩坏》而闻名。 目前尚不清楚该文件是如何上传到相关域名（“vpn.mihoyo[.]com”）的，以及服务器是否在过去某个时间点受到攻击。该活动的范围也尚不确定，但经过这么多年，后门仍在使用，这一事实表明该活动取得了一定程度的成功。 Puzan 表示：“我们发现的 macOS 版本的 HZ Rat 表明，此前攻击背后的黑客仍然活跃。该恶意软件仅收集用户数据，但之后可能会被用来在受害者的网络中横向移动，一些样本中存在的私有 IP 地址就表明了这一点。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PawbCmwf3DgTzKdrLV8phw 封面来源于网络，如有侵权请联系删除

一种名为 NGate 的新型 Android 恶意软件可以通过将近场通信 (NFC) 芯片读取的数据传递到攻击者的设备来窃取信用卡中的资金。 具体来说，NGate 使攻击者能够模拟受害者的卡并进行未经授权的付款或从 ATM 提取现金。 该活动自 2023 年 11 月起开始活跃，根据知名安全公司 ESET 最近的一份报告，捷克用户越来越多地因手机端安装恶意软件被窃取银行凭证，在某些情况下也被用于直接盗窃现金。 通过 NFC 芯片窃取卡数据 攻击始于恶意文本、带有预先录制的自动呼叫消息或恶意广告，以诱骗受害者在其设备上安装恶意应用。 这些网络应用程序被宣传为紧急安全更新，并使用目标银行的官方图标和登录界面来欺骗用户窃取客户访问凭据。 安装 WebAPK 的虚假 Play Store 页面 这些应用在安装时不需要任何权限。它们会利用运行中的网络浏览器的 API 来获取对设备硬件组件的必要访问权限。 一旦通过 WebAPK 完成网络钓鱼步骤，受害者就会被诱骗在第二个攻击阶段的后续步骤中安装 NGate。 安装后，该恶意软件会激活一个名为“ NFCGate ”的开源组件，该组件由大学研究人员为 NFC 测试和实验而开发。 该工具支持设备上的捕获、中继、重放和克隆功能，并且并不总是要求设备“root”才能工作。 NGate 使用该工具捕获靠近受感染设备的支付卡 NFC 数据，然后直接或通过服务器将其转发到攻击者的设备。 攻击者可能会将这些数据作为虚拟卡保存在其设备上，并在使用 NFC 提取现金的 ATM 上重播信号，或在销售点 (PoS) 系统上付款。 NFC数据中继过程 在一段视频演示中，ESET 的恶意软件研究员 Lukas Stefanko 还展示了如何使用 NGate 中的 NFCGate 组件来扫描和捕获钱包和背包中的卡数据。在这种情况下，商店中的攻击者可以通过服务器接收数据，并使用受害者的卡进行非接触式支付。 Stefanko 指出，该恶意软件还可用于克隆某些 NFC 门禁卡和令牌的唯一标识符，以进入限制区域。 获取卡密码 在大多数 ATM 机上提取现金都需要输入卡的 PIN 码，研究人员称 PIN 码是通过对受害者进行社会工程学而获得的。 完成 PWA/WebAPK 网络钓鱼步骤后，诈骗者会打电话给受害者，假装他们是银行职员，告知他们有影响他们的安全事件。然后，他们发送一条短信，其中包含一个下载 NGate 的链接，据称这是一个用于验证现有支付卡和 PIN 的应用程序。 一旦受害者使用自己的设备扫描卡并输入 PIN 码在恶意软件的网络钓鱼界面上进行“验证”，敏感信息就会被传递给攻击者，从而实现提款。 完整攻击概述 捷克警方已经在布拉格抓获了一名实施此类取款行为的网络犯罪分子，但随着这种手段越来越流行，它对 Android 用户构成了重大风险。 ESET 还强调了克隆区域访问标签、交通卡、身份证、会员卡和其他 NFC 技术的可能性，因此直接的金钱损失并不是唯一的糟糕情况。 如果您不经常使用 NFC，可以通过禁用设备的 NFC 芯片来降低风险。在 Android 上，前往“设置”>“已连接设备”>“连接偏好设置”>“NFC”，然后将开关切换至关闭位置。 如果您需要始终激活 NFC，请仔细检查所有应用程序权限并仅限制需要它的用户的访问；仅从机构的官方网页或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。 谷歌发言人表示，Android 的默认恶意软件扫描程序 Google Play Protect 检测到了 NGate：“根据我们目前的检测，Google Play 上未发现任何包含此恶意软件的应用程序。Google Play Protect 会自动保护 Android 用户免受该恶意软件已知版本的侵害，该功能在安装有 Google Play 服务的 Android 设备上默认开启。Google Play Protect 可以警告用户或屏蔽已知有恶意行为的应用，即使这些应用来自 Play 以外的来源。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/fy6zidETEJ6DbYEWALpuzA 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一种新的隐秘 Linux 恶意软件，它利用一种非常规技术在受感染的系统中实现持久性并隐藏信用卡盗刷代码。 该恶意软件被认为是一名以经济利益为目的的攻击者所为，Stroz Friedberg 事件响应服务团队将其代号命名为sedexp 。 研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto表示：“这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供了反向 shell 功能和先进的隐蔽战术。” sedexp 的突出特点是它使用 udev 规则来保持持久性。udev 是设备文件系统的替代品，它提供了一种根据设备属性识别设备的机制，并配置规则以在设备状态发生变化（即插入或移除设备）时做出响应。 udev 规则文件中的每一行至少有一个键值对，从而可以按名称匹配设备，并在检测到各种设备事件时触发某些操作（例如，在连接外部驱动器时触发自动备份）。 SUSE Linux 在其文档中指出：“匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或运行指定程序作为事件处理的一部分。如果未找到匹配规则，则使用默认设备节点名称来创建设备节点。” sedexp 的 udev 规则——ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” ——设置为每当 /dev/random （对应设备次要编号8）加载时就会运行恶意软件，这通常在每次重启时发生。 换句话说，每次系统重启后都会执行 RUN 参数中指定的程序。 该恶意软件具有启动反向 shell 的功能，以便于远程访问受感染的主机，以及修改内存以隐藏任何包含字符串“sedexp”的文件，使其无法被 ls 或 find 等命令发现。 Stroz Friedberg 表示，在其调查的案例中，该功能已被用来隐藏 Web Shell、更改的 Apache 配置文件以及 udev 规则本身。 研究人员表示：“该恶意软件被用来在网络服务器上隐藏信用卡抓取代码，表明其重点是经济利益。sedexp 的发现表明，除了勒索软件之外，以经济为目的的攻击者也变得越来越复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Zifwuv5D57_gQ7eAPFxI1w 封面来源于网络，如有侵权请联系删除

Cato Security 发现一种名为 Cthulhu Stealer 的新信息窃取程序，它以 Apple macOS 为目标，窃取大量信息。 Cthulhu Stealer通过伪装成合法软件的 Apple 磁盘映像 (DMG) 攻击 macOS 用户。研究人员发现 Cthulhu Stealer 会冒充 Adobe GenP、CleanMyMac 和 Grand Theft Auto IV 等合法软件的磁盘映像。 恶意代码用 GoLang 编写，在安装 dmg 时，它会提示用户使用 macOSosascript工具输入他们的系统和 MetaMask 密码。 一旦用户输入了凭证，恶意软件就会将其存储在一个目录中，并使用 Chainbreak 转储 Keychain 密码。然后，恶意软件会创建一个包含系统和网络信息的 zip 存档，并向命令和控制 (C2) 服务器发送通知。该恶意软件还会收集系统信息，包括 IP 地址和硬件/软件信息。 “Cthulhu Stealer 的主要功能是从各种商店窃取凭证和加密货币钱包，包括游戏账户。有多个检查器函数可以检查目标文件存储的安装文件夹，通常在“Library/Application Support/[file store]”中。” Cado Security 发布的报告写道:“在 /Users/Shared/NW 中创建一个目录，并将安装文件夹的内容转储到每个商店的文本文件中。” 该恶意软件可以从各种来源窃取各种类型的信息。其中包括浏览器 cookie，它可以让攻击者访问用户会话和存储的密码，以及众多加密货币钱包。例如 Coinbase、MetaMask、Wasabi、Binance、Daedalus、Electrum、Atomic、Harmony、Enjin、Hoo、Dapper、Coinomi、Trust、Blockchain 和 XDeFI 钱包，突显了该恶意软件专注于利用金融数据。 此外，该恶意软件还针对特定的应用程序和服务，窃取 Telegram 的 Tdata 帐户信息、Minecraft 用户帐户，甚至 Battlenet 的游戏相关文件，表明它有可能破坏个人和游戏活动。该恶意软件还可以转储 Keychain 和 SafeStorage 密码。 Cthulhu Stealer 与Atomic Stealer信息窃取程序具有相似的功能和特性，因此专家推测它们可能是由同一开发人员创建的。这两个窃取程序都使用 macOS 命令行工具osascript提示用户输入密码，甚至在提示中包含相同的拼写错误。 Cthulhu Stealer 的开发者和附属机构以 Cthulhu 团队的名义运营，通过 Telegram 进行交流并以每月 500 美元的价格出租他们的恶意软件。联盟会员负责部署恶意软件，并从主要开发者那里获得一定比例的收益。Cthulhu Stealer 已在两个知名恶意软件市场上出售，并在 Telegram 上做广告。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/KSzkYjbmLyXcCju5DFSLGw 封面来源于网络，如有侵权请联系删除

乌克兰计算机应急反应小组 (CERT-UA)警告称，新的网络钓鱼攻击利用恶意软件感染设备。 该活动被归因于其跟踪的威胁集群 UAC-0020，也称为Vermin。目前尚不清楚攻击的具体规模和范围。 攻击链以带有库尔斯克地区所谓战俘照片的网络钓鱼邮件开始，敦促收件人点击指向 ZIP 档案的链接。 ZIP 文件包含一个 Microsoft 编译的 HTML 帮助 (CHM) 文件，其中嵌入了负责启动混淆的 PowerShell 脚本的 JavaScript 代码。 CERT-UA 表示：“打开该文件会安装已知间谍软件 SPECTR 的组件，以及名为 FIRMACHAGENT 的新恶意软件。FIRMACHAGENT 的目的是检索 SPECTR 窃取的数据并将其发送到远程管理服务器。” SPECTR 是一种已知的恶意软件，早在 2019 年就与 Vermin 有关。据评估，该组织与卢甘斯克人民共和国 (LPR) 的安全机构有联系。 今年 6 月初，CERT-UA详细介绍了由 Vermin 攻击者策划的另一项名为 SickSync 的活动，该活动使用 SPECTR 攻击该国的国防部队。 SPECTR 是一款功能齐全的工具，旨在收集各种信息，包括来自各种即时通讯应用程序（如 Element、Signal、Skype 和 Telegram）的文件、屏幕截图、凭证和数据。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/z5WzJJqiMYjnKdNaTg64pw 封面来源于网络，如有侵权请联系删除

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。 据Cyberint的技术报告披露，UULoader通过伪装成合法应用程序的恶意安装程序，主要针对韩语和中文用户。这些恶意软件通常以微软柜文件（.cab）格式分发，内部包含两个核心可执行文件，一个为.exe文件，另一个为.dll文件。这些文件的文件头已被剥离，使其难以被传统检测工具识别。 值得注意的是，UULoader的代码中包含了中文字符串，且嵌入的DLL文件中存在程序数据库（PDB）文件，进一步指向其开发者可能为中文母语者。Cyberint指出，该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具（RAT）或Mimikatz凭证窃取器。 此外，UULoader的安装文件中包含了Visual Basic脚本（.vbs），负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。 UULoader攻击路径 这并非UULoader首次曝光，早在上个月，网络安全公司eSentire就曾报告过类似的攻击链条，攻击者通过伪造的Google Chrome网站传播Gh0st RAT，目标为中国的Windows用户。 UULoader的出现恰逢近年来以加密货币为诱饵的钓鱼攻击激增。攻击者利用免费托管服务搭建钓鱼网站，冒充Coinbase、Exodus和MetaMask等加密钱包服务，诱导用户点击恶意链接。Symantec的报告指出，攻击者利用Gitbook和Webflow等服务，创建仿冒加密钱包的域名，诱骗受害者访问钓鱼页面。 不仅如此，部分钓鱼攻击还伪装成印度和美国政府机构，诱导用户访问虚假域名，窃取敏感信息，并用于进一步的诈骗、信息传播或恶意软件分发。值得警惕的是，这些攻击还滥用微软Dynamics 365 Marketing平台，通过创建子域名和发送钓鱼邮件，绕过常规的邮件过滤机制。 同时，随着生成式人工智能（GenAI）的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。据Palo Alto Networks的报告显示，超过72%的诈骗域名包含gpt或Chatgpt等与生成式AI应用有关的关键词。 面对日益复杂的境外网络攻击，中国企业和个人需提高警惕，尤其是在使用与生成式AI、加密货币相关的服务时，应加强防范措施，避免成为网络犯罪的目标。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/9s1Shc-UO4GuzJ3WBcZzwQ 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员揭露了一项复杂的信息窃取活动，该活动冒充合法品牌来分发DanaBot和StealC等恶意软件。 据称，该活动集群由俄语网络犯罪分子策划，代号为“Tusk”，包含多个子活动，利用平台的声誉诱骗用户使用虚假网站和社交媒体账户下载恶意软件。 卡巴斯基研究人员 Elsayed Elrefaei 和 AbdulRhman Alfaifi表示：“所有活跃的子活动都在 Dropbox 上托管初始下载程序。” “该下载程序负责向受害者的机器提供其他恶意软件样本，这些样本大多是信息窃取程序（DanaBot 和 StealC）和剪辑程序。” 迄今为止，已发现 19 个子攻击活动中，其中三个目前仍在活跃。“Tusk”这个名字指的是攻击者在与初始下载器相关的日志消息中使用的“Mammoth”一词。值得注意的是，Mammoth是俄罗斯电子犯罪集团经常用来指代受害者的俚语。 这些活动还因使用网络钓鱼手段欺骗受害者提供其个人和财务信息而闻名，这些信息随后在暗网上出售或用于未经授权访问他们的游戏账户和加密货币钱包。 三个子活动中的第一个名为 TidyMe，模仿 peerme[.]io，在 tidyme[.]io（以及 tidymeapp[.]io 和 tidyme[.]app）上托管一个相似的网站，该网站会诱使用户点击下载适用于 Windows 和 macOS 系统的恶意程序。可执行文件由 Dropbox 提供。 该下载器是一个 Electron 应用程序，启动时会提示受害者输入显示的 CAPTCHA，然后显示主应用程序界面，同时在后台秘密获取并执行另外两个恶意文件。 此次活动中观察到的有效载荷都是Hijack Loader构件，它们最终会启动 StealC 窃取恶意软件的变种，能够收集广泛的信息。 第二个子活动 RuneOnlineWorld（“runeonlineworld[.]io”）使用一个模拟大型多人在线（MMO）游戏 Rise Online World 的虚假网站来分发类似的下载程序，为受感染主机上的 DanaBot 和 StealC 铺平道路。 在这次活动中，通过 Hijack Loader 分发的还有一种基于 Go 的剪切板监视恶意软件，该恶意软件旨在监视剪贴板内容，并使用攻击者控制的比特币钱包替换受害者复制的钱包地址，以执行欺诈交易。 活跃活动的最后一项是 Voico，它冒充名为 YOUS（yous[.]ai）的 AI 翻译项目，并使用名为 voico[.]io 的恶意对应项目来传播初始下载程序，在安装时，该下载程序会要求受害者填写包含其凭证的注册表，然后将信息记录在控制台上。 最终的有效载荷表现出与第二个子活动类似的行为，唯一的区别是，在这种情况下使用的 StealC 恶意软件与不同的命令和控制 (C2) 服务器进行通信。 “这些活动表明，网络犯罪分子的威胁持续不断且不断演变，他们善于模仿合法项目来欺骗受害者。对网络钓鱼等社会工程技术的依赖，加上多阶段恶意软件传递机制，凸显了威胁行为者的先进能力。”研究人员表示，“通过利用用户对知名平台的信任，这些攻击者有效地部署了一系列恶意软件，旨在窃取敏感信息，破坏系统，并最终获取经济利益。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a777eGTYEUHDwa5qfuODsw 封面来源于网络，如有侵权请联系删除

俄勒冈州动物园通知大约 118000 人，称他们的姓名和支付卡信息在其在线售票服务中被盗。 6 月 26 日发现了该数据泄露事件，泄露的数据包括姓名、支付卡号、CVV 等。动物园称2023年12月20日至2024年6月26日期间的交易可能受到影响。 该动物园在提交给缅因州总检察长办公室的监管文件中表示：“为防止产生其他的影响，俄勒冈动物园审查了这段期间的所有交易，确定了所有支付卡信息可能受到影响的人。” 据该动物园称，威胁者通过重定向处理俄勒冈州动物园在线购票的第三方供应商的交易来实施攻击。动物园立即停用了受影响的网站，并建立了一个新的安全在线购票网站。 另外，该动物园已于8月16日向缅因州动物保护协会发送了书面通知，指出可能有117815只动物受到影响。 “俄勒冈动物园已将此事通报联邦执法部门。并且也在审查其政策和程序，以减少未来发生类似事件的可能性，”动物园表示。 动物园为可能受到影响的个人提供一年的免费信用监控和身份保护服务。 虽然动物园尚未明确透露导致数据泄露的具体网络攻击类型，但该事件可能与俄勒冈州动物园在线票务服务受到网络浏览器感染有关。 网络窃取器也称为数字窃取器、JavaScript 嗅探器或 JS 嗅探器，是一个恶意软件家族，通常会被威胁行为者注入到合法网站上（通常在结帐页面上），以窃取访问者的个人和支付卡信息。 盗取器感染通常难以被发现，俄勒冈州动物园就是一个例子，被盗信息被用于实施各种欺诈行为。迄今为止，网络安全研究人员已经确定了 130 多个数字盗取器家族。 作为美国最古老的动物园之一，成立于 1888 年的俄勒冈动物园归当地大都会政府所有，占地 64 英亩。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除