分类: 恶意软件

微软过时驱动程序列表让 Windows PC 易受恶意软件攻击

援引 Ars Technica 报道,微软近三年来始终无法正确保护 Windows PC 免受恶意驱动程序的侵害。尽管微软表示其 Windows Update 根据设备的不同将新的恶意驱动程序添加到已下载的阻止列表中,但这些列表并未奏效。 由于设备方面的差距让用户非常容易受到“带上自己脆弱的驱动”(bring your own vulnerable driver,BYOVD)攻击。 驱动程序是计算机操作系统用来与外部设备和硬件(例如打印机、显卡或网络摄像头)通信的文件。由于驱动程序可以访问设备操作系统或内核的核心,因此微软要求所有驱动程序都经过数字签名,以证明它们可以安全使用。但是,如果现有的数字签名驱动程序存在安全漏洞,黑客可以利用此漏洞直接访问。 目前已经有证据表明黑客利用这种方式发起攻击。8 月,黑客对用于超频的实用程序 MSI AfterBurner 下手,在这个存在缺陷的驱动程序上安装了 BlackByte 勒索软件。近期另一件此类事件是网络犯罪分子利用游戏 Genshin Impact 的反作弊驱动程序中的漏洞。 朝鲜黑客组织 Lazarus 于 2021 年对荷兰的一名航空航天雇员和比利时的一名政治记者发动了 BYOVD 攻击,但安全公司 ESET 直到上个月底才曝光。 正如 Ars Technica 所指出的,微软使用了一种称为虚拟机管理程序保护代码完整性 (HVCI) 的东西,它应该可以防止恶意驱动程序,该公司表示,某些 Windows 设备默认启用该驱动程序。 然而,Ars Technica 和网络安全公司 Analygence 的高级漏洞分析师 Will Dormann 都发现,此功能无法为恶意驱动程序提供足够的保护。 在 9 月发布到 Twitter 的帖子中,Dormann 解释说,他能够在支持 HVCI 的设备上成功下载恶意驱动程序,即使该驱动程序在微软的阻止列表中。 他后来发现,微软的黑名单自 2019 年以来就没有更新过,而且微软的攻击面减少 (ASR) 功能也无法抵御恶意驱动程序。这意味着任何启用了 HVCI 的设备在大约三年内都没有受到不良驱动程序的保护。 微软于本月初修复了这个问题。微软项目经理 Jeffery Sutherland 在回复 Dormann 的推文时说:“我们已经更新了在线文档并添加了一个下载,其中包含直接应用安装包版本的说明。我们还在解决我们的服务流程中的问题,这些问题导致设备无法接收政策更新”。 微软发言人表示:“易受攻击的驱动程序列表会定期更新,但我们收到的反馈是操作系统版本之间的同步存在差距。我们已更正此问题,并将在即将到来的和未来的 Windows 更新中提供服务。文档页面将随着新更新的发布而更新”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1327727.htm 封面来源于网络,如有侵权请联系删除

LockBit 公司的附属机构破坏了微软的 Exchange 服务器以部署勒索软件

韩国网络安全公司AhnLab报告说,Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。 据悉,2022年7月,该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell,然后只花了7天时间就将权限升级为活动目录管理员,并在加密网络中托管的系统之前窃取了大约1.3TB的数据。 根据研究人员的说法,攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史,远程代码执行漏洞是在2021年12月16日披露的(CVE-2022-21969),特权升级漏洞是在2022年2月披露的,而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说,在5月之后披露的漏洞中,没有与远程命令或文件创建有关的漏洞报告。因此,考虑到WebShell是在7月21日创建的,预计攻击者使用了一个未公开的零日漏洞。 专家们认为,攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。 在这份关于LockBit勒索软件的报告中,有很多内容,我不相信这是一个零日(报告中没有证据),但要注意一个问题。 – Kevin Beaumont (@GossiTheDog) 2022年10月11日 漏洞研究者Will Dormann指出,该报告没有包括利用一个新的零日漏洞的证据。 到目前为止,我只粗略浏览了该页面的翻译版本,但有什么证据表明这是一个不同的漏洞? – Will Dormann (@wdormann) 2022年10月11日 Bleeping Computer指出,由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932,于2022年9月20日报告。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig 封面来源于网络,如有侵权请联系删除

研究人员详细介绍了网络间谍组织 Earth Aughisky 使用的恶意工具

Hackernews 编译,转载请注明出处: 一项新的研究详细介绍了名为Earth Aughisky的高级持续性威胁(APT)组织使用的恶意软件工具集的复杂性质。 Trend Micro上周在一份技术资料中透露:“在过去十年中,该组织一直在对台湾以及最近针对日本特定目标的工具和恶意软件部署进行调整。” Earth Aughisky,也被称为Taidoor,是一个网络间谍组织,以其滥用合法帐户、软件、应用程序以及网络设计和基础设施中的其他弱点的能力而闻名。 虽然中国的黑客主要针对台湾的组织,但2017年底观察到的受害者模式表明,其正在向日本扩张。 最常见的目标行业纵向市场包括政府、电信、制造业、重型、技术、运输和医疗。 该组织安装的攻击链通常利用鱼叉式网络钓鱼作为进入方法,用于部署下一阶段的后门。它的主要工具是一个名为Taidoor(又名Roudan)的远程访问木马。 该组织还与各种恶意软件家族有关,例如GrubbyRAT,K4RAT,LuckDLL,Serkdes,Taikite和Taleret,作为其不断更新武器库以规避安全软件尝试的一部分。 Earth Aughisky多年来使用的一些后门如下: SiyBot,一种基本的后门,使用Gubb和30 Boxes等公共服务进行命令和控制(C2) TWTRAT在C2上滥用了Twitter的直接消息功能 DropNetClient(又名Buxzop),它利用了C2的Dropbox API Trend Micro根据源代码、域和命名约定的相似性将恶意软件归因于黑客,分析还发现了它们之间的功能重叠。 这家网络安全公司还将Earth Aughisky的活动与另一名APT参与者联系起来,该参与者被空中客车公司命名为Pitty Tiger(又名APT24),原因是在2014年4月至8月发生的各种攻击中使用了相同的投掷器。 2017年,该组织将目光投向了日本和东南亚。从那以后,网络攻击的数量大幅下降。 最近目标和活动的转变可能表明战略目标发生了变化,或者该组织正在积极改进其恶意软件和基础设施。 Trend Micro研究人员CH Lei表示:“像Earth Aughisky这样的组织有充足的资源可供他们使用,使他们能够灵活应对长期实施网络间谍的武器库。” 该组织应关注此次攻击造成的停机时间,以防其再次活跃。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

美国第四大医疗系统 CommonSpirit Health 疑似遭勒索软件攻击

美国大型连锁医院之一疑似遭到勒索软件攻击,导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》(Becker’s Hospital Review)杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”,迫使某些系统宕机。 虽然 CommonSpirit 拒绝透露具体细节,但一位熟悉其补救措施的人士向 NBC 新闻证实,它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而,包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。 一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说,她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术,但医生推荐等待医院的技术问题修复之后再进行手术。 对医疗保健链的勒索软件攻击相对普遍,两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院,它也可以使部分或全部数字系统脱机,从而切断医生和护士对数字信息的访问,例如患者记录和护理建议。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1325679.htm 封面来源于网络,如有侵权请联系删除

新的 Maggie 恶意软件已感染包括我国在内的超 250 台微软 SQL 服务器

近日,来自DCSO CyTec的安全研究人员Johann Aydinbas和Axel Wauer发现了一个新的恶意软件,名为Maggie,已经感染了全球250多个微软SQL服务器。 据悉,该恶意软件以 “扩展存储过程 “的形式出现,这些存储过程从DLL文件调用功能。装入服务器后,攻击者可以使用SQL查询来控制它,并提供各种功能来运行命令,并与文件互动。该后门还能够强行登录到其他MSSQL服务器,以增加一个特殊的硬编码后门。 此外,该后门还具有对其他MSSQL服务器进行暴力破解登录的能力,同时在成功破解管理员登录的情况下,增加一个特殊的硬编码后门用户。基于这一发现,全球有超过250台服务器受到影响,而且明显集中在亚太地区。一旦被攻击者加载到服务器中,它就只用SQL查询来控制,并提供各种功能来运行命令,与文件互动,并作为网络桥头堡进入受感染的服务器环境。 在调查新的威胁时,专家们发现了一个可疑的文件,该DLL文件由DEEPSoft Co., Ltd.在2022-04-12签署。导出目录显示了库的名称,sqlmaggieAntiVirus_64.dll,它提供了一个名为maggie的单一导出。 检查DLL文件时,专家们发现它是一个扩展存储过程,它允许SQL查询运行shell命令。 Maggie恶意软件支持超过51条命令来收集系统信息和运行程序,它还能够支持与网络有关的功能,如启用TermService,运行Socks5代理服务器或设置端口转发,使Maggie作为桥头堡进入服务器的网络环境。 Maggie还支持由攻击者传递的命令以及附加在这些命令上的参数。 Maggie实现了简单的TCP重定向,允许它作为网络桥头从互联网到被攻击的MSSQL服务器所能到达的任何IP地址的操作。 当启用时,如果源IP地址与用户指定的IP掩码相匹配,Maggie会将任何传入的连接(在MSSQL服务器正在监听的任何端口)重定向到先前设置的IP和端口。该实施方案实现了端口重用,使重定向对授权用户来说是透明的,而任何其他连接的IP都能够使用服务器而不受任何干扰,也不会被Maggie知道。 专家们注意到,支持的命令列表包括Exploit AddUser、Exploit Run、Exploit Clone和Exploit TS。研究人员注意到,用于实现上述命令的DLL在命令的实际执行中并不存在。研究人员假设调用者在发出任何剥削.命令之前,手动上传了剥削DLL。 然后,Maggie会加载用户指定的DLL,寻找一个名为StartPrinter或ProcessCommand(取决于使用的确切命令)的出口,并通过用户提供的参数。 研究人员分享了这种威胁的妥协指标(IoCs),并宣布他们将继续调查,以确定受影响的服务器是如何被利用的。   转自E安全,原文链接:https://mp.weixin.qq.com/s/1H-0pn7nFmPszbpOggt8kg 封面来源于网络,如有侵权请联系删除

鼠标悬停也能中招!带毒 PPT 正用来传播 Graphite 恶意软件

据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。 攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。 含恶意脚本的PPT文件 感染链 来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。 触发执行恶意代码 接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。 Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。 Graphite 使用的固定客户端 ID 研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。 “如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。 总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/345682.html 封面来源于网络,如有侵权请联系删除

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络,如有侵权请联系删除

安全公司 Bitdefender 无偿放出 LockerGoga 勒索软件解密器

响应 NoMoreRansom Initiative 活动号召,罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器,LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现,以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro,导致这家挪威铝制造商停产近一周,损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称,LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击,造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态,当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示,逮捕后,警方花了几个月的时间检查突袭期间收集的数据,并发现了该组织的加密密钥,以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示:“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时,通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥,根据我们与相关执法部门的合作,这些密钥已私下与我们共享”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络,如有侵权请联系删除

Emotet 僵尸网络开始分发 Quantum 和 BlackCat 勒索软件

Hackernews 编译,转载请注明出处: 在Conti今年正式退出威胁领域后,包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马,但随着时间的推移,该恶意软件已成为巨大的威胁,它能够将其他有效负载下载到受害者的机器上,从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除,但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示:“从2021年11月到2022年6月Conti解散,Emotet是Conti独有的勒索软件工具,然而,Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet(又名SpmTools)作为初始访问向量来投放Cobalt Strike,然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散,但它的一些成员仍然一如既往地活跃,要么是BlackCat和Hive等其他勒索软件团队的成员,要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织,在随后的几个月里,它利用了回调网络钓鱼技术(称为BazaCall或BazarCall)来突破目标网络。 Recorded Future在上个月发布的一份报告中指出:“Conti附属公司使用各种初始访问媒介,包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示,自今年年初以来,它在全球范围内观察到超过1267000例Emotet感染病例,活动高峰出现在2月和3月,恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用,感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示,Emotet攻击最多的国家是美国,其次是芬兰、巴西、荷兰和法国。 ESET此前报告称,与2021年9月至12月的前四个月相比,2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称,Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名,仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新的恶意软件包通过 YouTube 视频自我传播

Bleeping Computer 网站披露,一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法,这些上传的视频中包含了下载破解和作弊器的链接,但是受害者安装的却是能够自我传播的恶意软件包。 据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。 恶意软件RedLine 卡巴斯基在一份报告中指出,研究人员发现一个 RAR 档案中包含了一系列恶意软件,其中最引人注目的是 RedLine,这是目前最大规模传播的信息窃取者之一。 RedLine 可以窃取存储在受害者网络浏览器中的信息,例如 cookie、账户密码和信用卡,还可以访问即时通讯工具的对话,并破坏加密货币钱包。 除此之外,RAR 档案中还包括一个矿工,利用受害者的显卡为攻击者挖掘加密货币。 由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe,当启动时,所有的可执行文件都会被隐藏,不会在界面上生成窗口或任何任务栏图标,所以受害者很难发现这些情况。 YouTube上自我传播的RedLine 值得一提的是,卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。 具体来说,RAR包含运行三个恶意可执行文件的批处理文件,即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”,它们可以执行捆绑的自我传播。 RAR中包含的文件(卡巴斯基) 第一个是 MakiseKurisu,是广泛使用 C# 密码窃取程序的修改版本,仅用于从浏览器中提取 cookie 并将其存储在本地。 第二个可执行文件“download.exe”用于从 YouTube 下载视频,这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的,以避免指向已从 YouTube 报告和删除的视频 URL。 宣传恶意软件包的YouTube视频(卡巴斯基) 第三个是“upload.exe ”,用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户,并通过他们的频道传播捆绑的恶意软件。   上传恶意视频的代码(卡巴斯基) 卡巴斯基在报告中解释,[upload.exe]使用了 Puppeteer Node 库,提供了一个高级别 API,用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时,upload.exe 会向 Discord 发送一条信息,并附上上传视频的链接。 生成Discord通知(卡巴斯基) 如果YouTube频道所有者日常不是很活跃,他们不太可能意识到自己已经在 YouTube 上推广了恶意软件,这种传播方式使 YouTube 上的审查和取缔更加困难。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/344691.html 封面来源于网络,如有侵权请联系删除