近期，来自Dr. Web的防病毒团队在Google Play商店中发现了一批充斥着广告软件和恶意软件的Android应用程序，令人惊讶的不是这些应用程序是如何通过审核的，而是这些应用程序已在移动设备上安装了近 1000万次。 这些应用程序通常会伪装成图像编辑工具、虚拟键盘、系统优化器、壁纸更换器等。但是，它们的目的是推送侵入性广告、为用户订阅高级服务或窃取受害者的社交媒体帐户。虽然谷歌及时删除了绝大多数此类应用程序，仍有一些漏网之鱼，截至目前仍有三类应用程序可通过Google Play商店下载和安装。如果在谷歌清理这些带有恶意软件的应用程序之前你不幸也下载了它们，那要彻底删除这些应用就需要再次手动卸载并运行AV扫描以清除所有残留物。 Dr. Web团队发现的广告软件应用是对今年5月首次出现在Google Play商店中的现有系列的改进版。一旦用户安装这些软件后，这些应用程序请求允许在任何应用程序上覆盖窗口，并且可以将自己添加到电池保护程序的排除列表中，以便在受害者关闭应用程序时它们可以继续在后台运行。 此外，他们将图标从应用程序列表中隐藏起来，或者用类似于核心系统组件的东西替换它们，比如“SIM Toolkit”。 在这些应用中，一个名为“Neon Theme Keyboard”的应用尤其突出，虽然只有1.8星的评分和很多负面评价，但其下载量已经超过了一百万。很多用户表示，这个应用程序“杀死”了他们的手机。因为它一直在崩溃，用户甚至无法通过输入密码来解锁手机并卸载它。最终，用户不得不选择恢复出厂设置以重新获得手机。所以你甚至在其评论区可以看到很多强烈拒绝安装此应用的呼吁！ 而第二类名为Joker的恶意应用程序，它们以通过订阅高级服务对受害者的手机号码产生欺诈性收费而闻名。其中以“Water Reminder”和“Yoga – For Beginner to Advanced”为代表的恶意应用程序仍在Google Play商店中，它们的下载量分别为10万和5万。这两者也会在后台执行恶意操作，让用户产生额外费用。 最后，Dr. Web还强调了两个分布在图像编辑工具中的 Facebook 帐户窃取程序，这些应用程序是“YouToon – AI 卡通效果”软件和“Pista – 卡通效果”软件，它们在Play商店的总下载量超过150万次。 总的来说，Android恶意软件总会想方设法潜入Google Play商店，甚至有时恶意应用程序还可以在商店中留存几个月，所以不要盲目相信任何应用程序，检查用户评论和评级、访问开发者网站、阅读隐私政策并在安装过程中注意请求的权限至关重要。此外，尽量减少应用程序的下载数量，因为将手机上的应用程序数量保持在最低限度是减少恶意软件感染机会的可靠方法。最后，确保Play Protect在您的设备上处于活动状态，并定期监控您的互联网数据和电池消耗，以识别在后台运行的任何可疑进程。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340257.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个名为Amadey的信息窃取恶意软件正在通过另一个名为SmokeLoader的后门进行分发。 AhnLab安全应急响应中心的研究人员在上周发布的一份报告中表示，这些攻击主要是欺骗用户下载伪装成软件漏洞的SmokeLoader，为部署Amadey铺平道路。 Amadey是一个僵尸网络，于2018年10月左右首次出现在俄罗斯地下论坛上，售价600美元。它能够虹吸凭据、捕获屏幕截图、系统元数据，甚至可以获取有关防病毒引擎和安装在受感染计算机上的其他恶意软件的信息。 虽然沃尔玛全球技术公司去年7月发现了一个更新，其中包含从Mikrotik路由器和Microsoft Outlook收集数据的功能，但该工具集已经升级，可以从FileZilla、Pidgin、Total Commander FTP Client、RealVNC、TightVNC、TigerVNC和WinSCP获取信息。 然而，其主要目标是部署额外的插件和远程访问木马，如Remcos RAT和RedLine Stealer，使黑客能够进行一系列攻击后活动。 建议用户将其设备升级到最新版本的操作系统和Web浏览器，以最大程度地减少潜在的感染途径并避开盗版软件。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码，安全分析师警告，该恶意软件已被积极用于攻击。 该恶意软件的开发者称，仅用6个小时就开发完成，相当隐蔽，VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust（一种跨平台语言）编写的，可在多个操作系统使用。从其当前的使用范围看，它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂，所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样，并将其命名为 “Luca Stealer”。 采样报告显示，Luca Stealer具有明显的恶意功能，当执行时，它试图从30个基于Chromium的网络浏览器中窃取数据，它将窃取存储的信用卡、登录凭证和cookies等信息；它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比，Luca Stealer是密码管理器浏览器插件，可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图，将其保存为.png文件，执行 “whoami”对主机系统进行剖析，并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能，该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍，被盗数据通过Discord webhooks或Telegram bots渗出，具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者，以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中，并附有所包含内容的摘要，方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称，目前发现了至少25例Luca Stealer的在野利用，虽然源代码已被公布，但它是否会大规模部署还不得而知。但由于其源代码是免费公布，可能成为其滥用原因之一。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340119.html 封面来源于网络，如有侵权请联系删除

近期，新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵，正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件，它能够执行系统侦察、窃取信息和加载额外的有效负载，虽然在2020年后它就消失了，但AhnLab的韩国研究人员报告说，一个Amadey Bot的新版本再现，并得到了现在仍然非常活跃的 SmokeLoader 恶意软件的支持。这与Amadey对Fallout和Rig漏洞利用工具包的依赖不同，这些工具包通常已经不再流行，因为它们针对的是过时的漏洞。 SmokeLoader通常会伪装成软件漏洞或keygen，让受害者在毫不知情的情况下下载并执行。由于漏洞和密钥生成器触发防病毒警告的情况很常见，用户在运行防病毒程序之前禁用防病毒程序是很常见的，这使它们很快成为分发恶意软件的理想手段。当用户执行后，它将“Main Bot”注入当前运行的 (explorer.exe) 进程，因此操作系统信任它并在系统上下载 Amadey。 获取并执行 Amadey 后，它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中，并使用 cmd.exe 命令创建计划任务以保持持久性。接下来，Amadey 建立C2通信并向攻击者的服务器发送系统配置文件，包括操作系统版本、架构类型、已安装的防病毒工具列表等。 在其最新版本3.21中，Amadey可以发现14种防病毒产品，并且可能根据结果获取可以避开正在使用的有效负载。服务器会响应指令，并以dll的形式下载额外的插件，以及其他信息窃取者的副本，最著名的是RedLine (‘yuri.exe’)。 同时它还会使用UAC绕过和权限提升来获取和安装有效负载。Amadey为此使用了一个名为“FXSUNATD.exe”的程序，并通过 DLL 劫持向管理员执行提升。在下载有效载荷之前，还使用PowerShell在Windows Defender上添加了适当的排除。此外，Amadey会定期捕获屏幕截图并将其保存在TEMP路径中，以便和下一个POST请求一起发送到C2。 下载的其中的一个DLL插件“cred.dll”通过“rundll32.exe”运行，试图从以下软件中窃取信息： Mikrotik 路由器管理程序 Winbox Outlook FileZilla Pidgin Total Commander FTP Client RealVNC, TightVNC, TigerVNC WinSCP 当然，如果将 RedLine 加载到主机上，目标范围会急剧扩大，受害者可能会丢失帐户凭据、通信、文件和加密货币资产。为了避免Amadey Bot和 RedLine带来的危险，建议不要轻易下载承诺免费访问高级产品的破解文件、软件产品激活器或非法密钥生成器。 转自 FreeBuf，原文链接：https://www.freebuf.com/articles/340023.html 封面来源于网络，如有侵权请联系删除

Windows7的DLL侧载缺陷近期被QBot恶意软件利用，攻击者通过Windows计算器在受感染的计算机上侧载恶意的有效载荷。 QBot（Qakbot）最初以银行软件木马起家，目前已经发展成为针对Windows平台的恶意软件投放器。在早期，Qakbot被勒索软件团伙用来投放Cobalt Strike信标。DLL侧载则是一种常见的攻击方法，它利用了Windows中处理动态链接库（DLLs）的方式。伪装成一个合法的DLL，并把其放在一个文件夹中，操作系统从那里加载虚假的DLL而不是合法的。 安全研究人员ProxyLife最近发现，至少从7月11日起，Qakbot就一直在滥用Windows 7计算器应用程序进行DLL侧载攻击，并持续用于恶意广告活动中。 为了帮助用户防范这种威胁，ProxyLife和Cyble的研究人员记录了最新的QBot感染链。 最新攻击活动中使用的电子邮件带有一个HTML文件附件，下载一个有密码保护的ZIP档案，里面有一个ISO文件。 打开ZIP文件的密码显示在HTML文件中，而锁定存档的原因是为了逃避反病毒检测。 QBot垃圾邮件上的HTML附件 该ISO包含一个.LNK文件，一个’calc.exe’（Windows计算器）的副本，以及两个DLL文件，即WindowsCodecs.dll和一个名为7533.dll的有效载荷。 ZIP档案内容 当用户挂载ISO文件时，它只显示.LNK文件，该文件被伪装成持有重要信息的PDF文件或用Microsoft Edge浏览器打开的文件。 然而，从文件的属性对话框中可以看出，该快捷方式指向Windows中的计算器应用程序，点击快捷方式，通过命令提示符执行Calc.exe来触发感染。 触发感染的PDF文件的属性 当加载时，Windows 7计算器自动搜索并试图加载合法的WindowsCodecs DLL文件。然而，它没有检查某些硬编码路径中的DLL，如果与Calc.exe可执行文件放置在同一文件夹中，它将加载任何具有相同名称的DLL。 威胁者利用这一缺陷，创建自己的恶意WindowsCodecs.dll文件，启动其他[编号].dll文件，这就是QBot恶意软件。 通过像Windows Calculator这样的可信程序安装QBot，一些安全软件就很有可能检测不到它，从而使恶意程序逃避检测。 不过这个DLL侧载缺陷在Windows 10 Calc.exe及以后的版本中已经得到了解决，这就是攻击者只针对Windows 7版本的原因。 QBot已经存在了十多年，最早可以追溯到2009年，虽然QBot的相关活动并不频繁，但过去曾观察到它被Emotet僵尸网络散播，以投放勒索软件的有效载荷。 在QBot相关的勒索软件家族中，比较著名的有RansomExx、Maze、ProLock和Egregor。而Black Basta则是最近一次被投放的QBot勒索软件。 转自 FreeBuf，原文链接：https://www.freebuf.com/articles/340024.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，威胁攻击者正在黑客论坛上推广新版本 Redeemer（救赎者）勒索软件构建器，为低级别网络攻击者免费提供了一个轻松进入勒索软件世界的机会。 勒索软件运营者透露，新版本完全采用 C++ 编写，可在 Windows Vista、7 以上版本运行，具有多线程性能和中等 AV 检测率。 与许多勒索软件即服务 (RaaS) 的操作不同，新版本支持所有人下载使用救赎者勒索软件构建器来发起自己的网络攻击。当受害者决定支付赎金时，攻击发起者会分享主密钥与关联公司持有的私有构建密钥进行解密。 此外，新版本勒索软件中还提供了一个图形用户界面，主要用于构建勒索软件可执行文件和解密工具，相关的使用说明都包含在了 ZIP 中。值得一提的是，勒索软件运营商表示，新版本未来可能会像 Redeemer 1.0 版本一样，公开发布源代码。 Redeemer 的创建者在黑客论坛上推广该项目 救赎者 2.0 详细介绍 据悉，新版本勒索软件构建器新增了几个功能，例如支持 Windows 11、GUI 工具以及类似 XMPP 和Tox Chat 等通信选项。 此外，新版本救赎者勒索软件还有一个活动 ID 跟踪系统，可以将数据添加到可执行文件中，允许攻击者跟踪其可能正在进行的各种活动。 受害者支付的赎金数额是在构建可执行文件的过程中设定的，并与特定的 ID 相对应，勒索软件供应商不能向攻击发起者任意索赔。 Redeemer 勒索软件 GUI 构建器 运营商在黑暗网站 Dread 上创建了一个页面，供联盟成员获取工具包，建立沟通，获取指示，并获得支持。 2.0 版本公告 Cyble 的研究人员对新版本进行了详细分析并在报告中表示，新版本勒索软件在启动时会创建了一个互斥锁，以避免在受害者系统上有多个运行实例，并理员权限滥用 Windows APIs。 在开始加密之前，恶意软件会滥用 Windows 命令来清除事件日志，并删除任何系统状态的备份，从而阻止受害者轻松/免费恢复。下面显示的进程被终止，以防止危害加密过程，并释放所有的目标文件和数据使其可被加密。 加密前终止的进程（Cyble） 之后，勒索软件会为 Windows 放置一个自定义图标，用于加密文件的扩展名，生成赎金声明，并列出所有文件和目录。 赎金票据 Bleeping Computer 独立测试了新版本勒索软件，发现其在加密后并没有删除所有文件，因此它的操作现在看来是不可靠的。 加密文件以及一些原件 当受害者试图打开其中一个加密的副本时，会收到一条消息，指示其打开赎金声明以获取有关操作的详情信息。 打开加密文件时出现的错误信息 该勒索软件还在 Winlogon 注册表项中添加了勒索注释，以警告用户重启系统的话，可能发生的情况。 系统重启期间显示的赎金记录（Cyble） 新版本勒索软件值得警惕吗？ 像“救赎者”这样的勒索软件，大幅降低了网络犯罪分子（包括技能低的攻击者），进入勒索软件领域的门槛。 虽然这些低级别的攻击者一般缺乏在有价值的公司网络上找到初始接入点的技能，但仍然可能对许多重要但保护不足的实体造成重大损害，例如医疗保健和小型企业，仍然值得我们警惕！ 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339984.html 封面来源于网络，如有侵权请联系删除

近期，研究人员发现数十个应用程序通过虚拟市场传播 Joker、Facestealer 和 Coper 等恶意软件。据 The Hacker News 网站披露，Google 已从官方 Play 商店中下架了这些欺诈性应用程序。 Android 应用商店被广泛认为是发现和安装这些欺诈性应用程序的来源，但是研究人员发现攻击者正在想方设法绕过谷歌设置的安全屏障，引诱毫无戒心的用户下载带有恶意软件的应用程序。 研究人员  Viral Gandhi 和 Himanshu Sharma 在周一的报告中表示，Joker 是针对 Android 设备最著名的恶意软件家族之一，Zscaler ThreatLabz 和 Pradeo 的最新发现也证明了这一点。 尽管公众对 Joker 这种特殊的恶意软件已经有所了解，但是它通过定期修改恶意软件的跟踪签名（包括更新代码、执行方法和有效载荷检索技术）不断寻找进入谷歌官方应用商店的途径。 关于 Joker Joker 又名 Bread ，被归类为 fleeceware，旨在为用户订阅不需要的付费服务或拨打高级号码，同时还收集用户的短信、联系人名单和设备信息，于 2017 年首次在 Play Store 中被发现。目前，两家网络安全公司共发现了 53 个 Joker 下载器应用程序，这些应用累计下载量超过了 33 万次。 这些应用程序一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 研究人员经过分析发现 Joker 恶意软件采用了新的策略绕过检测，Joker 开发人员不会等着应用程序获得指定数量的安装和评论后，再更换带有恶意软件的版本，而是使用商业打包程序将恶意负载隐藏在通用资产文件和打包应用程序中。 恶意软件感染许多应用程序 值得一提的是，应用商店不仅仅出现了 Joker。安全研究员 Maxime Ingrao 上周披露了八款应用程序，其中含有名为  Autolycos 的恶意软件的不同变体。在存在了六个多月之后才从应用程序商店中删除，此时其下载量总计已经超过了 30 万次。 Malwarebytes 的研究员 Pieter Arntz 表示，这种类型的恶意软件具有新的特点，它不再需要 WebView，这大大降低了受影响设备的用户注意到发生异常情况的机会。比如 Autolycos 就是通过在远程浏览器上执行 URL，然后将结果纳入 HTTP 请求中，从而避免了 WebView。 应用商店中还发现了嵌入 Facestealer 和 Coper 恶意软件的应用程序，前者使运营商能够窃取用户 Facebook 凭据和身份验证令牌， 后者（Exobot 恶意软件的后代）充当银行木马，可以窃取广泛的数据。 据悉，Coper 还能够拦截和发送 SMS 文本消息、发出 USSD（非结构化补充服务数据）请求以发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击、防止卸载以及通常允许攻击者控制和执行命令通过与 C2 服务器的远程连接在受感染的设备上。 与其他银行木马一样，Coper 恶意软件会滥用 Android 上的可访问权限来完全控制受害者的手机。 Facestealer 和 Coper 感染的应用程序列表如下 ： Vanilla Camera (cam.vanilla.snapp) Unicc QR扫描器 (com.qrdscannerratedx) 最后提醒广大用户，要从正规的应用商店下载应用程序，通过检查开发商信息、阅读评论和仔细检查其隐私政策来验证其合法性，并且建议用户不要给应用授予不必要的权限。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339760.html 封面来源于网络，如有侵权请联系删除

ChromeLoader 恶意软件通过盗版游戏、恶意二维码和劫持受害者网络浏览器并将广告插入网页的破解软件进行传播。Palo Alto Networks 的 Unit 42 研究人员发现了臭名昭著的ChromeLoader信息窃取恶意软件的新变种，代号为 Choziosi Loader 和 ChromeBack。该发现表明恶意软件仍在不断发展。研究人员在2022年1月发现了这种恶意软件的 Windows 变体，并在2022年3月发现了macOS版本。 在很短的时间内，ChromeLoader 的作者发布了多个不同的代码版本，使用了多种编程框架、增强功能、高级混淆器、修复了问题，甚至添加了针对 Windows 和 macOS 的跨操作系统支持。 Nadav Barak – Unit 42 的 IT 安全研究员 关于 ChromeLoader ChromeLoader 是一种多阶段恶意软件。每个变种在其感染链中都有几个阶段。然而，不同变种之间的感染链似乎相似，例如所有变种都使用恶意浏览器扩展来传播感染。该恶意软件主要用于劫持用户的浏览器搜索和显示广告。尽管它于2022年1月首次浮出水面，但 Unit 42 研究人员在他们的博客文章中表示，它于2021年12月通过 AutoHotKey 编译的可执行文件首次用于攻击，并删除了 1.0 版浏览器劫持程序。该恶意软件在 ISO 或 DMG 文件下载中作为伪造的Chrome扩展6.0 版分发。该图像文件包含一个良性 Windows 快捷方式，该快捷方式启动了一个隐藏文件来部署恶意软件。 正如Hackread.com 在2022年5月报道的那样，该恶意软件还通过免费游戏网站和 Twitter 上的二维码进行营销。所以基本上，它是广告软件。但是，它臭名昭著，因为它被设计为浏览器扩展，而不是动态链接库/.dll 或 Windows 可执行文件/.exe 文件。 感染链 受害者通过恶意广告活动被引诱下载电影种子或破解视频游戏。他们也可能在社交媒体和按安装付费的网站上找到它。一旦下载并安装在系统上，ChromeLoader 就会请求侵入性权限以访问浏览器数据和 Web 请求。此外，该恶意软件还可以捕获受害者在 Yahoo、Google 和 Bing 上的搜索引擎查询，攻击者可以通过这些查询快速确定用户的在线活动。 如何删除 ChromeLoader 恶意软件 无论是 Android 用户、Windows 还是 Mac 设备，了解 ChromeLoader 恶意软件并采取措施保护自己免受其侵害非常重要。ChromeLoader 会劫持用户的网络浏览器并将广告插入网页。它通常通过受感染的网站传播，并且很难删除。因此，请注意并避免下载盗版内容，包括游戏、视频、电影或歌曲。如果浏览器感染了 ChromeLoader 恶意软件，请按照以下步骤将其删除 -> 首先，通过按键盘上的 Ctrl+Alt+Delete 打开 Windows 任务管理器。在“进程”选项卡中，找到“chrome.exe”并单击它。然后，单击结束进程。 接下来，打开您的网络浏览器并导航到 chrome://extensions/。向下滚动，直到找到“ChromeLoader”，然后单击它旁边的垃圾桶图标。 最后，使用防病毒软件运行完整的系统扫描，以确保恶意软件已被删除。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/7QX1IjFAD8WHTYruIQYuvQ 封面来源于网络，如有侵权请联系删除

尽管网络犯罪已在全球范围内泛滥，但这并不意味着犯罪分子就能够免于跨国诉讼。美国司法部（DOJ）在周二的一篇新闻稿中宣布，其已将罗马尼亚 / 拉脱维亚双重国籍的 Mihai Ionut Paunescu（绰号 Virus）从哥伦比亚引渡到美国。 截图（来自：US DOJ） 据悉，Mihai Ionut Paunescu 涉嫌设计了从世界各地的网银账户中窃取资金的恶意软件，并运营着一套分发用的基础设施。 其被指控为 Gozi 病毒的创建者之一，该木马于 2007 – 2012 年间感染了美国、英国、德国、意大利和芬兰等国家的数百万台计算机。 病毒通过被感染的 PDF 文档分发，得逞后可捕获受感染计算机上的网银登录凭证，从而允许制作者从世界各地的银行账户中窃取数千万美元的资金。 此外根据 2013 年提交给纽约南区法院的起诉书，Paunescu 还经营着一套面向其他网络犯罪分子的“防弹托管”服务。 该服务提供了可用于在线犯罪活动的服务器 —— 比如分发恶意软件和控制僵尸网络 —— 同时让幕后操纵者维持匿名身份。 起诉书中甚至提到，美国宇航局（NASA）也是该恶意软件的受害者之一。其中一项指控写道： 从 2011 年末 – 大约 2012 年中期，绰号‘病毒’的犯罪嫌疑人导致 NASA 的大约 60 台计算机被感染了 Gozi 病毒、造成月 1.9 万美元的损失。 美国检察官指出，Mihai Ionut Paunescu 引领了将病毒木马和僵尸网络分享给其它网络犯罪分子的金融模式，据说该病毒的每周报价为 500 美元。 在 Gozi 病毒的主要活动期结束后，他最初于 2012 年在罗马尼亚波哥大机场被拘，并一度在保释后设法避免了被美国引渡。 不过哥伦比亚司法部长表示，宣布绰号‘Virus’的他，还是在将近 10 年后的 2021 年 6 月在当地被逮捕。 美国纽约南区检察官 Damian Williams 在一份声明中指出，检察与执法机构为追踪跨国网络犯罪分子付出了长期不懈的努力。 此前另一位参与设计病毒的拉脱维亚程序员，已在被引渡到美国并认罪后，被判处 37 个月的监禁和 700 万美元罚款。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294985.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱，该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发，据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。 CloudMensis是用Objective-C编写的，于2022年4月首次发现，旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限，这表明该恶意软件是针对相关实体的高度针对性行动的一部分。 ESET发现的攻击链滥用代码执行和管理权限来启动第一阶段有效负载，该有效负载用于获取和执行pCloud上托管的第二阶段恶意软件，进而窃取文档、截图和电子邮件附件等。 据悉，第一阶段下载程序还可以清除Safari沙盒逃逸和特权升级漏洞的痕迹，这些漏洞利用了2017年现已解决的四个安全漏洞，这表明CloudMensis可能已经运行了很多年。 该植入软件还具有绕过TCC安全框架的功能，该框架旨在确保所有应用程序在访问文档、下载、桌面、iCloud Drive和网络卷中的文件之前获得用户同意。 它通过利用另一个补丁安全漏洞来实现这一点，该漏洞追踪为CVE-2020-9934，于2020年曝光。后门支持的其他功能包括获取正在运行的进程列表、捕获屏幕截图、列出可移动存储设备中的文件，以及运行shell命令和其他任意有效负载。 此外，对云存储基础设施元数据的分析表明，pCloud账户创建于2022年1月19日， 妥协始于2月4日，在3月份到达顶峰。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文