据The Hacker News消息，研究人员发现，一种新型恶意广告活动正伪装成 Windows 新闻门户网站，传播含有恶意软件的虚假CPU-Z 系统分析工具。 虽然众所周知，恶意广告活动会建立对应软件的山寨网站来冒充，但此次活动却是模仿了新闻门户网站(WindowsReport.com) ，其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户，通过呈现恶意广告，将这些用户重定向到虚假门户 。 通过谷歌搜索呈现的恶意广告引导用户至虚假Windows新闻门户 恶意网站上托管的已签名 MSI 安装程序包含一个恶意 PowerShell 脚本，即一个名为 FakeBat（又名 EugenLoader）的加载程序，充当在受感染主机上部署 RedLine Stealer 的管道。 这绝非谷歌流行软件的欺骗性广告第一次成为恶意软件的传播媒介。就在不久前，网络安全公司 eSentire 披露了一个被称之为Nitrogen 的恶意活动，该活动被认为是 BlackCat 勒索软件攻击的前奏。 加拿大网络安全公司记录的另外两项活动表明，近几个月来已出现利用将用户引导至可疑网站的偷渡式下载方法来传播NetWire RAT、DarkGate和DanaBot等各种恶意软件系列，表明攻击者正继续越来越多地依赖 NakedPages、Strox 和 DadSec 等 “中间对手”（AiTM）网络钓鱼工具包绕过多因素身份验证并劫持目标账户。、 此外，eSentire 还呼吁人们关注一种被称为 Wiki-Slack 攻击的新方法，这种用户定向攻击手法旨在通过篡改维基百科文章第一段末尾并在 Slack 上共享，将受害者引向攻击者控制的网站。具体来说，当维基百科 URL 在企业消息平台中以预览形式呈现时，利用 Slack 中 “错误处理第一段和第二段之间空白 “的缺陷自动生成链接。 实施这种攻击的一个关键前提在于维基百科文章中第二段的第一个词必须是顶级域（如 in、at、com 或 net），而且这两段应出现在文章的前 100 个字内。 有了这些条件，攻击者就可以将这种行为武器化，使 Slack 格式的共享页面预览结果指向一个恶意链接，一旦受害者点击该链接，就会落入攻击者设好的陷阱当中。   转自Freebuf，原文链接：https://www.freebuf.com/news/383497.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 世界上最大的银行之一正在处理勒索软件攻击。 英国《金融时报》报道称，中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。 据报道，代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后，向其成员发出了有关这一事件的信息。 中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。 ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。 声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。 消息人士告诉英国《金融时报》，此次攻击的幕后黑手是 LockBit 勒索软件团伙。整个 2023 年，该组织对政府、公司和组织进行了几次大规模攻击，远远超过了目前任何其他勒索软件团伙。 网络安全专家 Kevin Beaumont 分享了一份 Shodan 搜索报告，显示中国工商银行有一个 Citrix Netscaler 盒子没有打 CVE-2023-4966 的补丁，专家称这个漏洞为“CitrixBleed”，影响 Netscaler ADC 和 Netscaler 网关设备。这些产品被公司用来管理网络流量。 Beaumont 说，这个盒子目前已下线，但他指出，勒索软件团伙正在利用这个问题，因为它“允许完全、轻松地绕过所有形式的身份验证”。他补充说，超过 5000 家组织尚未修补该漏洞。 Beaumont 解释说:“它就像你在组织内部的指向和点击一样简单——它为攻击者提供了一个完全交互式的远程桌面PC。” Halcyon 首席执行官 Jon Miller 表示，针对中国工商银行的所谓攻击“有可能对全球金融市场产生严重影响，因为美国国债是全球银行和金融体系的核心。” 他说:“金融、制造业、医疗保健和能源等关键基础设施提供商仍然是勒索软件运营商的首要目标，因为迅速解决攻击并恢复运营的压力增加了受害组织支付赎金要求的可能性。” 据《财富》杂志报道，按收入计算，工商银行是中国最大的银行，也是全球最大的商业银行，2022年的收入为2147亿美元，利润为535亿美元。它拥有1070万企业客户和7.2亿个人客户。除了在国内拥有1.7万家分行外，工商银行还在41个国家设有分行，其中包括美国东西海岸的13家分行。       Hackernews 编译，转载请注明出处 消息来源：TheRecord、bleepingcomputer、每日经济新闻，译者：Serene

Predator AI ChatGPT 集成给云服务带来风险。 该恶意工具专门针对云服务而设计，并集成了人工智能 (AI) 技术，特别是在 Python 脚本中实现的 ChatGPT 驱动类。 GPTj 类的包含添加了一个类似聊天的文本处理界面，以便与该工具的功能进行交互。这种集成旨在减少对 OpenAI API 的依赖，同时简化 Predator AI 的功能。 Predator AI 拥有超过 11,000 行代码，使用基于 Tkinter 的图形用户界面 (GUI)。它包含处理不同功能的各种类，包括 Web 应用程序安全扫描和与云服务的集成。 该工具主要通过与黑客社区相关的 Telegram 渠道分发。其核心功能是促进对常用技术的 Web 应用程序攻击，包括 WordPress 等内容管理系统和 AWS SES 等云电子邮件服务。 值得注意的是，Predator AI 与AlienFox和 Legion 云垃圾邮件工具集等其他工具集有相似之处，因为它们将公开可用的代码重新用于恶意目的。 根据SentinelLabs 周二发布的公告，该工具正在积极维护并接收更新，最近添加了 Twilio 帐户检查器。开发人员强调，该工具用于教育目的，并阻止非法使用。 SentinelLabs 澄清说：“虽然 Predator AI 可能有一定的功能，但这种集成并不会大幅提高攻击者的能力。” “该功能尚未在活跃黑客组织的 Telegram 频道上宣传，并且可能存在许多边缘情况，导致其不稳定且可能昂贵。” 可以通过维护最新的系统、限制互联网访问和使用云安全态势管理工具来减轻此类工具带来的风险。 SentinelLabs 还建议实施专门的日志记录和检测机制来识别云服务提供商 (CSP) 资源中的异常活动，包括快速添加新用户帐户和立即删除现有帐户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zhpEAmg28EQWZbC5itWpTg 封面来源于网络，如有侵权请联系删除

一种名为 GootBot 的 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。 IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说：GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。 这种新变种是一种轻量级但有效的恶意软件，允许攻击者在整个网络中快速传播并部署更多的有效载荷。 顾名思义，GootLoader 是一种恶意软件，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127（又名 UNC2565）的威胁行为者有关。 GootBot 的使用表明了一种战术转变，即在 Gootloader 感染后作为有效载荷下载植入程序，而不是使用 CobaltStrike 等后开发框架。 GootBot 是一个经过混淆的 PowerShell 脚本，其目的是连接到被入侵的 WordPress 网站进行命令和控制，并接收进一步的命令。 使问题更加复杂的是，每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器，因此很难阻止恶意流量。 GootLoader 恶意软件 研究人员说：目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站，诱使他们下载带有病毒的文件、文档。 存档文件包含一个混淆的JavaScript文件，执行后会获取另一个JavaScript文件，该文件通过计划任务触发以实现持久性。 在第二阶段，JavaScript被设计为运行一个PowerShell脚本，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本，并允许威胁行为者分发各种有效载荷。 其中包括 GootBot，它每 60 秒向其 C2 服务器发出信标，获取 PowerShell 任务以供执行，并以 HTTP POST 请求的形式将执行结果传回服务器。 GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模。 研究人员说：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险，例如与GootLoader链接的勒索软件附属活动。   转自Freebuf，原文链接：https://www.freebuf.com/news/383180.html 封面来源于网络，如有侵权请联系删除

曹县官方背景的黑客组织 BlueNoroff 正在利用影响 macOS 的恶意软件瞄准金融机构。 安全公司 Jamf 的研究人员在一份新报告中表示，一个名为BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。 美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织，Lazarus 是研究人员和政府追踪的最臭名昭著的曹县政府黑客。 Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合，涉及可以利用 Mac 设备的恶意软件。 研究人员表示：“大多数恶意软件都非常复杂，而这种恶意软件似乎有点懒惰，功能很少。” “从代码角度来看，该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说，因为它很简单，所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令是主要的危险信号。” 研究人员在发现尚未提交到 VirusTotal（恶意软件存储库）的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件。 他们发现了其他引起他们兴趣的线索，包括与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示，BlueNoroff 通常“创建一个看起来属于合法加密公司的域名，以便融入网络活动。” 在本例中，该组织正在与 swissborg[.]blog 域名进行通信，该域名是 5 月31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。 “这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致，在该活动中，攻击者接触到目标，声称有兴趣与他们合作，或者在伪装下为他们提供一些有益的东西。”他们说。 目前尚不清楚黑客是如何获得初始访问权限的，但他们怀疑恶意软件是通过社会工程攻击传播的。然后，它会在攻击的后期使用，并提供有关 macOS 设备等的信息。 Menlo Security 的网络安全专家 Ngoc Bui 指出，该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件，通过后门恶意软件感染目标，这些恶意软件可以窃取数据并远程控制受感染的系统。 “Jamf 威胁实验室发现的新恶意软件菌株意义重大，因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示，该恶意软件在上传时未被 VirusTotal 检测到，这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说，这种病毒很危险，因为它被伪装成合法软件。 2019 年，美国财政部对该组织实施了制裁，并表示 BlueNoroff“由曹县政府成立，旨在非法赚取收入，以应对全球制裁力度加大。” 美国财政部表示：“Bluenoroff 代表曹县政权以网络抢劫的形式对外国金融机构进行恶意网络活动，以赚取收入，部分用于其不断发展的核武器和弹道导弹计划。” “网络安全公司早在 2014 年就首次注意到这个组织，当时曹县的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外，还开始关注经济利益。” 美国财政部表示，到 2018 年，该组织已试图从目标窃取超过 11 亿美元，并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。 其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。 俄罗斯安全公司卡巴斯基表示，BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿联酋和越南的加密货币公司遭受的多起黑客攻击有关。 该组织被指控在 2021 年从 bZx DeFi 平台窃取了 5500 万美元，东北亚某国黑客组织被指控从全球受害者那里窃取了相当于数十亿美元的资金。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ZVANxN1unmO9YTfzZ4-bAw 封面来源于网络，如有侵权请联系删除

暴露于互联网的 Apache ActiveMQ 服务器也是 TellYouThePass 勒索软件攻击的目标，该攻击针对的是先前被用作零日漏洞的关键远程代码执行 (RCE) 漏洞。 该缺陷被追踪为CVE-2023-46604，是 ActiveMQ 可扩展开源消息代理中的一个最严重的错误，它使未经身份验证的攻击者能够在易受攻击的服务器上执行任意 shell 命令。 尽管 Apache 于 10 月 27 日发布了安全更新来修复该漏洞，但网络安全公司ArcticWolf和Huntress Labs发现，至少从 10 月 10 日起，威胁行为者已经利用该漏洞作为零日漏洞部署 SparkRAT 恶意软件已有两周多的时间。 根据威胁监控服务 ShadowServer 的数据，目前在线暴露的 Apache ActiveMQ 服务器超过 9,200 个，其中超过 4,770 个服务器容易受到 CVE-2023-46604 漏洞的攻击。 由于 Apache ActiveMQ 在企业环境中用作消息代理，因此应用安全更新应被视为时间敏感的。 建议管理员立即升级到 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 和 5.18.3，修补所有易受攻击的系统。 未针对 CVE-2023-46604 (ShadowServer) 修补的服务器 成为勒索软件团伙的目标 Apache 修补了这一关键 ActiveMQ 漏洞一周后，Huntress Labs 和 Rapid7 均报告发现攻击者利用该漏洞在客户网络上部署 HelloKitty 勒索软件有效负载。 两家网络安全公司的安全研究人员观察到的攻击始于 10 月 27 日，即 Apache 发布安全补丁几天后。 Arctic Wolf Labs 在一天后发布的一份报告中透露，积极利用 CVE-2023-46604 缺陷的威胁行为者还利用它来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问。 安全研究人员还发现 HelloKitty 和 TellYouThePass 攻击之间的相似之处，这两个攻击活动共享“电子邮件地址、基础设施以及比特币钱包地址”。 北极狼研究人员警告说：“各种具有不同目标的黑客在野外利用 CVE-2023-46604 的证据表明，需要快速修复这一漏洞。” 自两年前Log4Shell 概念验证漏洞在线发布后， TellYouThePass 勒索软件的活动突然大幅增加。 随着 2021 年 12 月以 Golang 编译的恶意软件的形式回归，该勒索软件菌株还增加了跨平台目标功能，使得攻击 Linux 和 macOS 系统成为可能（macOS 样本尚未在野外发现）。   转自安全客，原文链接：https://www.anquanke.com/post/id/291248 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国制裁一名被指控为勒索软件关联公司洗钱虚拟货币的俄罗斯人。 上周五，美国财政部制裁了一名俄罗斯女子，她被指控代表该国精英和网络犯罪分子洗钱，其中包括Ryuk勒索软件的一个分支机构。 据外国资产控制办公室（OFAC）称，叶卡捷琳娜·日达诺娃曾帮助其他俄罗斯人逃避入侵乌克兰后对该国金融体系实施的制裁。OFAC说，有一次，一位不愿透露姓名的寡头找到日达诺娃，想把1亿美元转移到阿拉伯联合酋长国。 据称，2021年，她为Ryuk勒索软件子公司洗钱超过230万美元的“疑似受害者付款”。她通过加密货币交易所Garantex管理这些资金，该交易所本身在2022年被OFAC指定。 根据OFAC的说法，在被制裁之前，与暗网市场和犯罪分子有关的交易价值超过1亿美元。 “通过像日达诺娃这样的关键推手，俄罗斯精英、勒索软件组织和其他非法行为者试图逃避美国和国际制裁，特别是通过滥用虚拟货币，”美国财政部负责恐怖主义和金融情报的副部长Brian E. Nelson说。 Ryuk勒索软件自2018年出现以来，造成了多年的破坏。2020年，在Covid-19封锁期间，联邦执法机构警告说，医疗保健行业正受到Ryuk的攻击。一个月前，连锁医院Universal Health Services遭到了Ryuk的攻击，最终使该公司损失了6700万美元。 今年2月，一名俄罗斯男子在俄勒冈州联邦法院认罪，承认在三年内为Ryuk洗钱。他被指控与13名未透露姓名的同谋一起担任该组织的中间人。 对日达诺娃这样的人的制裁往往象征意义大于实际意义，因为参与非法活动的俄罗斯人不太可能在美国拥有财产或商业利益。       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene  

Bleeping Computer 网站消息，拥有美国航空公司 1.5 万名飞行员的大工会——美国飞行员协会（Allied Pilots Association，APA）近期披露其系统遭到勒索软件攻击。（APA 工会成立于 1963 年，是目前世界上最大的独立飞行员工会） Emsisoft 完全威胁分析师 Brett Callow 在一份声明中表指出， APA 在10 月 30 日遭遇了一次勒索软件事件，某些系统被网络攻击者非法加密了。发现该事件后，内部立即采取应对措施，后续在外部网络安全专家的支持下，将不间断地恢复系统。 APA 也表示，其 IT 团队和外部网络安全专家正在努力从备份中恢复受勒索软件攻击影响的系统，初步的重点工作是在未来数小时，至多数天内恢复面向试点的产品和工具。 此外，工会已经开启了一项由第三方网络安全专家领导的调查，以评估勒索事件的全面性及其对被入侵系统中存储的数据的影响。值得注意的是，APA 尚未透露飞行员的个人信息是否在网络攻击中泄露，也未透露受影响的确切人数。 美国航空业频遭网络攻击 近两年美国航空业频遭网络攻击，大量员工数据、旅客信息遭到泄露。今年 4 月，管理多家航空公司飞行员申请和招聘门户网站的第三方供应商 Pilot Credentials 遭到黑客攻击。两个月后，美国航空公司的飞行员才被告知其个人数据信息遭到数据泄露。 美国航空公司在向受影响个人发送的数据泄露通知中表示，网络攻击者获取了 5745 名飞行员和申请者的敏感信息，这些信息主要包括姓名、社会安全号、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号码等详细内容。 2021 年 3 月，美国航空公司披露了一起数据泄露事件，网络攻击者入侵了多家航空公司使用的、由全球航空信息技术巨头 SITA 运营的乘客服务系统 (PSS)。2022 年 9 月，美国航空公司披露了另外一起数据泄露事件，在 2022 年 7 月的一次网络钓鱼攻击中，数个员工电子邮件账户被泄露，超过 1708 名客户和员工受到影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/382883.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，BlackCat （黑猫）勒索软件团伙声称其成功侵入医疗保健巨头 Henry Schein 内部网络，并窃取了包括员工工资信息和股东信息在内的数十 TB 数据。 Henry Schein 作为一家全球著名的医疗保健解决方案提供商和财富 500 强公司，在 32 个国家和地区开展业务，2022 年收入超过 120 亿美元。 遭到袭击后，Henry Schein 立即采取应急措施 发现遭遇网络袭击后，Henry Schein 迅速采取预防措施。公司信息小组人员暂时离线下架某些系统，以及采取其他旨在控制事件蔓延的措施，虽然此举很好限制了网络事件带来的恶劣影响持续升级，但也导致 Henry Schen 的一些业务运营暂时中断。（该公司强调 Henry Schein One 实践管理软件没有受到影响） 随后，Henry Schein 将网络安全事件通知了相关执法部门，并聘请了外部网络安全和取证专家，调查此次攻击是否会导致数据泄露等问题。网络安全事件披露一周后，医疗服务提供商 Henry Schein 敦促其客户通过 Henry Schein 代表或使用专用的电话销售号码下单。 黑猫声称盗取了大量 Henry Schein 的数据信息 大约两周后，黑猫勒索软件团伙将 Henry Schein 添加到了其暗网泄露网站，并声称其破坏了该公司的网络，窃取了 35 TB的敏感文件。值得一提的是， 黑猫团伙表示由于赎金谈判失败，在 Henry Schein 几乎完成恢复所有系统之际，他们再次加密了该公司的网络设备。 黑猫团伙一成员表示，在与 Henry Schein 团队讨论赎金问题时，没有任何迹象表明该公司愿意优先考虑客户、合作伙伴以及员工的数据安全问题。如果赎金谈判没有进展，会把部分 Henry Schein 内部工资数据和股东文件夹发布到泄密网站上，后续也会每天发布一些信息。 目前， Henry Schein 在黑猫数据泄露网站上的条目已被删除，暗示该公司将重启谈判或支付赎金。为此，BleepingComputer 联系了 Henry Schein 发言人，他没有立即对此做出回应。 黑猫勒索软件猖狂至极 2021 年 11 月，黑猫勒索软件“浮出水面”，一度被怀疑是臭名昭著的 DarkSide/BlackMatter 勒索软件团伙的品牌重塑，在成功渗透 Colonial Pipeline 后引起了全球关注，促使全球执法部门对其展开调查。 近期，一个被追踪为 Scattered Spider 的黑猫子团伙声称对米高梅度假村的入侵负责，在米高梅度假酒店拒绝赎金谈判并关闭其内部基础设施后，该团伙加密了其 100 多个 ESXi 管理程序。   转自Freebuf，原文链接：https://www.freebuf.com/news/382719.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现，网络犯罪分子正在利用Facebook广告传播恶意软件，并劫持用户的社交媒体账户。 在恶意广告活动中，黑客利用合法工具进行在线广告分发，并在广告中插入受感染的链接。据Bitdefender的网络安全研究人员称，为了吸引用户点击，该恶意活动利用了年轻女性的淫秽图片。 研究人员报告说，该活动旨在向受害者的设备发送一个新版本的NodeStealer恶意软件。广告中的一些照片似乎是经过编辑或AI生成的。 NodeStealer是一种相对较新的信息窃取工具，它允许黑客窃取受害者的浏览器cookie并接管Facebook账户。 在之前的一次活动中，研究人员观察到黑客使用NodeStealer接管Facebook的商业账户，并从加密货币钱包中窃取资金。Facebook母公司Meta的研究人员表示，他们在1月份首次发现了这种恶意软件。 在Bitdefender描述最近的行动中，网络罪犯使用了至少10个受损的企业账户来运行和管理广告，将恶意软件分发给Facebook的普通用户——主要是来自欧洲、非洲和加勒比地区的40岁及以上的男性。 每次点击广告都会立即将恶意可执行文件下载到受害者的设备上。研究人员估计，在短短10天内，就有近10万用户下载了该恶意软件。 目前还不清楚是哪个黑客组织发起了这次攻击。第一次NodeStealer攻击被认为是来自越南的攻击者，他们通过Facebook Messenger攻击企业用户。 研究人员表示，在最新的攻击活动中发现的NodeStealer变体略有更新。它有一些新功能，允许黑客访问其他平台，如Gmail和Outlook，并下载额外的恶意负载。 研究人员说，一旦网络犯罪分子利用NodeStealer的基本功能获得了用户浏览器cookie的访问权限，他们就可以接管Facebook账户并访问敏感信息。 然后，黑客可以更改密码并激活帐户上的额外安全措施，以完全拒绝合法所有者的访问，从而允许网络犯罪分子实施欺诈。 研究人员表示：“无论是窃取金钱还是通过劫持账户诈骗新的受害者，这种类型的恶意攻击都能让网络罪犯通过Meta的安全防御而不被发现。”     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene