9月21日，美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。 网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。 该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。 据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。 该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。 此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。 他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。 该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。 受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。 Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。   转自Freebuf，原文链接：https://www.freebuf.com/news/378862.html 封面来源于网络，如有侵权请联系删除

今年8月下旬，P2PInfect 僵尸网络蠕虫病毒活动量数据开始上升，到今年9月仍在持续上升。 P2PInfect最早发现于2023年7月，它是一种点对点的恶意软件，利用远程代码执行漏洞入侵互联网上的 Windows 和 Linux 系统中的 Redis 实例。 Cado Security 的研究人员自2023年7月下旬以来一直在跟踪该僵尸软件。他们报道称，如今看到的僵尸网络活动遍及全球，影响了包括美国、德国、新加坡、香港、英国和日本等多个国家的系统。 此外，Cado 还表示，最新的 P2PInfect 样本又新增了不少功能并改进了之前的问题功能，这使得其传播力更强。 活动急剧增加 近日，Cado发现了P2PInfect僵尸软件的新活动，这表明该恶意软件已进入代码稳定的新时期。 据研究人员报告称，他们观察到P2PInfect对其蜜罐进行的初始访问尝试次数稳步上升，截至今年8月24日，仅单个传感器的事件数已经达到4064 次。 到今年9月3日，初始访问事件增加了两倍，但仍然相对较少。 然而，在今年9月12日至19日的一周内，P2PInfect 活动激增，仅在此期间，Cado就记录了3619次访问尝试，增长了600倍。 Cado 解释说：P2Pinfect 流量的增加与野生变种数量的增加相吻合，这表明恶意软件开发者的开发速度极快。 记录的尝试访问事件（Cado Security） P2PInfect 的新功能 在活动增加的同时，Cado 还发现了一些新的样本，这些样本使 P2PInfect 成为一个更隐蔽、更可怕的威胁。 首先，恶意软件的作者添加了一种基于 cron 的持续机制，取代了以前的 “bash_logout “方法，每 30 分钟触发一次主要有效载荷。 由 P2PInfect（Cado Security）编写的 Cron 作业 此外，P2Pinfect 现在使用（二级）bash 有效载荷通过本地服务器套接字与主有效载荷通信，如果主进程停止或被删除，它会从对等程序中获取副本并重新启动。 恶意软件现在还使用 SSH 密钥覆盖被入侵端点上的任何 SSH authorized_keys，以防止合法用户通过 SSH 登录。 覆盖现有 SSH 密钥（Cado Security） 如果恶意软件拥有 root 访问权限，它就会使用自动生成的 10 个字符的密码对系统中的其他用户执行密码更改，将其锁定。 最后，P2PInfect 现在为其客户端使用 C 结构配置，该配置在内存中动态更新，而以前它没有配置文件。 目标不明确 Cado 报告称最近观察到的 P2PInfect 变体在试图获取有效载荷，但在被入侵设备上并未看到实际的加密活动。因此，目前还不清楚恶意软件的开发者是否仍在尝试攻击的最后一步，P2PInfect僵尸软件的操纵者可能正在增强其组件或寻找订阅 P2PInfect 的买家。 鉴于当前该僵尸软件的规模、传播、自我更新功能以及本月激增的活动量，可见P2PInfect 是一个值得关注的重大威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378723.html 封面来源于网络，如有侵权请联系删除

微软旗下的医疗科技公司Nuance透露，Clop勒索团伙窃取了北卡罗来纳州主要医院的个人数据。MOVEit Transfer是一种托管文件传输，企业使用它来安全地传输基于SFTP、SCP和HTTP的上传文件。微软认为Clop勒索软件团伙利用了MOVEit Transfer平台中的零日漏洞CVE-2023-34362。 6月份，Clop勒索软件集团声称利用MOVEit Transfer漏洞入侵了全球数百家公司。在Clop集团的受害者中，还有微软的Nuance医疗保健技术子公司。Nuance在网络安全专家和一家律师事务所的帮助下对该事件展开了调查。该公司表示，Clop集团可能窃取了北卡罗来纳州多家医院和其他医疗服务提供商的个人数据，包括： 位于夏洛特的医疗保健系统巨头Atrium Health 希科里的卡托巴山谷医疗中心 夏洛特放射科 杜克大学卫生系统 位于桑福德的DLP中卡罗莱纳医疗中心 总部位于格林维尔的ECU Health 位于卡罗莱纳州派恩赫斯特的FirstHealth 总部位于阿什维尔的使命健康系统 Winston Salem的Novant Health Novant Health位于威尔明顿的新汉诺威地区医疗中心 北卡罗来纳大学教堂山分校健康中心 总部位于罗利的Wake Radiology Diagnostic Imaging 总部位于罗利的WakeMed Health&Hospitals 泄露的数据包括人们接受的服务和他们的人口统计信息。在软件供应商披露该缺陷并发布安全更新以修复后，Nuance宣布已立即解决该问题。 Nuance表示：“补丁一有空就安装好了。数据隐私和安全是Nuance的首要任务之一。公司采取了广泛的措施来保护委托给这些信息。”研究人员建议人们查看账户对账单，并监控其免费信用报告中的可疑活动。 美国医院面临压力，多家医院遭到攻击 最近，Rhysida勒索软件集团成为头条新闻，因为它宣布Prospect Medical Holdings遭到黑客攻击，并窃取了该组织的敏感信息。 8月初，网络攻击扰乱了多家医院的计算机系统，这些医院位于多个州，包括加利福尼亚州、得克萨斯州、康涅狄格州、罗德岛州和宾夕法尼亚州。几个州多家医院的一些急诊室被迫关闭，救护车也因网络遭到网络攻击而改道。 几天前，在Prospect Medical袭击事件发生后，Rhysida勒索软件集团在其Tor泄漏现场的受害者名单上又增加了三家美国医院。 Singing River Health System经营着3家医院和10家诊所，是密西西比湾沿岸第二大雇主。旗下的三家医院和其他医疗设施的系统在8月底也遭到网络攻击。   转自E安全，原文链接：https://mp.weixin.qq.com/s/M8cktGA7HYxxUSrP5RJguA 封面来源于网络，如有侵权请联系删除

Mozilla 今天发布了紧急安全更新，以修复一个已经在外部被利用的重要零日漏洞，该漏洞影响了 Firefox 网页浏览器和 Thunderbird 电子邮件客户端。该安全漏洞被追踪为 CVE-2023-4863，是由 WebP 代码库（libwebp）中的堆缓冲区溢出引起的，其影响范围从崩溃到任意代码执行。 Mozilla 在本周二发布的一份公告中说：”我们发现这个问题在其他产品中被广泛利用。打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出。” Mozilla 在 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 中解决了这个零日漏洞。 尽管有关 WebP 漏洞在攻击中被利用的具体细节仍未披露，但这一关键漏洞已在实际场景中被滥用。因此，强烈建议用户安装更新版本的 Firefox 和 Thunderbird，以保护系统免受潜在攻击。 正如 Mozilla 在今天的安全公告中透露的那样，CVE-2023-4863 零日漏洞还影响到使用易受攻击的 WebP 代码库版本的其他软件。 其中之一就是Google Chrome 浏览器，该浏览器已于周一针对这一漏洞打了补丁，当时Google警告说”意识到 CVE-2023-4863 的漏洞存在于外部”。 Chrome 浏览器的安全更新正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。 苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院（University of Toronto’s Munk School）的公民实验室（The Citizen Lab）于 9 月 6 日报告了这一漏洞。 Citizen Lab 的安全研究人员还曾发现并披露过零日漏洞，这些漏洞经常被政府附属威胁机构领导的有针对性的间谍活动所利用。这些间谍活动通常针对面临重大攻击风险的个人，包括记者、反对派政治家和持不同政见者。 本周四，苹果公司还修补了 Citizen Lab 标记的两个零点漏洞，这两个零点漏洞被称为 BLASTPASS 漏洞利用链的一部分，可将 NSO Group 的 PegASUS雇佣军间谍软件部署到已打补丁的iPhone上。 今天，BLASTPASS 补丁还被回传至旧版 iPhone 机型，包括 iPhone 6s 机型、iPhone 7 和第一代 iPhone SE。   转自cnBeta，原文链接：https://www.toutiao.com/article/7278357476410556968/?log_from=dc4869e42f546_1694672379955 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客组织通过一个伪造和受损的 Facebook 账户网络，发送数百万条 Messenger 钓鱼信息，利用密码窃取恶意软件攻击 Facebook 企业账户。 据悉，网络攻击者通过诱骗目标用户下载一个 RAR/ZIP 压缩包，压缩包中包含一个基于 Python 的可规避窃取程序下载器，该窃取程序能够抓取受害目标浏览器中存储的 cookie 和密码。根据  Guardio 实验室一份新报告显示，大约每七十个目标账户中就有一个账户最终被成功入侵，从而导致巨大经济损失。 Facebook Messenger 网络钓鱼 首先，黑客向 Facebook 企业账户发送 Messenger 钓鱼信息，假装侵犯版权或要求其提供更多产品信息。 Messenger 上的钓鱼信息（Guardio Labs） 此外，压缩包中还包含一个批处理文件，如果受害目标执行该文件，就会从 GitHub 存储库中获取一个恶意软件下载器，以逃避拦截列表并尽量减少明显的痕迹。 除有效载荷（project.py）外，批脚本还获取信息窃取恶意软件所需的独立 Python 环境，并通过设置窃取程序二进制文件在系统启动时执行来增加持久性。（project.py  文件有五层混淆，因此是使得使反病毒引擎难以捕获该威胁） 有效载荷的部分代码（Guardio Labs） 该恶意软件会将受害者网络浏览器上存储的所有 cookie 和登录数据收集到一个名为 “Document.zip “的 ZIP 压缩包中，然后通过 Telegram 或 Discord 僵尸 API 将窃取的数据信息发送给网络攻击者。 随后，网络攻击者会清除受害者设备上的所有 Cookie 以注销其账户，这样做的话攻击者就有足够的时间通过更改密码来劫持新入侵的账户。（鉴于社交媒体公司可能需要一段时间才能回复有关账户被劫持的电子邮件，这就给威胁攻击者利用被黑账户进行欺诈活动，预留了一部分时间。） 完整的攻击链（Guardio Labs） 活动规模 目前，尽管攻击链并不“新奇”，但 Guardio 实验室观察到此次网络攻击的活动规模着实令人震惊，研究人员报告称每周大约有 10 万条网络钓鱼信息，其中大部分发送到了北美、欧洲、澳大利亚、日本和东南亚的 Facebook 用户上。 受害者热图（Guardio Labs） Guardio Labs 表示此次网络攻击活动规模庞大，Facebook 所有企业账户中约有 7% 已成为了攻击目标，其中 0.4% 下载了恶意存档。再加上感染该恶意软件后，用户仍需执行批处理文件，因此被劫持账户的数量尚不清楚，但可能数量相当可观。 攻击活动或与越南黑客有关 值得一提的是，鉴于恶意软件中有某些字符串，并使用“Coc-Coc”网络浏览器（该浏览器在越南非常流行），Guardio 将本次网络攻击活动归因于越南黑客,。 Guardio 进一步解释道，消息”Thu Spam lầ第 n 个 ứ 它被发送到 Telegram 机器人程序，并附上执行时间的计数器，从越南语翻译为“收集 X 时间的垃圾邮件”。 越南威胁攻击组织今年以脸书为目标开展了多次大规模活动，主要通过 Telegram 或暗网市场转售被盗账户来获利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一场源自越南的网络攻击活动，该活动部署了一种名为“NodeStealer”的新型信息窃取恶意软件。2023 年 4 月，Guardio Labs 也曾披露一名越南威胁攻击者滥用 Facebook 广告服务，用窃取信息恶意软件感染了大约 50 万用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/377769.html 封面来源于网络，如有侵权请联系删除

近日，谷歌应用商店中出现了伪装成Telegram修订版的间谍软件，该软件可入侵安卓设备并获取敏感信息。 卡巴斯基安全研究员Igor Golovin表示，这种恶意软件不仅可以窃取用户的姓名、ID、联系人、电话号码和聊天信息，还能将这些信息传输至恶意行为者的服务器上。 俄罗斯网络安全公司将这种活动命名为 Evil Telegram。 这些软件在被谷歌商店下架前，已经被下载了数百万次。详细信息如下： 電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – 10 million+ downloads TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – 50,000+ downloads 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50,000+ downloads 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10,000+ downloads ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100+ downloads 值得注意的是，与 Play Store 版 Telegram 相关的软件包名称是 “org.telegram.messenger”，而直接从 Telegram 网站下载的 APK 文件的软件包名称是 “org.telegram.messenger.web”。 恶意软件包名称中使用的”wab”、”wcb “和 “wob “更加表明了威胁行为者是通过这样的错别字抢注技术来冒充真正的Telegram应用程序，以达到掩人耳目的目的。 乍一看，这些应用程序似乎是带有完整的本地化界面的Telegram克隆版。这个克隆版软件从外观界面、甚至操作运行起来都与真品几乎一样。仅有一个非常小的区别，就是受感染的版本包含一个额外的模块，因此没有引起 Google Play 管理员的注意。 ESET 在几天前披露了针对官方应用程序市场的BadBazaar恶意软件活动，该活动利用恶意版 Telegram 收集聊天备份。 斯洛伐克网络安全公司在2023年3月也曾发现过类似的山寨 Telegram 和 WhatsApp 应用程序，这些应用程序带有剪切功能，可以拦截和修改聊天信息中的钱包地址，并将加密货币转账重定向到攻击者的钱包。 转自freebuf，原文链接：https://www.freebuf.com/news/377615.html 封面来源于网络，如有侵权请联系删除

银行和物流行业正遭受一种名为 “Chaes “恶意软件变种的攻击。 Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说：“Chaes”经历了重大的改版，从完全用 Python 重写，到整体重新设计和增强通信协议，导致传统防御系统的检测率降低。 据了解，Chaes 于 2020 年首次出现，主要针对拉丁美洲（尤其是巴西）的电子商务客户窃取敏感的财务信息。 Avast 在 2022 年初发现，自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站，向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。 2022 年 12 月，巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation（WMI），以方便收集系统元数据，如 BIOS、处理器、磁盘大小和内存信息。 该恶意软件的最新迭代版本被称为 Chae$ 4（参考源代码中的调试日志信息），其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。 尽管恶意软件架构发生了变化，但在 2023 年 1 月发现的攻击中，总体传输机制保持不变。 潜在受害者登陆其中一个被入侵的网站后，会弹出一个消息，要求他们下载 Java Runtime 或防病毒解决方案的安装程序，从而触发恶意 MSI 文件的部署，该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。 该组件负责建立与命令控制（C2）服务器的通信渠道，从中获取支持入侵后活动和数据盗窃的其他模块 。 初始化，收集系统的大量信息 在线，作为信标向攻击者回传信息，表明恶意软件正在机器上运行 Chronod 会窃取在网页浏览器中输入的登录凭证，并拦截 BTC、ETH 和 PIX 支付转账 Appita 模块，具有与 Chronod 类似的功能，但专门针对 Itaú Unibanco 的桌面应用程序（”itauaplicativo.exe”）。 Chrautos 是 Chronod 和 Appita 的升级版本，主要从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据。 窃取程序，Chrolog 的改进版，可窃取信用卡数据、cookie、自动填充和其他存储在网络浏览器中的信息。 文件上传器，用于上传与 MetaMask 的 Chrome 扩展相关的数据。 主机上的持久性是通过计划任务完成的，而 C2 通信则需要使用 WebSockets，植入程序会无限循环运行，等待远程服务器的进一步指令。 通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标，凸显了攻击者的攻击嗅觉。 Morphisec 进一步解释说：Chronod 模块引入了框架中使用的另一个组件，一个名为 “模块打包器 “的组件。这个组件为模块提供了自己的持久性和迁移机制，其工作原理与ChaesCore的机制非常相似。 这种方法包括更改与网页浏览器（如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器）相关的所有快捷方式文件（LNK），以执行 Chronod 模块，而不是实际的浏览器。 该公司表示：恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。 该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。     转自Freebuf，原文链接:https://www.freebuf.com/news/377222.html 封面来源于网络，如有侵权请联系删除

根据WithSecure发布的一份新报告，针对Meta Business和Facebook账户的网络攻击在越南的犯罪分子中越来越受欢迎。通常，这些黑客利用通过电子邮件、社交媒体或类似手段共享的各种引诱主题（包括OpenAI的ChatGPT、谷歌的Bard、流行软件如Notepad++，甚至广告和工作机会），操纵受害者感染信息窃取恶意软件。 感染后，恶意软件会窃取各种信息，包括Facebook会话cookie和登录凭据，使攻击者能够访问目标帐户。一些恶意软件植入还可以劫持账户，并通过受害者的机器自动运行欺诈广告。 其他网络罪犯的推动者 访问这些账户为攻击者提供了一些赚钱的机会，例如勒索、诽谤，或者更值得注意的是，利用受害者的资金或信用发布欺诈广告。 一般来说，这些组织向其他网络犯罪分子出售广告，要么收取费用，要么分享业务。这使他们成为其他网络犯罪分子的推动者，最终伤害了企业、平台和用户。此外，他们可以出售大量窃取的信息，这提供了额外的收入来源，也为受害者带来了更多问题。 Ducktail和Duckport 报告还深入探讨了参与这些袭击的两个威胁集群，Ducktail和Duckport。 Ducktail在过去六个月内活动激增，最近开始瞄准X（前身为Twitter）广告账户和Meta Business Ads。它还加强了规避和反分析技术，以避免被发现。 Duckport与Ducktail非常相似，但它也有独特的功能，例如可以截图或滥用在线笔记共享服务，作为其指挥和控制链的一部分。 这些不同但相似的团体的参与表明，在这一领域活动的对手之间有一定程度的合作。这些群体可能从共同的人才库中获取专业知识，也可能在信息共享框架内运作，以交流有效战略。此外，不能忽视提供类似于勒索软件服务模式的中介机构的潜在参与。威胁事件的不断增长，表明这些攻击取得了一定程度的成功。 根据Statista的数据，Meta是全球广告收入第二大广告平台，2023年5月占全球广告市场的23.8%。WithSecure报告评论称：“这一成功自然吸引了希望滥用该平台的威胁行为者。”     转自E安全，原文链接:https://mp.weixin.qq.com/s/LG9PAdcHHlg-MXZj1j6WBA 封面来源于网络，如有侵权请联系删除

相信熟悉Windows系统的用户或多或少都了解过其中自带的写字板功能，但微软近期表示，将在未来的某个 Windows 版本更新中正式移除写字板。 写字板是一种基本的文本编辑应用程序，允许用户创建和编辑带有格式化文本，并包含图像和其他文件的链接的文档。自1995年Windows 95发布以来，写字板便一直是Windows系统中自带的软件功能。 随着写字板将正式被弃用，微软建议用户使用Word来替代写字板，并为那些不需要富文本支持的用户推荐使用记事本。 其实自 2020 年 2 月发布 Windows 10 Insider Build 19551 以来，写字板就变成了Windows系统中的可选功能，即用户可以通过控制面板将其卸载。 目前微软并未透露移除写字板的具体原因，但恶意软件也曾利用过写字板进行攻击活动。今年年初，Qbot 恶意软件操作就通过滥用Windows 10 写字板中的 DLL 劫持缺陷来感染计算机并逃避检测。 近年来，微软已在Windows中砍掉了多项已存在多年的自带软件，包括经典的画图程序，该应用在2017年 7 月发布的 Windows 10 Fall Creator’s Update版本更新中被正式移除。但由于画图程序受众依然广泛，微软将其移至应用商店供用户下载。 因此，如果写字板依然存在用户需求，微软仍可能为其提供在应用商店的下载渠道，而不是彻底让这款有着28年历史的应用彻底消失。     转自Freebuf，原文链接:https://www.freebuf.com/news/377081.html 封面来源于网络，如有侵权请联系删除