HackerNews 编译，转载请注明出处： 网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。 “攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。” 过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。 这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。 此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。 攻击源头与技术特征 经评估，攻击始于虚假成人网站 —— 毫无防备的用户通过恶意广告或其他社会工程学手段被引导至这些网站后，会突然收到 “紧急安全更新” 提示。研究人员发现部分网站版本包含俄语开发者注释，暗示攻击团伙可能为俄语系威胁行为者。 “Windows 更新界面完全通过 HTML 和 JavaScript 代码构建，受害者与钓鱼网站的任何元素交互后便会弹出，” 安全研究员埃利亚德・金希（Eliad Kimhy）表示，“该页面会通过 JavaScript 尝试全屏显示，同时生成一个背景为蓝色、文字为白色的高度仿真 Windows 更新窗口，让人联想到 Windows 著名的蓝屏死机（blue screen of death）界面。” 此次攻击的显著特征是大量使用混淆技术隐藏 ClickFix 相关代码，并通过禁用 Esc、F11、F5 及 F12 键阻止用户退出全屏弹窗。不过由于逻辑缺陷，用户仍可通过 Esc 和 F11 键关闭全屏模式。 初始执行的命令是一个 MSHTA 负载，通过合法的 mshta.exe 二进制文件启动，该负载包含的 JavaScript 代码会执行 PowerShell 命令，从远程服务器获取另一个 PowerShell 脚本。这些恶意域名经过特殊设计：直接访问会跳转至谷歌（Google）或 Steam 等良性网站。 “仅当通过 irm 或 iwr PowerShell 命令访问时，域名才会返回恶意代码，” 安克诺斯解释道，“这增加了额外的混淆层，阻碍安全人员分析。” 提权尝试与多负载投递 下载的 PowerShell 脚本集成了多种混淆与反分析机制，包括使用垃圾代码增加分析难度。脚本还会尝试提权，并为命令与控制（C2）服务器地址及负载存放路径添加微软 Defender 杀毒软件排除项。 为实现权限提升，恶意软件利用 Start-Process cmdlet 命令结合 “-Verb RunAs” 参数，以管理员权限启动 PowerShell，并持续弹出 UAC（用户账户控制）请求，直至受害者授权。该步骤成功后，脚本会释放更多负载，例如用于连接 C2 服务器的简易远程访问木马（RAT），后续可能进一步投递其他恶意软件。 研究发现，该 PowerShell 脚本最多可投递 8 种不同负载，安克诺斯将其称为 “最典型的广撒网攻击（spray and pray）”。这些负载包括 Rhadamanthys 窃密软件、Vidar 窃密软件 2.0 版本、RedLine 窃密软件、Amadey 木马，以及其他未明确标识的加载器和远程访问木马。 “只要其中一款负载成功运行，受害者就可能面临密码、加密货币钱包等资产被盗的风险，” 金希指出，“对于部分加载器，攻击者还可能后续投递其他恶意程序，导致攻击迅速升级。” 关联攻击活动：隐写术隐藏窃密软件 与此同时，亨特雷斯（Huntress）安全公司披露了另一项多阶段恶意软件执行链：攻击者同样以伪装成 Windows 更新的 ClickFix 为诱饵，通过隐写术（steganography）将攻击最终阶段隐藏在图片中，投递 Lumma、Rhadamanthys 等窃密软件。 与 JackFix 攻击类似，复制到剪贴板并粘贴至运行对话框的 ClickFix 命令，会通过 mshta.exe 运行 JavaScript 负载，该负载可在内存中直接执行远程托管的 PowerShell 脚本。 PowerShell 代码用于解密并启动一个.NET 程序集负载 —— 名为 Stego Loader 的加载器，该加载器负责执行隐藏在加密 PNG 图片中的 Donut 打包壳代码。提取的壳代码随后被注入目标进程，最终部署 Lumma 或 Rhadamanthys 窃密软件。 值得注意的是，亨特雷斯列出的用于获取 PowerShell 脚本的域名之一 “securitysettings [.] live”，也被安克诺斯标记为 JackFix 攻击的关联域名，表明这两起攻击活动可能存在关联。 “威胁行为者频繁更换承载第一阶段 MSHTA 负载的 URI 路径（如 /tick.odd、/gpsc.dat、/ercx.dat 等），” 安全研究员本・福兰（Ben Folland）与安娜・范（Anna Pham）在报告中指出，“此外，威胁行为者已将第二阶段负载的托管域名从 securitysettings [.] live 更换为 xoiiasdpsdoasdpojas [.] com，但两个域名均指向同一 IP 地址 141.98.80 [.] 175，该 IP 也用于投递第一阶段（即 mshta.exe 运行的 JavaScript 代码）。” 防御建议 ClickFix 攻击的成功源于其简单有效的攻击逻辑：诱骗用户自行感染设备，从而绕过安全防护。企业可通过以下方式防御此类攻击： 加强员工培训，提升对 ClickFix 类威胁的识别能力； 通过修改注册表或组策略（Group Policy）禁用 Windows 运行对话框（Run box）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型 macOS 恶意软件链近期被发现，该恶意软件通过分阶段脚本、凭据窃取诱饵程序及持久化 Go 语言后门，实现绕过用户防护机制、伪装恶意行为并长期控制受感染系统的攻击目标。 根据 Jamf 威胁实验室（Jamf Threat Labs）发布的最新安全公告，该攻击活动包含一个第二阶段 shell 脚本，其核心功能为重构下载路径，并根据目标系统的芯片类型（arm64 架构或 Intel 芯片）获取对应负载。 网络安全研究人员指出，该脚本会先下载包含下一阶段加载器的压缩包，将其解压至临时目录，随后在后台启动该组件。同时，脚本通过写入 LaunchAgent（macOS 系统启动代理）实现持久化，强制加载器在用户登录时自动运行。Jamf 实验室透露，脚本执行后会启动一个伪装应用，模仿 Chrome 浏览器的权限请求弹窗，最终显示一个 Chrome 风格的密码输入窗口，以此窃取用户凭据。 该伪装程序会将窃取的密码发送至一个 Dropbox 账户。为躲避检测，恶意软件通过拼接短字符串片段构造 Dropbox 服务器地址，随后利用合法的 Dropbox 上传 API 实现数据窃取；同时，它还会查询api.ipify.org接口以获取受害者的公网 IP 地址。 Go 语言后门的核心作用 进入第三阶段后，加载器脚本会调用一个名为 CDrivers 的恶意 Golang 项目（Go 语言开发）。该后门首先生成一个简短的设备标识符并检查重复，随后连接至硬编码的命令服务器，进入持久化命令循环，可执行以下恶意任务： 收集系统信息 上传 / 下载文件 执行 shell 命令 提取 Chrome 浏览器配置文件数据 触发自动凭据窃取 若执行过程中出现错误，恶意软件会回退至系统信息收集命令，暂停 5 分钟后恢复活动，避免单次故障导致攻击流程中断。 Jamf 实验室将该攻击活动归因于 FlexibleFerret 黑客组织，该组织持续优化攻击诱饵，诱导目标用户手动运行恶意脚本。 研究人员总结道：“企业应将来路不明的‘面试’评估请求及基于终端（Terminal）的‘修复’指令列为高风险事项，并确保用户知晓此类提示需立即停止操作并上报，切勿遵照执行。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现一起将第二代窃取型恶意软件（StealC V2）植入 Blender 项目文件的攻击行动，该行动针对受害者的攻击时长已至少达六个月。 据莫菲塞克网络安全公司发布的最新预警显示，攻击者将篡改后的.blend 格式文件发布在 CGTrader 等平台上，用户会将这些文件当作常规的三维素材下载使用。 当用户开启 Blender 软件的自动运行功能并打开这类文件时，文件中隐藏的 Python 脚本就会自动执行，进而发起多阶段恶意程序入侵流程。 第二代窃取型恶意软件借恶意改造的 Blender 素材扩大攻击范围 今日发布的这项研究指出，该攻击行动与此前参与传播 StealC 系列恶意软件的俄语系威胁行为者有关联。 此次攻击行动与早前一起攻击事件的手法如出一辙。在那起事件中，攻击者冒充电子前沿基金会，专门针对《阿尔比恩 Online》的玩家发动攻击，且两次攻击均采用了诱饵内容植入、后台运行以及金字塔命令与控制架构等相同攻击要素。 此次攻击的入侵链路始于.blend 文件中植入的遭篡改的 Rig_Ui.py 脚本。该脚本会从远程的 workers.dev 域名服务器获取加载程序，随后加载程序会下载一个 PowerShell 执行程序以及两个内含 Python 窃密程序的压缩包。 这些文件被解压至 Windows 系统的临时文件夹后，恶意软件会创建快捷方式文件以实现持久驻留，接着借助金字塔命令与控制信道获取加密的恶意负载程序。 第二代窃取型恶意软件自 2025 年 4 月起就在地下论坛流传推广，其功能也在迅速拓展。目前该恶意软件可攻击 23 种以上的浏览器、超 100 款插件、15 款以上的桌面电子钱包，同时还能入侵各类即时通讯软件、虚拟专用网络客户端及邮件客户端。该恶意软件定价灵活，月付 200 美元，半年套餐 800 美元，这让那些寻求即用型攻击工具的底层网络犯罪分子也能轻易获取。 攻击溯源与入侵特征标识 调查过程中已发现多个入侵特征标识，具体包括： CGTrader 平台上存在的恶意.blend 格式文件； 通过多个 workers.dev 域名服务器获取恶意负载程序； 包含 Python 窃密程序与持久驻留组件的压缩包； 通过多个与金字塔架构相关联的互联网协议地址开展命令与控制通信。 莫菲塞克网络安全公司表示，其旗下基于诱捕技术的防护平台成功提前拦截了此次攻击。该平台会预先在系统内存与浏览器存储区域植入虚假认证信息，一旦第二代窃取型恶意软件尝试读取这些信息，防护系统就会立即触发防护机制。在恶意软件完成信息窃取或实现持久驻留之前，相关攻击进程就会被强制终止。 研究人员称，这种防护方式能直接挫败攻击者的信息窃取企图，在第二代窃取型恶意软件侵入终端设备并站稳脚跟之前就将其彻底拦截。     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Huntress 的最新调查结果显示，曾在今年 3 月出现活动激增的 GootLoader 恶意软件，在短暂沉寂后再度卷土重来。 这家网络安全公司表示，自 2025 年 10 月 27 日以来，已监测到三起 GootLoader 感染事件。其中两起导致攻击者手动入侵，且在初始感染后的 17 小时内就攻陷了域控制器。 安全研究员安娜・范指出：“GootLoader 回来了，如今它利用自定义 WOFF2 字体和字形替换技术混淆文件名。” 她补充道，该恶意软件 “利用 WordPress 评论端点，投递采用 XOR 加密的 ZIP 有效载荷，每个文件都配有唯一密钥”。 GootLoader 与代号为 Hive0127（又称 UNC2565）的威胁 actor 相关联，是一款基于 JavaScript 的恶意软件加载器。它常通过搜索引擎优化（SEO）投毒策略传播，用于投递勒索软件等其他有效载荷。 微软在去年 9 月发布的报告中披露，代号为 Vanilla Tempest 的威胁 actor 会接手 Storm-0494 通过 GootLoader 感染获取的访问权限，部署名为 Supper（又称 SocksShell 或 ZAPCAT）的后门程序，以及用于远程访问的 AnyDesk。这些攻击链最终会导致 INC 勒索软件的部署。 值得注意的是，Supper 还被发现与 Interlock 远程访问木马（RAT，又称 NodeSnake）存在关联 —— 后者主要与 Interlock 勒索软件相关联。Forescout 上月指出：“虽然没有直接证据表明 Interlock 使用 Supper，但 Interlock 和 Vice Society 都曾在不同时期与 Rhysida 勒索软件有关联，这表明在更广泛的网络犯罪生态系统中可能存在交集。” 今年早些时候，研究人员发现 GootLoader 背后的威胁 actor 曾利用谷歌广告，针对在搜索引擎上查找协议等法律模板的受害者，将其重定向至托管恶意 ZIP 压缩包的受攻陷 WordPress 站点。 Huntress 记录的最新攻击流程显示，攻击者利用必应（Bing）上 “密苏里州公用设施地役权道路保障” 等搜索词条，将毫无防备的用户引导至恶意 ZIP 压缩包的下载页面。此次攻击的显著特征是使用自定义网页字体，混淆浏览器中显示的文件名，以规避静态分析检测。 范解释道：“当用户试图复制文件名或查看源代码时，会看到诸如‘›μI€vSO₽*’Oaμ==€‚‚33O%33‚€×:O [™€v3cwv,,’ 之类的怪异字符。” “但这些字符在受害者的浏览器中渲染时，会神奇地转化为完全可读的文本，比如‘Florida_HOA_Committee_Meeting_Guide.pdf’。这一效果通过自定义 WOFF2 字体文件实现 ——GootLoader 利用 Z85 编码（一种 Base85 变体，可将 32KB 的字体压缩至 40KB），将该字体文件直接嵌入页面的 JavaScript 代码中。” 研究人员还发现了一项新的规避技巧：恶意软件会修改 ZIP 文件，使其在通过 VirusTotal、Python ZIP 工具或 7-Zip 等工具打开时，解压出看似无害的.TXT 文件。而在 Windows 文件资源管理器中，该压缩包会提取出真正的目标有效载荷 —— 一个合法的 JavaScript 文件。 一位长期以 “GootLoader” 为化名追踪该恶意软件的安全研究员，在谈及此次技术演进时表示：“这种简单的规避技术通过向自动化分析工具隐藏有效载荷的真实性质，为攻击者争取了时间。” 压缩包中的 JavaScript 有效载荷用于部署 Supper 后门程序，该程序具备远程控制和 SOCKS5 代理功能。据称，在至少一起事件中，威胁 actor 利用 Windows 远程管理（WinRM）横向移动至域控制器，并创建了一个拥有管理员级权限的新用户。 Huntress 表示：“Supper SOCKS5 后门采用繁琐的混淆技术保护简单功能 ——API 滥用、运行时 shellcode 构建和自定义加密给分析工作带来了麻烦，但核心功能刻意保持基础：SOCKS 代理和远程 shell 访问。” “这种‘足够好用’的策略表明，当经过适当混淆的基础工具能够实现目标时，威胁 actor 并不需要尖端漏洞利用技术。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。 Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。 安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。” 该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。 Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。 其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。 一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。 该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。 Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。” Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型： MISMATCH（版本不匹配）：用于标记版本兼容错误 DEBUG（调试）：用于发送调试信息 PING（心跳）：用于向 C2 服务器发送存活信号 该版本还采用三个独立的执行线程，分别承担不同职责：管理 C2 任务、泄露调试日志、向 C2 服务器发送心跳信号。同时，它支持更广泛的命令集（其中一项命令暂未实现）： Screenshot（截图）：捕获屏幕截图 UpdateChrome（提取 Chrome 数据）：窃取指定的 Chrome 配置文件 FileMap（文件映射）：列出指定目录下的所有内容 RunUtility（运行工具）：暂未实现 EnterpriseChromeProfiles（企业 Chrome 配置文件）：获取可用的 Chrome 配置文件 UploadFile（上传文件）：窃取指定的 Chrome 组件和凭据信息 OpenURL（打开链接）：在 Chrome 浏览器中打开指定 URL Uninstall（卸载）：终止自身执行 EnterpriseChromeBookmarks（企业 Chrome 书签）：提取指定用户配置文件的 Chrome 书签 EnterpriseIslandProfiles（企业 Island 配置文件）：获取可用的 Island 浏览器配置文件 UpdateIsland（提取 Island 数据）：窃取指定的 Island 浏览器配置文件 ExfilAlreadyOpenChrome（泄露已打开 Chrome 数据）：导出当前 Chrome 配置文件的所有 Cookie 值得注意的是，PowerShell 版本通过计划任务实现持久化驻留，而.NET 版本暂未配备此类机制。Unit 42 透露，部分.NET 版本样本使用了一张 “疑似被盗” 的数字证书进行签名，该证书由合法的证书颁发机构 —— 奥腾工业自动化（廊坊）有限公司（Aoteng Industrial Automation (Langfang) Co., Ltd.）签发。早期版本的编译时间戳显示为 2024 年 6 月 28 日。 目前，该恶意软件的传播途径及攻击目标尚不明确。但结合其利用 MDM 相关 API 构建 C2 通道、针对 Island 等企业级浏览器的特性，研究人员推测此次攻击可能是针对业务流程外包（BPO）行业的供应链攻击。 Unit 42 分析称：“专注于业务流程外包（BPO）的机构已成为犯罪集团和国家级攻击者的重点目标。攻击者愿意投入大量资源，不仅要攻陷这些机构，还要实现长期控制。” “该恶意软件采用的规避检测技术使其能在大多数环境中隐藏行踪，尤其在第三方供应商环境中运行时更难被发现。这对使用 BPO 服务的企业而言极具破坏性 —— 被盗取的浏览器会话 Cookie 可能导致攻击者获取其大量客户的访问权限。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “ChaosBot” 的新型 Rust 语言后门恶意软件细节。该软件可让攻击者对受感染主机执行侦察操作，并运行任意命令。 “威胁行为体利用了已泄露的凭据，这些凭据既关联思科虚拟专用网络，也关联一个权限过高的活动目录账户，该账户名为‘serviceaccount’。”网络安全公司eSentire在上周发布的技术报告中表示，“攻击者通过这个泄露的账户，利用 WMI在网络中的多台设备上远程执行命令，为 ChaosBot 的部署与运行创造了条件。” 这家加拿大网络安全公司称，其首次发现该恶意软件是在 2025 年 9 月末，当时它存在于某金融服务客户的网络环境中。 ChaosBot 的显著特点是滥用 Discord作为命令与控制（C2）通道。它的命名源于背后攻击者所维护的 Discord 账号 —— 该攻击者的网络昵称是 “chaos_00019”，负责向受感染设备下发远程命令。此外，还有一个关联 C2 操作的 Discord 用户账号为 “lovebb0024”。 除此之外，研究人员还观察到，该恶意软件会通过 “含恶意 Windows 快捷方式（.lnk 文件）的钓鱼邮件” 进行传播。若收件人打开该.lnk 文件，系统会执行一条 PowerShell 命令，下载并运行 ChaosBot；同时会显示一个伪装成 “越南国家银行合法函件” 的诱饵 PDF 文件，以此转移用户注意力。 ChaosBot 的有效载荷是一个恶意动态链接库（DLL 文件，名为 “msedge_elf.dll”），它通过 “Microsoft Edge的‘identity_helper.exe’程序” 实现侧载， 即借助合法程序加载恶意 DLL。加载完成后，该恶意软件会执行系统侦察，并下载 “快速反向代理”，在目标网络中建立反向代理通道，从而持续保持对受感染网络的访问权限。 研究人员还发现，攻击者曾试图通过该恶意软件配置 “Visual Studio Code Tunnel”，将其作为额外后门以实现命令执行功能，但最终未成功。不过，ChaosBot 的核心功能仍是与 “攻击者创建的 Discord 频道” 交互，以接收进一步指令。 以下是 ChaosBot 支持的部分命令： shell：通过 PowerShell 执行 shell 命令 scr：捕获受害者设备的屏幕截图 download：向受害者设备下载文件 upload：将文件上传至 Discord 频道 eSentire 指出：“ChaosBot 的新变种采用了规避技术，可绕过 ETW（Windows 事件跟踪）和虚拟机检测。”“第一种技术是修补‘ntdll!EtwEventWrite’函数的前几条指令；第二种技术是检查系统的 MAC 地址，将其与 VMware、VirtualBox 等虚拟机已知的 MAC 地址前缀进行比对，若匹配则立即退出运行。” 在 ChaosBot 被披露的同时，Fortinet FortiGuard Labs也详细介绍了一款基于 C++ 语言编写的 Chaos 勒索软件新变种。该变种新增了两项关键功能：一是 “破坏性删除”—— 对大型文件进行不可恢复的删除；二是 “剪贴板劫持”—— 将受害者剪贴板中的比特币地址替换为攻击者控制的钱包地址，从而拦截加密货币转账。 该公司表示：“这种‘破坏性删除 + 隐蔽财务盗窃’的双重策略，标志着 Chaos 勒索软件已演变为更具攻击性的多面威胁，其设计目的就是最大化获取经济利益。” 通过整合 “破坏性勒索手段” 与 “针对加密货币盗窃的剪贴板劫持”，攻击者试图将这款 Chaos-C++ 勒索软件打造成一款强力工具：它不仅能加密文件，还能删除所有大小超过 1.3GB 的文件，并为财务欺诈提供便利。 Chaos-C++ 勒索软件的下载器会伪装成 “System Optimizer v2.1” 等虚假实用工具，诱骗用户安装。值得注意的是，Chaos 勒索软件的早期版本曾伪装成OpenAI ChatGPT 和 InVideo AI进行传播。 该勒索软件启动后，会首先检查系统中是否存在名为 “% APPDATA%\READ_IT.txt” 的文件 —— 该文件是勒索软件 “已在当前设备执行过” 的标识。若文件存在，勒索软件会进入监控模式，持续监视系统剪贴板内容；若文件不存在，则会先检查自身是否以 管理员权限”运行： 若获得管理员权限，会先执行一系列命令禁用系统恢复功能（防止用户通过系统还原恢复文件）； 随后启动加密流程：对大小低于 50MB 的文件进行完整加密，对大小在 50MB 至 1.3GB 之间的文件则跳过（推测是为提升攻击效率）。 Fortinet 指出：“Chaos-C++ 并非单纯依赖完整文件加密，而是采用了‘对称加密 / 非对称加密 + 备用 XOR 加密算法’的组合方式；其多功能下载器也确保了恶意程序能成功执行。这些设计共同提升了该勒索软件的攻击稳定性，使其更难被阻断。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软威胁情报研究人员发现了一种新的 XCSSET macOS 恶意软件变种，已在有限范围的攻击中被使用。 研究人员指出，Trend Micro 最早在 2020 年发现了 XCSSET，当时它通过 Xcode 项目传播，并利用了两个零日漏洞，从目标系统中窃取敏感信息并发动勒索软件攻击。 新版本的 XCSSET 能够窃取 Firefox 数据并劫持剪贴板。它通过加密和混淆技术来规避检测，并能运行隐藏的 AppleScript。该恶意软件还支持通过 LaunchDaemon 条目实现额外的持久化机制。 报告写道：“这一变种包含一个用于监控剪贴板的子模块，并会引用一个下载的配置文件，该文件包含与各种数字钱包相关的地址正则表达式模式。如果检测到匹配，XCSSET 就能将剪贴板内容替换为攻击者预定义的钱包地址。” 更新后的阶段还会下载并运行多个新模块，使得该恶意软件相较于旧版本功能更为强大。 报告继续指出：“这一新变种增加了一个信息窃取模块，用于外传 Firefox 存储的数据。最初会调用 runMe() 函数，从 C2 服务器下载一个 Mach-O FAT 二进制文件，该文件负责所有信息窃取操作。该下载的二进制文件似乎是 GitHub 项目 HackBrowserData 的修改版，能够解密并导出浏览器存储的数据。密码、浏览记录、信用卡信息和 Cookies 是它能提取的关键信息，几乎覆盖所有主流浏览器。” 新的 XCSSET 变种实现了四阶段感染链。前三个阶段与先前版本一致。微软详细介绍了第四阶段，包括 boot() 函数及其相关调用，用于下载和运行子模块。 新的 XCSSET 变种包含多个针对性子模块： vexyeqj（信息窃取器）：下载并运行已编译的 AppleScript（bnk），解密 C2 配置（AES），检查并外传剪贴板数据，并可将内容替换为攻击者的钱包地址。 bnk（载荷）：仅运行模式的 AppleScript，用于收集序列号/用户信息，验证/过滤剪贴板内容，加密并将数据发送至 C2。 neq_cdyd_ilvcmwx（文件窃取器）：从 C2 获取并运行额外的 AppleScript 以外传文件。 xmyyeqjx（LaunchDaemon 持久化）：创建 ~/.root，禁用 macOS 自动/快速更新，构建伪造的“系统设置”应用，写入 com.google.* LaunchDaemon plist，设置 root 权限并加载。 jey（混淆/持久化）：基于 shell 的载荷解密与执行，混淆能力增强。 iewmilh_cdyd（Firefox 窃取器）：下载一个 Mach-O 二进制文件（修改后的 HackBrowserData），导出 Firefox 的密码、Cookies、信用卡数据，并上传压缩结果。 这些模块普遍使用仅运行模式的 AppleScript、AES 加密的 C2 配置、加密货币欺诈式的剪贴板劫持、临时文件清理，以及分块外传以减少本地留痕。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 Vane Viper 的威胁行为者近日被揭露为恶意广告技术（adtech）的提供者，其背后依靠错综复杂的空壳公司与不透明的所有权结构来规避责任。 “Vane Viper 至少十年来一直为大规模恶意广告投放、广告欺诈以及网络威胁的传播提供核心基础设施。”Infoblox 在上周与 Guardio 和 Confiant 联合发布的技术报告中表示。 “Vane Viper 不仅为木马投放者和钓鱼者提供流量中介，还似乎运营着自己的广告欺诈活动，这与此前记录的欺诈手法高度一致。” 一、背景与溯源 Vane Viper 也被称为 Omnatuor。早在 2022 年 8 月，DNS 威胁情报公司就曾披露这一恶意广告网络，称其与 VexTrio Viper 类似，利用存在漏洞的 WordPress 网站构建庞大的受控域名网络，以此传播风险软件、间谍软件和广告软件。 该组织的一项显著持久性技术是 滥用推送通知权限，即便用户已离开最初访问的页面，仍能通过修改浏览器设置持续推送广告。这一方法依赖于 service workers，它们会保持一个持久的无头浏览器进程，以监听事件并推送不受欢迎的通知。 去年年底，Guardio Labs 披露了一项名为 DeceptionAds 的攻击活动，发现其利用 Vane Viper 的恶意广告网络来推动 ClickFix 式的社会工程攻击。该活动被归因于一家名为 Monetag 的公司，而据 Infoblox 称，Monetag 是 PropellerAds 的子公司，而 PropellerAds 又隶属于总部位于塞浦路斯的 AdTech Holding 控股公司。 与 PropellerAds 相关的域名长期以来因助长恶意广告投放、引流至漏洞利用工具包或其他欺诈网站而被标记。进一步分析还发现，一些广告欺诈活动的基础设施源自 PropellerAds。 二、庞大的基础设施与规模 网络安全公司表示，过去一年内，Vane Viper 在约一半客户网络中触发了 约 1 万亿次 DNS 查询。该组织利用数十万受控网站和恶意广告，将毫无防备的用户重定向至：恶意浏览器扩展、虚假购物网站、色情内容、调查问卷诈骗、假冒应用、可疑软件下载、恶意软件（包括 Android 恶意软件 Triada）。 此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共用基础设施和人员。值得注意的是，URL Solutions 还与俄罗斯影响力行动 Doppelgänger 搭建的虚假信息网站有关。AdTech Holding 旗下的其他公司还包括 ProPushMe、Zeydoo、Notix 和 Adex。 据估算，约 6 万个域名 属于 Vane Viper 的基础设施，大多数活跃时间不足一个月。但也有少数域名已持续活跃超过 1200 天，其中包括最初的 omnatuor[.]com、propeller-tracking[.]com，以及一些围绕推送通知服务的域名。 该组织每月都会注册大量新域名。仅在 2024 年 10 月，注册域名数就高达 3500 个，而在 2023 年 4 月还不到 500 个。据统计，自 2023 年以来，Vane Viper 的域名占 URL Solutions 批量注册域名的近 50%。 三、官方回应与风险 PropellerAds 此前否认存在任何不当行为，声称自己只是一个“自动化的中介，帮助广告商寻找合适的发布者投放广告”，并且“并不支持、纵容或鼓励网络上的恶意广告”。 然而，Infoblox 指出：“Vane Viper 不只是一个隐藏在广告技术平台背后的威胁行为者，它本身就是作为广告技术平台运作的威胁行为者。AdTech Holding 声称为广告商提供规模化的覆盖与变现，但其实际交付的却是风险”，“Vane Viper 借助作为广告网络的合理否认，隐藏自身身份，同时利用其 TDS（流量分发系统） 投放多种威胁”。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LastPass警告用户，有一项针对macOS用户的恶意软件攻击活动，通过伪装成流行软件并通过欺诈性的GitHub仓库传播。 这些假冒应用程序通过ClickFix攻击传播Atomic（AMOS）信息窃取型恶意软件，并通过搜索引擎优化（SEO）手段在Google和Bing上获得推广。 AMOS是一种恶意软件即服务（MaaS）运营，月租费用为1000美元，通常针对感染机器上的数据。 最近，恶意软件的开发者为其增加了后门组件，使攻击者能够在受感染的系统上保持持久和隐蔽的访问权限。 LastPass表示，除了他们的产品之外，这一攻击活动还伪装成了100多种软件产品，包括1Password、Dropbox、Confluence、Robinhood、Fidelity、Notion、Gemini、Audacity、Adobe After Effects、Thunderbird和SentinelOne等。 攻击者创建了大量欺诈性的GitHub仓库，使用多个帐户来规避封禁，并通过优化这些仓库，使它们在搜索结果中排名较高。 这些仓库中含有一个“下载按钮”，点击后会将用户引导到一个二级网站，用户在该网站上被要求在Terminal（终端）中粘贴命令以进行安装。 这是典型的ClickFix攻击，利用受害者不理解命令在他们的系统中做什么的漏洞。 该命令执行了一个curl请求，访问一个base64编码的URL，下载AMOS负载（install.sh）到/tmp目录中。 针对Apple电脑的ClickFix攻击并不罕见。 BleepingComputer曾报道过类似的攻击活动，其中伪装成Booking.com，最近也有广告推广假冒解决方案针对macOS特有的问题。 尽管LastPass继续监控这一活动并向GitHub报告假冒仓库，但攻击者可以通过新帐户的自动化轻松创建新的仓库。 为了避免成为ClickFix攻击的受害者，用户应谨慎执行自己不理解的命令。 在网上寻找软件时，建议信任供应商或项目的官方网站。如果官网没有提供macOS版本，那么该非官方版本很可能是假的。 对于macOS版本，用户应确保其来自经过社区验证的信誉良好的供应商。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 4 月起，一个此前未被记录的黑客组织 ComicForm 发起了钓鱼攻击活动，白俄罗斯、哈萨克斯坦和俄罗斯的多家机构成为其攻击目标。 网络安全公司 F6 在上周发布的分析报告中指出，此次攻击活动主要针对工业、金融、旅游、生物技术、科研及贸易行业。 该攻击链的具体流程如下：首先发送主题为 “等待签署文件”“付款发票” 或 “待签署对账单” 的电子邮件，诱导收件人打开一个 RR 压缩文件；压缩文件内包含一个伪装成 PDF 文档的 Windows 可执行文件（例如 “Акт_сверки pdf 010.exe”，俄语 “对账单” 相关文件名）。这些邮件分别以俄语或英语撰写，发送邮箱地址的顶级域名为.ru（俄罗斯）、.by（白俄罗斯）和.kz（哈萨克斯坦）。 上述可执行文件是一个经过混淆处理的.NET 加载器，其作用是启动恶意动态链接库（DLL）“MechMatrix Pro.dll”；随后，该动态链接库会运行第三阶段有效载荷 —— 另一个名为 “Montero.dll” 的动态链接库，该文件实为 Formbook 恶意软件的投放器。在投放恶意软件前，“Montero.dll” 会先创建计划任务，并配置微软防御者（Microsoft Defender）的排除项，以躲避检测。 有趣的是，研究人员发现该可执行文件中还包含指向 Tumblr 平台的链接，这些链接指向蝙蝠侠等漫画超级英雄的完全无害 GIF 动图，黑客组织 “ComicForm” 的名称也正源于此。F6 公司研究员弗拉季斯拉夫・库甘（Vladislav Kugan）表示：“这些图片并未用于任何攻击行为，仅作为恶意软件代码的一部分存在。” 对 ComicForm 组织基础设施的分析显示，2025 年 6 月该组织曾向哈萨克斯坦某未具名企业发送钓鱼邮件，2025 年 4 月则针对白俄罗斯某银行发起过类似攻击。 F6 公司还透露，就在 2025 年 7 月 25 日，他们检测到并拦截了一批钓鱼邮件：这些邮件伪装成来自哈萨克斯坦某工业企业的邮箱地址，发送给俄罗斯的制造企业。邮件诱导潜在目标点击内置链接 “验证账户”，以避免账户 “可能被冻结”。 用户点击链接后，会被重定向至一个伪造的登录页面 —— 该页面模仿当地某文档管理服务的登录界面。一旦用户输入账户信息，这些信息就会通过 HTTP POST 请求发送至黑客控制的域名，从而实现账号窃取。 库甘解释道：“此外，研究人员在该钓鱼页面的代码中发现了一段 JavaScript 脚本，其功能包括：从 URL 参数中提取用户邮箱地址，并自动填充到 ID 为‘email’的输入框中；从邮箱地址中提取域名；通过 screenshotapi [.] net 接口获取该域名官网的截图，并将其设为钓鱼页面的背景（以增强伪装性）。” 针对白俄罗斯某银行的攻击则采用了 “发票主题诱饵”：黑客发送钓鱼邮件，诱导用户在一个表单中输入邮箱地址和手机号，这些信息随后会被捕获并发送至外部黑客域名。 F6 公司指出：“该组织针对俄罗斯、白俄罗斯和哈萨克斯坦多国不同行业的企业发起攻击；而英语版本钓鱼邮件的存在表明，攻击者还将目标拓展到了其他国家的机构。攻击者采用的手段包括两种：一是通过钓鱼邮件分发 FormBook 恶意软件，二是搭建伪装成正规网络服务的钓鱼平台，以窃取账号凭证。” 亲俄组织针对韩国发起攻击，部署 Formbook 恶意软件 与此同时，新加坡网络安全公司 NSHC 的 ThreatRecon 团队披露了另一起事件：一个亲俄网络犯罪组织针对韩国的制造、能源及半导体行业发起了攻击。该攻击活动被归因于名为 SectorJ149（又称 UAC-0050）的黑客集群。 2024 年 11 月，研究人员观测到了上述攻击活动。其流程始于针对企业高管及员工的鱼叉式钓鱼邮件，邮件以 “生产设备采购” 或 “报价请求” 相关内容作为诱饵；收件人一旦打开邮件附件，会触发一个伪装成微软压缩包（CAB 格式）的 Visual Basic 脚本（VBScript），该脚本进而执行 Lumma Stealer（ Lumma 窃取器）、Formbook（Formbook 恶意软件）和 Remcos RAT（Remcos 远程访问木马）等常见恶意软件。 该 Visual Basic 脚本被设计为执行一条 PowerShell 命令，通过访问 Bitbucket 或 GitHub 代码仓库获取一个 JPG 图片文件 —— 该图片中隐藏着一个加载器可执行文件，最终由该加载器启动窃取器和远程访问木马（RAT）等恶意有效载荷。 NSHC 公司表示：“在内存区域直接执行的可移植可执行文件（PE 格式）恶意软件属于加载器类型。它会通过预设参数中包含的 URL，下载伪装成文本文件（.txt 格式）的额外恶意数据，对其进行解密后，生成并执行新的 PE 格式恶意软件。” “过去，SectorJ149 组织的活动主要以获取经济利益为目的，但近期针对韩国企业的黑客活动则被认为具有强烈的黑客行动主义（hacktivist）属性 —— 攻击者通过黑客技术传递政治、社会或意识形态相关信息。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文