近日，谷歌正在测试 Chrome 浏览器的一项新功能。该功能可在已安装的扩展程序从 Chrome 网上商城删除时向用户发出恶意软件提示警告。 在Chrome 应用商店里一直有人源源不断的发布浏览器扩展程序，有很多都会通过弹出式广告和重定向广告进行推广。 这些扩展程序是由诈骗公司和威胁行为者制作的，他们利用这些扩展程序注入广告、跟踪用户的搜索历史、并将用户重定向到联盟网页，或者在更严重的情况下窃取用户的 Gmail 电子邮件和 Facebook 账户。 问题是，这些扩展程序推出得很快，就在谷歌从 Chrome 浏览器网络商店删除旧扩展程序的同时，开发者又发布了新的扩展程序。 不幸的是，如果你安装了这些扩展，即使谷歌检测到它们是恶意软件并将它们从商店中删除，它们仍然会安装在你的浏览器中。 有鉴于此，谷歌正在为浏览器扩展程序提供安全检查功能，当某个扩展程序被检测为恶意软件或从商店中删除时，谷歌就会向 Chrome 浏览器用户发出警告，提醒他们从浏览器中卸载这些扩展程序。 该功能将在 Chrome 浏览器 117 中启用，但现在可以在 Chrome 浏览器 116 中通过启用浏览器的试验性 “安全检查扩展模块 “功能来测试该功能。 要启用该功能，只需将 Chrome 浏览器 URL “chrome://flags/#safety-check-extensions “复制到地址栏并按回车键。你将进入 Chrome 浏览器标志页面，并突出显示 “安全检查中的扩展模块 “功能。 现在将其设置为已启用，然后按提示重启浏览器以启用该功能。 谷歌浏览器扩展安全检查 启用后，”隐私和安全 “设置页面下将出现一个新选项，提示您查看从 Chrome 网上商城删除的任何扩展，如下图所示。 Chrome扩展的安全检查 来源：谷歌 单击此链接将进入扩展页面，其中列出已删除的扩展以及删除的原因，并提示您卸载它们。 从 Chrome 浏览器网络商店移除潜在恶意扩展程序  图源：Google 谷歌 谷歌表示，这些扩展程序从Chrome 浏览器网络商店中移除的原因是它们不是由开发者发布的、且违反政策，或直接被检测为恶意软件。 谷歌方面建议用户立即删除那些被检测为恶意软件的扩展程序，这样不仅能更好的保护自己的数据，还能防止电脑遭遇外部攻击。 另外，还有一些因其他原因被移除的扩展软件，谷歌也建议用户移除。这些软件从严格意义来说虽然不算恶意软件，但可能违反了其他政策。 谷歌有一个专门的 Chrome 浏览器网络商店政策页面，详细说明了哪些内容或行为可能导致扩展从商店中删除。   转自Freebuf，原文链接:https://www.freebuf.com/news/375515.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，威胁情报公司 Hudson Rock 的研究人员在约 12 万台感染信息窃取恶意软件的计算机上发现了与网络犯罪论坛相关的账户凭证，这些在 2018 年至 2023 年间被破坏的计算机中，有许多属于威胁攻击者。 研究人员根据电脑上发现的附加凭证（附加电子邮件、用户名）、包含个人信息（姓名、地址、电话号码）的自动填充数据和系统信息等指标，揭露出了黑客的真实身份，其中受感染数量最多的网络犯罪论坛是 “Nulled.to”（57 203），其次是 “Cracked.io”（19 062）和 “Hackforums.net”（13 366）。 对用户密码的分析结果表明，用户密码最强的论坛是 “Breached.to”，值得一提的是，黑客网站上使用的大多数凭证甚至比政府和军事网站上使用的凭证更强。 分析过程中，研究人员发现大多数窃取信息的恶意软件是 Redline，其次是 Raccoon和Azorult。黑客受到感染且至少有一个网络犯罪论坛认证的前 5 个国家分别是突尼斯（占该国感染总数的 7.55）、马来西亚（占全国感染总数的 6）、比利时（占全国感染总数的 5.14）、荷兰（占全国感染总数的 4.8），以色列（占全国感染总数的 4.43）。 最后，Hudson Rock 在发布的报告中指出信息攻击者感染作为一种新的网络犯罪趋势，自 2018 年以来激增了 6000%，使其成为威胁攻击者用来渗透组织和包括勒索软件、数据泄露、账户超越和企业间谍活动）等攻击活动的主要载体。     转自Freebuf，原文链接:https://www.freebuf.com/news/375281.html 封面来源于网络，如有侵权请联系删除

过去五天，美国加州一家房源挂牌服务提供商遭遇网络攻击，导致全国各地房屋买家、卖家、房地产经纪人和房源网站业务受阻。该公司提供一项关键在线工具，帮助房地产专业人士挂牌房源、查看待售房源、追踪挂牌房源。 这次攻击始于上周三（8月9日），袭击对象是位于加州的软件和服务提供商Rapottoni公司。该公司为加州乃至全美各地区房地产集团提供多重房源挂牌服务（也叫MLS），房地产经纪人可以实时获取各类房屋的销售数据，包括即将入市的房屋、购房报价以及已入市房屋的销售信息。多重房源挂牌服务在买家与卖家、经纪人和房源挂牌网站之间架起了重要桥梁。 公司遭受勒索软件攻击，持续多天系统仍未恢复 弗雷斯诺房地产经纪协会主席Brian Domingos在周一表示，Rapottoni公司在8月9日遭受黑客攻击，持续多天后服务器仍然处于离线状态。 加州索诺玛县房地产经纪人Peg King在上周五向客户发出电子邮件，写道：“如果你经常在房地产网站上刷新页面，你可能已经注意到，过去几天里这些网站活跃度明显降低。上周三以来，全国范围内的房地产多重房源挂牌服务系统一直无法使用，因为主要的多重房源挂牌服务提供商Rapattoni公司遭受了一次大规模网络攻击。这意味着房地产市场无法挂出新房源、修改价格、标记房源状态（待售/在售/已售），或列出可带看日期。” 据辛辛那提市WCPO电视台报道，Rapattoni公司代表向各地区多重房源挂牌服务提供商发送备忘录，写道“正如我们先前通报所说，Rapattoni的生产网络受到了网络攻击。我们正不分昼夜，努力采取措施，尽快恢复系统。我们也在积极调查事件的性质和范围。我们高度重视所掌握信息的机密性、隐私性和安全性。我们将所有技术资源都投入其中。目前，恢复时间暂时还不能确定。但是，我们将继续发布最新通告，让您了解我们的应对措施。” Rapattoni公司在上周日披露：“我们在继续调查这次网络攻击的性质和范围。这次攻击导致系统中断。我们正在不懈努力，全力恢复系统。我们所有可用的技术人员都在周末加班工作，直到问题解决为止。目前，恢复时间暂时还不能确定。但是，我们将继续发布最新通告，让您了解我们的应对措施。” 虽然Rapattoni公司将此事称为网络攻击，但媒体普遍报道这是一次勒索软件攻击。比如房地产信息网站Inman报道称，勒索软件攻击是导致系统中断的原因。Inman援引Rapattoni向其客户发送的消息，称联邦当局正在展开调查，其保险公司正在与“勒索软件个体”进行协商。 美国数十万房产经纪人工作受影响 这次攻击影响了全美数十万名多重房源挂牌服务会员经纪人。到目前为止，Rapattoni尚未公布关闭事件的具体类型或其他细节，也没有说明个人信息是否遭到了泄露。 这次系统中断明确提醒大家，一旦重要服务被黑，大批依赖这项服务的人员或企业将面临现实干扰。 人们纷纷采取各种措施以减少影响，房地产经纪人Peg King在一封电子邮件中写道：“我们被迫多开面对面会议，在会上分享新挂牌房源、降价信息、买家需求等等。当然，针对个人客户，我们也会打电话谈这些事情。” “根据Rapattoni官网，至少有34个来自12个州的其他房地产组织订阅了该公司的实时信息服务。除了弗雷斯诺房地产经纪协会，此次攻击还影响了加州多重房源挂牌服务系统，系统会员包括贝克斯菲尔德、湾区房地产信息服务、旧金山房地产经纪协会等。弗雷斯诺房地产经纪协会以及许多其他受影响的多重房源挂牌服务系统正在寻找解决方案。Brian Domingos表示，“我们正在手动将新房源和可带看日期提交给弗雷斯诺房地产经纪人协会人员，他们会每小时更新信息，向员经纪人提供最新信息。”他还写道。 BAREIS是一家经纪人拥有的多重房源挂牌服务商，专门为北加州房地产专业人士提供服务。BAREIS总裁兼首席执行官KB Holmgren表示，8月8日以来，他们提供的多重房源挂牌服务数据没有更新。她还没有收到Rapattoni关于何时会更新数据的消息。 KB Holmgren写道，“BAREIS已经采取了许多变通方法，让会员保持信息畅通。比如让会员访问包含其所在县多重房源挂牌数据的备选数据库。我们已经建立了临时系统，用于发布新房源、可带看日期和经纪人参观活动。” 并不是所有地区的房源挂牌服务都受到影响，因为一些地区的数据供应商并不是Rapattoni。全美范围内有数百家多重房源挂牌服务商。数据显示，Rapattoni提供了其中约5%的服务。如果未来几天内无法恢复服务，这次系统中断可能会给经纪人、买家、租户和卖家造成更严重的影响。     转自安全内参，原文链接:https://www.secrss.com/articles/57835 封面来源于网络，如有侵权请联系删除

FortiGuard Labs研究人员发现了一种用Rust编写的新注入器，用于注入Shellcode并将XWorm引入到受害者的环境中。尽管Rust在恶意软件开发中相对不常见，但自2019年以来，包括Buer loader、Hive和RansomExx在内的几个攻击活动开始采用这种语言。FortiGuard Labs的分析还揭示了2023年5月注入器活动的显著增加，其中该Shellcode可以使用Base64进行编码，并可选择AES、RC4或LZMA等加密算法来逃避杀毒软件的检测。 通过检查编码算法和API名称，我们确定了这种新注入器的源自于红队工具”Freeze.rs“，该工具旨在创建能够绕过EDR安全控制的有效载荷。此外，在对攻击进行分析过程中，我们发现了SYK Crypter（一个通过社区聊天平台传递恶意软件的工具）加载Remcos。SYK Crypter于2022年出现，并被各种恶意软件家族使用，包括AsyncRAT、njRAT、QuasarRAT、WarzoneRAT和NanoCore RAT。 FortiGuard Labs研究人员还观察到2023年7月13日的钓鱼邮件活动，该活动通过一个恶意的PDF文件启动攻击链。该文件重定向到一个HTML文件，并利用”search-ms”协议访问远程服务器上的一个LNK文件。单击LNK文件后，将执行一个PowerShell脚本，用于进一步执行Freeze.rs和SYK Crypter等攻击行动。最终，XWorm和Remcos被加载，并与C2服务器建立通信。 在本文中，我们将深入研究用于交付Rust-lang注射器(SYK密码器)的初始攻击方法，并进一步探索攻击的后续阶段。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3008/ 消息来源：fortinet，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

最新研究表明，黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告，最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。 其中一份PDF 提供了Duke的一种变体，该恶意软件与俄罗斯国家资助的APT29网络间谍活动（也称为Nobelium、Cozy Bear和The Dukes）有关。另一个文件可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知黑客。 研究人员表示，这些PDF伪装成德国大使馆的外交邀请，似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29，但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。 恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中，网络安全公司Lab52注意到，黑客利用同一域名冒充挪威大使馆，通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。 自俄乌战争爆发以来，莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家，如波兰、立陶宛和拉脱维亚，受到的影响最大。 APT29以利用合法的网络服务（如Microsoft OneDrive和Notion）进行恶意软件命令和控制（C2）而闻名。据EclecticIQ报道，在最近的这场战役中，攻击者使用了Zulip应用程序进行C2。 Zulip是一款开源聊天应用程序，使用亚马逊网络服务接收和发送聊天消息。黑客利用其API功能规避并将其活动隐藏在合法的网络流量后面。 APT29被认为是由俄罗斯对外情报局指挥的，该局从其他国家收集政治和经济信息。该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。在俄乌战争期间，APT29对乌克兰军方及其政党、外交机构、智库和非营利组织进行了网络攻击。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Nnjkes6JuGbS2aYDs-55kg 封面来源于网络，如有侵权请联系删除

近日，Raccoon Stealer 信息窃取恶意软件的开发者结束其在黑客论坛长达 6 个月的停滞期，向网络犯罪分子推广该恶意软件的 2.3.0 全新版本。 Raccoon 是最知名、使用最广泛的信息窃取恶意软件之一，自 2019 年以来一直通过订阅模式以 200 美元/月的价格出售给威胁行为者。 该恶意软件能够从 60 多个应用程序中窃取数据，包括登录凭证、信用卡信息、浏览历史、cookie 和加密货币钱包账户。 2022 年 10 月，该软件的主要作者Mark Sokolovsky在荷兰被捕，联邦调查局关闭了当时的恶意软件即服务基础设施，致使该软件进入了不稳定期。 Raccoon Stealer重新“归来” 在 VX-Underground 最早发现的黑客论坛上的一篇新帖中，该恶意软件的现任作者在网络犯罪社区宣布他们重新归来。他们花了很多时间工作，研发了丰富用户体验的新功能。 这些新功能是根据 “客户 “的反馈、要求和最新的网络犯罪趋势而制定的，目的是使该恶意软件在信息窃取市场上保持领先地位。 黑客论坛上的浣熊 v2.3.0 公告 来源：@vxunderground @vxunderground Cyberint 的一份报告称，Raccoon 2.3.0 引入了几项 “生活质量 “和 OpSec 方面的改进，使其使用起来更简单、更安全，让技术不熟练的威胁行为者更容易使用，同时还降低了他们被研究人员和执法部门追踪的可能性。 首先，Raccoon Stealer 面板中的新快速搜索工具允许黑客轻松查找特定的被盗数据，并从海量数据集中检索凭证、文档或其他被盗数据。 Raccoon Stealer的新搜索工具 来源：Cyberint Cyberint 其次，新版 Raccoon 的系统可反击与安全辅助机器人有关的可疑活动。在从同一 IP 生成的多个访问事件的情况下，Raccoon 会自动删除相应记录，并相应更新所有客户端。 现在，用户可以直接从恶意软件的表板上看到每个 IP 地址的活动档案得分，其中绿色、黄色和红色的笑脸图标表示僵尸活动的可能性。 用于显示僵尸活动可能性的微笑符号 来源：Cyberint Cyberint 作为针对安全研究人员的保护措施，第三项重要的新功能是报告系统，该系统可检测并阻止网络情报公司用于监控 Raccoon 流量的爬虫和机器人所使用的 IP 地址。 此外，新的日志统计面板还可让用户 “快速浏览 “其操作概况、最成功的目标区域、被入侵计算机的数量等。 新的日志图表屏幕 来源：Cyberint 来源：Cyberint Raccoon Stealer被网络犯罪群体广泛采用，通过无数渠道到达大量不同的受众，因此其对家庭用户和企业都构成了巨大威胁。 由于这类恶意软件不仅会窃取凭证，还会窃取 cookies，因此威胁分子可以利用这些窃取的会话 cookies 绕过多因素身份验证，侵入企业网络。一旦它们在网络上“站稳脚跟”就会发起各种攻击，包括数据盗窃、勒索软件、BEC 诈骗和网络间谍活动等。 为防范 Raccoon Stealer 和所有信息窃取者，应使用密码管理器，而不是在浏览器上存储凭据。 此外，还应在所有账户上启用多因素身份验证，并避免从可疑网站下载可执行文件，即使是从合法来源（如谷歌广告、YouTube 视频或 Facebook 帖子）重定向到该网站。     转自Freebuf，原文链接:https://www.freebuf.com/news/375011.html 封面来源于网络，如有侵权请联系删除

近，我们向客户推送了一份报告，介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似，我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次，可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。 Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾，并称其为“分水岭时刻”，同时我们在世界其他地方也看到了和目标战术上的相似之处。 关于勒索软件攻击的内容和趋势分析报道已比较常见，但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道，在全球范围内被调查的公共事业单位发现，越来越多地以有针对性的活动方式进行报道：“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的，但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何，这种增加的公用事业目标攻击事件是一个现实世界的问题，特别是对网络中断可能在全国范围内影响客户的区域，具有严重的潜在风险。 值得注意的是，一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat（SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬，是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat，它是SystemBC的一个约8kb的精简变体，用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名”powersupportplan.com”，其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分，其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织，因此我们没有足够的信息来对这次活动进行准确归因。然而，同一时间范围内的一个医疗事件中，也涉及到了DroxiDat，Nokoyawa勒索软件被交付，另外还有其他几起涉及CobaltStrike的事件，它们共享了相同的license_id和staging目录及C2。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3007/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

威胁情报公司Hudson Rock的安全研究人员近日发现12万台感染信息窃取恶意软件的计算机包含网络犯罪论坛的账户凭据，这些计算机大多属于黑客。 尽管大量黑客也像普通用户一样感染了信息窃取恶意软件，但通过分析数据，研究人员发现，黑客论坛的登录密码通常比用于政府网站的登录密码更为安全。 黑客同样面临安全威胁 在浏览了100个网络犯罪论坛后，Rock发现，很多黑客使用的计算机无意中感染了信息窃取恶意软件，导致他们的登录信息被盗。 Hudson Rock从公开的泄漏信息以及直接来自攻击者的信息窃取软件日志中收集了信息。结果发现被感染的计算机中有10万台属于黑客，已经泄露的网络犯罪论坛凭据数量超过了14万个。 信息窃取软件是一种恶意软件，它会在计算机上的特定位置搜索登录信息。常见的目标是网络浏览器，因为它们具有自动填充和密码存储功能。 Hudson Rock首席技术官Alon Gal指出：“世界各地的黑客通过推广假冒软件或通过YouTube教程引导受害者下载受感染的软件来伺机感染计算机。”那些受骗的人中有不少黑客（可能是技术水平较低的黑客），他们就像其他试图走捷径的用户一样被感染了。 通过查看信息窃取软件日志数据，研究者确定被感染用户很多都是黑客，或者至少是黑客技术爱好者，暴露的个人真实身份信息如下： 在计算机上找到的其他凭据（其他电子邮件、用户名） （浏览器）自动填写的包含个人信息的数据（姓名、地址、电话号码） 系统信息（计算机名称、IP地址） 在之前的博客文章中，Hudson Rock透露一个名为La Citrix的知名黑客也意外感染了窃取信息的恶意软件，该黑客以向公司出售Citrix/VPN/RDP访问权限而闻名。 通过分析日志数据，Hudson Rock确定超过5.7万名受感染的用户拥有新兴网络犯罪分子社区Nulled[.]to的帐户（上图）。 研究人员发现，BreachForums的用户密码强度最高（下图），超过40%的凭据长度至少为10个字符，并包含四种类型的字符。 研究人员还发现，网络犯罪论坛的登录凭据通常比政府网站的登录凭据更强，尽管差异并不大。 据Hudson Rock介绍，大多数感染使用了以下三个信息窃取软件之一（这也恰好是许多黑客的热门选择）：RedLine、Raccoon和Azorult。 目前，大量的初始访问攻击都是从信息窃取软件开始的，用于收集攻击者冒充合法用户所需的所有数据，通常称为系统指纹。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/_HwqiPOZ4X79n1LqHmx2MA 封面来源于网络，如有侵权请联系删除

近日，AudioCodes桌面电话和Zoom的Zero Touch Provisioning (ZTP)被曝存在多个安全漏洞，恶意攻击者可能利用这些漏洞进行远程攻击。 SySS安全研究员Moritz Abrell在周五（8月11日）发表的一份分析报告中提到：外部攻击者可利用在AudioCodes公司的桌面电话和Zoom公司的Zero Touch Provisioning功能中发现的漏洞远程控制这些设备。 这种不受约束的访问权限可以通过设备透视和攻击企业网络窃听房间或电话，甚至建立一个由受感染设备组成的僵尸网络。这项研究已在上周早些时候举行的美国黑帽安全大会上发表。 这个问题的根源其实在于 Zoom 的 ZTP，它允许 IT 管理员以集中的方式配置 VoIP 设备，从而使企业能够在需要时轻松地监控、排除故障和更新设备。这是通过部署在本地网络中的网络服务器为设备提供配置和固件更新来实现的。 具体来说，在从 ZTP 服务检索配置文件时，发现它缺乏客户端验证机制，从而导致攻击者有可能触发从恶意服务器下载恶意固件。 该研究进一步揭示了AudioCodes VoIP桌面电话(支持Zoom ZTP)的加密例程中存在不适当的身份验证问题，这些例程允许解密敏感信息，例如密码和配置文件，这些信息通过电话使用的重定向服务器传输，以获取配置。 这两个弱点，即未经验证的所有权错误和认证硬件中的缺陷，可能会被塑造成一个漏洞链，通过滥用Zoom的ZTP并触发任意设备安装它来提供恶意固件。 当这些漏洞结合在一起时，可以用来远程接管任意设备。由于这种攻击具有高度可扩展性，因此可能构成重大的安全风险。 大约一年前，这家德国网络安全公司发现了微软Teams Direct Routing功能中的一个安全问题，该问题可能使安装容易受到收费欺诈攻击。 Abrell当时就曾表示过：外部未经身份验证的攻击者能够发送特制的SIP消息，并假扮这些消息是来自微软。这样受害者的会话边界控制器就会将这些消息正确分类。从而让那些未经授权的外部电话通过受害者的电话进行拨打。     转自Freebuf，原文链接:https://www.freebuf.com/news/374724.html 封面来源于网络，如有侵权请联系删除

在快速变化的网络威胁世界中，了解最新变化和模式至关重要。这对于勒索软件来说尤其如此，它以快速变化和复杂的策略而闻名。今年8月，我们在SentinelOne的MDR团队偶然发现了一些异常情况：新的LOLKEK实例，也被称为GlobeImposter，表明这个长期存在的勒索软件家族正在进行新的改变。 LOLKEK，也被称为 GlobeImposter，于2016年首次亮相。在快节奏的勒索软件世界里，事件瞬息万变，而Maze ransomware于 2019年才再次被看见。GlobeImposter标签很巧妙地描述了这种新的勒索软件是如何模仿Globe的。 LOLKEK可以被认为是一种“现成的”勒索软件，其经常会进行迭代更新。尤其是在目标选择和勒索要求方面要求相对较低，如在最近的攻击中，勒索金额通常低于2000美元。相比之下，像Cl0p、LockBit和Royal这样的重量级勒索软件要求的赎金数额令人瞠目结舌。 LOLKEK的主要目标是中小型企业(smb)和个人用户。尽管如此，有时这种勒索软件也会在更复杂、更有计划的金融攻击中发挥作用。以2017年为例，臭名昭著的TA505(也被称为G0092，GOLD TAHOE)集团开始雇用GlobeImposter进行系列行为。 这扩大了他们的网络，提高他们的运作能力，也展示了LOLKEK在更广泛的勒索软件领域的适应性和作用。 本文将带您探索最近的LOLKEK有效载荷，重点介绍关键特性、策略更改以及对IOC指标的观察。我们还将强调一个持续存在的OPSEC错误，该错误不断泄露勒索软件运营商的游戏。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3005/ 消息来源：sentinelone，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。