美国一家抵押贷款机构 loanDepot 遭遇以一场严重的勒索软件攻击，黑客加密了该机构的很多内部数据。 loanDepot  客户在尝试登录支付门户网站支付贷款时遇到了问题，随即向 loanDepot 公司方面反应。不久后，loanDepot 有关负责人站出来回应，表示公司经历了一场网络安全事故，目前已经在网络安全专家协助下，将某些网络系统下线，努力尽快恢复正常业务运营，并积极采取安全措施将勒索软件安全事件的影响降至最低。同时，公司也在第一时间通知了相关监管机构和执法部门。 loanDepot 证实遭遇勒索软件攻击 意识到公司遭遇了勒索软件攻击不久，loanDepot 便通过社交媒体通知其客户，公司会继续处理定期自动付款，但在客户的付款历史记录中可能会延迟显示。用户使用服务门户网站进行新的支付会受到严重影响，建议受影响的客户向呼叫中心寻求帮助。 loanDepot 方面还指出，公司正在努力调查勒索软件攻击事件，已经能够确认有未经授权的第三方威胁攻击者”访问“了某些公司系统并加密了大量数据，后续将继续评估勒索软件攻击事件的影响，以及该事件是否会对公司造成重大影响。 在提交给美国证券交易委员会的 8-K 文件中，loanDepot 透露黑客加密了被入侵设备上的大量文件，迫使 loanDepot 关闭了部分系统，以阻止黑客访问其网络上的其他设备。更糟糕的是，目前尚不清楚是哪个勒索软件组织在幕后操纵了此次勒索软件攻击活动。 从 loanDepot 公司对勒索软件攻击事件的回应来看，仅仅提到黑客入侵其内部网络系统并加密了大量文件，但根据以往案例来看，勒索软件团伙通常也会窃取受害公司的内部数据和客户数据，迫使受害者支付赎金。 鉴于 loanDepot 公司持有敏感的客户数据（如财务和银行账户信息等），受勒索软件攻击事件影响的用户应警惕潜在的网络钓鱼攻击和身份盗用。 金融机构屡屡成为勒索软件攻击目标 早在 2023 年 5 月，loanDepot 就曾披露过一起 2022 年 8 月遭遇的网络攻击事件，最终导致大量客户数据信息被盗取。此外，按揭贷款巨头库珀先生也于 2023 年 11 月遭受了网络攻击，导致 1470 万客户的个人数据泄露。 同样，美国产权保险公司目标之一 First American Financial Corporation 也在圣诞节前被迫关闭了部分网络系统，以控制网络攻击的影响。 转自FreeBuf，原文链接：https://www.freebuf.com/news/389190.html 封面来源于网络，如有侵权请联系删除

Fortinet的研究人员发现了一种新的名为Bandook的远程访问变种木马（RAT），近日，黑客利用该木马对Windows用户发起了网络钓鱼攻击。 该木马最早可追溯到2007年，至今一直在不断发展，不同黑客已经利用该木马进行了多次攻击活动。 Bandook变种木马通过附件为PDF文件的电子邮件进行传播，该PDF文件包含一个用于下载受密码保护的.7z文件的缩短URL。当从PDF文件中提取恶意软件后，注入器会在资源表中解密载荷并将有效载荷注入到msinfo32.exe中，而有效载荷的行为是由注入前创建的注册表键值决定的。 Fortinet发布的分析报告显示，“一旦注入成功，载荷就会初始化注册表键名、标志、API等的字符串。在此之后，载荷使用被注入的msinfo32.exe的进程标识符（PID）来查找注册表键，然后解码并解析键值，以执行控制码指定的任务。” Bandook木马的有效载荷支持139种动作，其中大部分在之前的变种中已经使用过了，最近的变种又增加了用于C2通信的附加命令，这意味着Bandook木马还在持续改进。 Bandook的常见行为包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、终止进程以及卸载恶意软件等。 报告指出，这个恶意软件包含大量用于C2通信的命令，但其有效载荷执行的任务数量少于命令的数量。这是因为多个命令被用来执行单一动作时，有些命令用于调用其他模块中的函数，还有些命令仅用于对服务器进行响应。 报告表示，Bandook在这次攻击中没有观察到整个系统，FortiGuard将继续监控恶意软件的变种，并提供相应的防护措施。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389211.html 封面来源于网络，如有侵权请联系删除

2023 年 12 月底，两个黑客组织Lumma和Rhadamanthys使用 API 来恢复在攻击中被盗的过期Google凭据。 之后，另外四个勒索软件程序——Stealc、Medusa、RisePro 和 Whitesnake——也开始使用类似的技术。安全公司 CloudSEK 发现， 当受害者原来被盗的 Google cookie 过期时，恶意软件会使用 Google 的 OAuth“MultiLogin”API 创建新的操作身份验证 cookie。 该API旨在同步不同Google服务的帐户。该恶意软件不仅窃取 Google 网站的身份验证 cookie，还窃取可用于更新或创建新身份验证令牌的特殊令牌。研究人员无法从 Google 找到有关此 API 的更多信息，唯一的文档可以 在 Google Chrome 源代码中找到。 谷歌在声明中证实，它已了解这一情况，但将该问题视为通过恶意软件窃取 cookie 的简单行为。该公司声称会定期更新其保护机制并帮助受恶意软件影响的用户。 Google 建议用户在受影响的设备上注销 Chrome 帐户，并 通过 “我的设备”菜单使所有活动会话失效，这将使刷新令牌无法与 API 一起使用。此外，谷歌建议用户更改密码，特别是如果该密码已在其他网站上使用过。 然而，许多受影响的用户不知道何时或如何采取建议的措施。通常，他们只有在帐户遭到黑客攻击和滥用后才发现账户被感染。Orange Spain 员工的案例就是一个例子，该员工在使用被盗凭据登录公司帐户并更改其 BGP 配置后才发现感染情况 ，从而导致互联网服务中断。 谷歌目前正在通知 API 滥用的受害者，但仍然存在关于如何通知未来受害者以及他们如何知道退出浏览器以撤销身份验证令牌的问题。 许多专家认为，最好的解决方案是限制对上述 API 的访问，以防止其被利用。不过，目前还没有消息表明谷歌计划采取此类措施。谷歌没有回应有关其打击 API 滥用计划的问题。 转自安全客，原文链接：https://www.anquanke.com/post/id/292437 封面来源于网络，如有侵权请联系删除

最近在PyPI 开发人员的公共存储库中发现了三个能够在受感染的Linux设备上部署加密货币挖矿程序的恶意软件包，分别名为“modularseven”、“driftme”和“catme”。这三个软件包引起了安全专家的注意，在上个月从网站上被删除之前，这些软件包已经被下载了 431 次。 Fortinet 的研究员 Gabby Xiong表示， 这些软件包在第一次使用时会将 CoinMiner 可执行文件部署到 Linux 设备上。 恶意代码位于文件“__init__.py”中，该文件从远程服务器解码并提取第一阶段 （ 是一个 shell 脚本（“unmi.sh”）），用于加载挖矿配置文件以及CoinMiner 文件托管在GitLab上。 然后使用“nohup”命令在后台执行 ELF 二进制文件，确保进程在会话注销后继续运行。 Siong 指出，这些软件包与之前类似活动中的“culturestreak”一样，隐藏了有效负载，从而降低了通过将其放置在远程 URL 上来检测恶意代码的可能性。随后，有效负载会分阶段下载到受害者的计算机上以执行恶意活动。 这与之前的“culturestreak”包有一个相同点：配置文件托管在“papiculo[.]net”域上，并且挖掘可执行文件并托管在公共 GitLab 存储库中。 这三个被检测到的恶意软件包会隐藏 shell 脚本中的恶意意图，这有助于逃避防病毒软件的检测。 此外，Siong指出，该恶意软件将恶意命令插入到“~/.bashrc”文件中，这确保了恶意软件在用户设备上能够长时间潜伏并能被重新激活，从而使黑客从中获益。 转自安全客，原文链接：https://www.anquanke.com/post/id/292435 封面来源于网络，如有侵权请联系删除

KELA 发现黑客仅仅以 500 美元出售 Zeppelin 勒索软件工具源代码及其破解版。截止目前，尚未验证该黑客提供的软件是否合法，但据卖方截图显示，该软件包是真实存在。 购买了该软件包的人可以利用该软件启动一个新的RaaS操作，或基于Zeppelin开发新加密软件。  黑客论坛上的帖子宣传Zeppelin源代码售价500美元 RET（Zeppelin源代码和构建工具销售者）声明其非软件原作者，仅破解了构建工具。 该产品将专卖给一个买家，在交易完成前将暂停销售。 构建工具的截图 2022年11月，Zeppelin RaaS停止运营后，执法机关和安全研究人员披露了 Zeppelin加密系统的漏洞，成功开发了解密工具以援助自2020年起的受害者。 但截止目前，此次事件版本中的漏洞暂未被修复。 Zeppelin 勒索软件 Zeppelin 是基于 Delph i编程语言开发的 Vega/VegaLocker 恶意软件家族的分支，该家族在2019年至2022年间较为活跃。该软件曾用于实施双重勒索攻击，有时要求的赎金高达 100 万美元。 2021年，经过重大更新后，原版 Zeppelin 勒索软件的最高售价达 2,300 美元。其 RaaS（勒索软件即服务）模式下，附属方获得 70% 的赎金分成，剩余30% 归开发者所有。 2022年夏，FBI曽警告Zeppelin勒索软件黑客已采用新策略，实施多轮加密。 消息来源：bleepingcomputer，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

SecurityScorecard 的网络安全专家发现了 一种名为 Menorah 的计算机病毒新变种，其目标是中东的组织。今年 10 月， 趋势科技首次 发现并分析了 它。 Menorah 病毒渗透到公司的计算机系统并在那里牢牢扎根。该恶意软件允许攻击者完全控制网络上受感染设备的信息。 据信，伊朗黑客组织 OilRig（也称为 APT34）负责 Menorah 的开发和分发。该组织经常以中东的组织为目标。 Menorah 的功能之一是它会在受感染计算机的系统中创建一个所谓的“互斥体”，这保证了该设备上只会运行一份病毒副本。这增加了系统中恶意软件的保密性并减慢了其检测速度。 此外，Menorah 收集公司网络上的计算机和用户的名称，从中计算特殊标识符，并将其发送给攻击者。 分析人士指出，该病毒的功能使黑客能够完全访问受攻击公司员工的机密文件、信件和个人数据。 专家建议该地区信息安全组织的管理人员和普通专家提高警惕，并采取额外措施保护企业系统免受网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292272 封面来源于网络，如有侵权请联系删除

黑客正在利用一种新的恶意软件加载器来传送各种信息窃取程序，例如 Lumma Stealer（又称 LummaC2）、Vidar、RecordBreaker（又称 Raccoon Stealer V2）和 Rescoms。 网络安全公司 ESET 正在追踪这个木马，并将其命名为 Win/TrojanDownloader.Rugmi。 公司在 2023 年下半年的威胁报告中说道：“这个恶意软件是一个包含三种组件的加载器：一个下载器用于下载加密的有效负载，一个加载器用于从内部资源运行有效负载，以及另一个加载器用于从磁盘上的外部文件运行有效负载。” 公司收集的数据显示，对 Rugmi 加载器的检测在 2023 年 10 月和 11 月激增，从每天个位数增加到每天数百次。 Stealer malware 通常以恶意软件即服务（MaaS）的模式向其他黑客提供订阅服务。例如，Lumma Stealer 在地下论坛中以每月 250 美元的价格进行宣传。最昂贵的方案售价为 20,000 美元，但它也赋予客户访问源代码和出售的权限。 有证据表明，与 Mars、Arkei 和 Vidar stealers 相关联的代码库已被重新利用以创建 Lumma 。 除了持续调整其策略以规避检测外，这款现成的工具还通过多种方式进行分发，包括恶意广告、虚假浏览器更新，以及破解安装流行软件如 VLC 媒体播放器和 OpenAI ChatGPT。 趋势科技在2023年10月披露：“该技术涉及利用 Discord 的内容传送网络（CDN）来托管和传播恶意软件。” 这包括利用随机和受损的 Discord 帐户的组合向潜在目标发送直接消息，向他们提供10美元或 Discord Nitro 订阅以换取他们在一个项目上的帮助。 同意此提议的用户随后被敦促下载托管在 Discord CDN上的可执行文件，伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 的有效载荷。 “现成的恶意软件解决方案促进了恶意活动的蔓延，因为它们使得恶意软件甚至可供技术可能较差的黑客使用。” ESET 表示。 “提供更广泛的功能将使Lumma Stealer成为更具吸引力的产品。” McAfee Labs披露了 NetSupport RAT 的一个新变种，该变种来自其合法的前身 NetSupport Manager，此后被初始访问代理用于收集信息并对感兴趣的受害者执行其他操作。 McAfee表示“感染始于被混淆的JavaScript文件，这些文件充当恶意软件的初始入口点” ，并强调了“黑客不断演变的策略”。 JavaScript 文件的执行通过运行 PowerShell 命令从受黑客控制的服务器检索远程控制和窃取器恶意软件，推动了攻击链的进展。该攻击活动的主要目标包括美国和加拿大。 消息来源：The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

国际特赦组织证实了苹果公司在 10 月底发出的警告——印度政府正在使用臭名昭著的 Pegasus 间谍软件针对记者和反对派。 10 月底，苹果公司警告印度记者和反对派政界人士，政府正在针对 iPhone 发起持续的APT攻击。 来自印度反对党的六名印度议员表示，他们收到了苹果手机发出的威胁通知，几位知名记者也是如此。 印度政府对此反应强烈，政府官员公开质疑苹果公司的调查结果，称该公司的算法有错误，并宣布对苹果设备的安全性进行调查。 《华盛顿邮报》还表示，印度官员愤怒地敦促苹果驻印度代表撤回这些警告。 但苹果公司已经对 Pegasus 间谍软件的创建者以色列公司 NSO Group 提起诉讼。 印度政府并没有公开证实或否认使用 Pegasus 间谍软件工具。但现在，活跃于全球的非营利组织国际特赦组织表示，它在印度著名记者的 iPhone 上发现了侵入性间谍软件。 国际特赦组织的声明称，国际特赦组织安全实验室的取证调查证实，《火线报》创始编辑 Siddharth Varadarajan 和有组织犯罪与腐败报告项目 (OCCRP) 南亚编辑阿南德·曼纳勒 (Anand Mangnale) 均在最近受到 Pegasus 攻击的记者之列。在 2023 年 10 月，他们发现自己的 iPhone 被安装了间谍软件。 该组织还声称，这一消息是在印度当局对和平言论和集会自由进行“前所未有的镇压”之际发布的。 “我们的最新调查结果表明，印度记者们仅仅因为他们的工作正面对越来越多的非法威胁，以及其他镇压手段，包括根据严厉的法律实施的监禁、诽谤、骚扰和恐吓。”国际特赦组织的安全实验室在调查报告中写道。 “尽管屡次被揭露，但印度对 Pegasus 间谍软件的使用缺乏问责，这只会加剧这些侵犯人权行为有罪不罚的感觉。” 国际特赦组织的安全实验室对世界各地收到这些通知的个人（包括 Varadarajan 和 Mangnale）的手机进行取证分析。该组织在两名印度记者拥有的设备上发现了 Pegasus 间谍软件活动的痕迹。 研究人员从 Mangnale 的设备中找到了零点击漏洞的证据，该漏洞于 2023 年 8 月 23 日通过 iMessage 发送到他的手机，旨在秘密安装 Pegasus 间谍软件。该手机运行的是当时最新的 iOS 16.6 版本。 零点击漏洞利用是指无需目标用户执行任何操作（例如单击链接）即可将间谍软件安装在设备上的恶意软件。 国际特赦组织在声明中再次呼吁所有国家禁止使用和出口高度侵入性间谍软件。不过，印度被单独挑了出来。 国际特赦组织表示：“为了确保透明度，印度当局还应公开披露与私人监控公司（包括 NSO 集团）之前、当前或未来签订的任何合同的信息。” 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Jqt8iTBBkf484IqTQ-9H5Q 封面来源于网络，如有侵权请联系删除

McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门，它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的，这是一个开源框架，允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。 Xamalicious 通过社会工程学手段获取辅助功能权限，然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入，以完全控制设备并执行广泛的欺诈行为，例如点击广告和安装应用程序。 第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制，使威胁非常多样化。 专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系，黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。 研究人员认为，黑客出于经济动机开发了该后门软件。 使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密，以避免被检测。 McAfee 发现了大约 25 个不同的恶意应用，其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。 “根据这些应用的安装数量，它们可能已经在 Google Play 上损害了至少 32.7 万台设备，还有从第三方市场下载的安装，这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。” 为了规避分析和检测，该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护，还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption（JWE）令牌。然而，研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的，这使得在分析期间如果 C2 基础架构是可访问的，就可以解密传输的信息。 大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。 “使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层，他们有意选择这些工具以避免被检测，并试图保持在安全供应商的监测范围之外，从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下，建议用户不要使用需要辅助访问权限的应用程序，除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能，并且要求用户忽略操作系统的安全警告，那么这个应用程序可能存在重大安全风险。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已发现一种新的 Android 后门，该后门具有强大的功能，可以在受感染的设备上执行一系列恶意操作。 该恶意软件被 McAfee 移动研究团队称为 Xamalicious ，之所以如此命名，是因为它使用名为 Xamarin 的开源移动应用程序框架开发，并滥用操作系统的可访问性权限来实现其目标。 它还能够收集有关受感染设备的元数据，并联系命令和控制（C2）服务器以获取第二阶段有效载荷，但前提是要确定它是否符合要求。 安全研究员 Fernando Ruiz 说，第二阶段是“在运行时级别动态注入程序集DLL，以完全控制设备，并可能执行欺诈行为，例如点击广告，安装应用程序，以及其他未经用户同意出于经济动机的行为。” 这家网络安全公司表示，它确定了 25 个带有这种主动威胁的应用程序，其中一些应用程序自 2020 年中期以来在官方 Google Play 商店中分发。据估计，这些应用程序至少被安装了 327,000 次。 大多数感染报告发生在巴西、阿根廷、英国、澳大利亚、美国、墨西哥以及欧洲和美洲其他地区。下面列出了一些应用程序 ： Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) Auto Click Repeater (com.autoclickrepeater.free) Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) Sound Volume Extender (com.muranogames.easyworkoutsathome) LetterLink (com.regaliusgames.llinkgame) NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) Track Your Sleep (com.shvetsStudio.trackYourSleep) Sound Volume Booster (com.devapps.soundvolumebooster) Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) Universal Calculator (com.Potap64.universalcalculator) Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序，是滥用 Android 辅助功能服务的一长串恶意软件系列中的最新一个。这种软件在安装时会请求用户授权辅助功能权限，以执行其任务。     “为了逃避分析和检测，恶意软件作者加密了 C2 和受感染设备之间传输的所有通信和数据，不仅受到 HTTPS 保护，还使用 RSA-OAEP 和 128CBC-HS256 算法将其加密为 JSON Web 加密（JWE）令牌”，Ruiz 指出。 更令人不安的是，第一阶段的 dropper 包含自我更新主 Android 软件包（APK）文件的功能，这意味着它可以被武器化，以充当间谍软件或银行木马，而无需任何用户交互。 McAfee 表示，它发现了 Xamalicious  与名为 Cash Magnet 的广告欺诈应用程序之间的联系，该应用程序促进了应用程序下载和自动点击活动，通过点击广告非法赚取收入。 “使用非 Java 代码编写的 Android 应用程序以及 Flutter、react native 和 Xamarin 等框架可以为恶意软件作者提供额外的混淆层，这些作者故意选择这些工具来避免检测，并试图保持在安全供应商的雷达之下，保持他们在应用程序市场上的存在”，Ruiz 说。 Android 网络钓鱼活动使用银行家恶意软件针对印度 此次披露之际，这家网络安全公司详细介绍了一项网络钓鱼活动，该活动使用 WhatsApp 等社交消息应用程序来分发冒充印度国家银行（SBI）等合法银行的恶意 APK 文件，并提示用户安装它们以完成强制性的客户身份验证（KYC）程序。 安装后，该应用程序会要求用户授予其与短信相关的权限，并重定向到一个虚假页面，该页面不仅捕获受害者的凭证，还捕获他们的帐户、信用卡/借记卡和国民身份信息。 收集的数据与截获的 SMS 消息一起被转发到参与者控制的服务器，从而允许对手完成未经授权的交易。 值得注意的是，微软上个月警告了一场类似的活动，它利用 WhatsApp 和 Telegram 作为分发渠道，针对印度在线银行用户。 研究人员 Neil Tyagi 和 Ruiz 表示：“印度强调了这种银行恶意软件在该国数字环境中构成的严重威胁，我们在世界其他地方发现了一些攻击，可能来自居住在其他国家的印度 SBI 用户。”   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文