加密货币世界主要存在于数字领域，面临着众多不断变化的网络威胁，这些威胁所带来的风险，给个人和企业组织造成了重大损失。 本文将研究2023年年加密货币领域的一些关键网络安全趋势，这些趋势预计将持续到 2024 年，并影响更多受害者。 1. 黑客攻击和漏洞利用 加密货币交易所和各种去中心化金融（DeFi）平台在2023年都经历了多次黑客攻击和利用，例如Mixin Network在 9 月份因黑客攻击遭受了近 2 亿美元的损失，Euler Finance 在 3 月份也遭遇了漏洞攻击，导致损失 1.97 亿美元。 截至2023年 11 月，区块链情报公司 TRM Labs 总共记录了 160 起黑客攻击事件，这一数字与 2022 年相当。然而，尽管事件数量相似，黑客仅窃取了 17 亿美元的比特币 (BTC) 和其他加密资产，还不到 2022 年被盗金额的一半。研究人员将损失的减少归因于行业安全措施的改进、执法力度的加大以及行业协调的加强。 2022 年与 2023 年损失对比 数据还表明，今年被盗总额的近 60% 可归因于基础设施攻击，犯罪分子通过攻击获取服务器、网络或软件的访问权限。其他方式包括通过代码漏洞、协议攻击等方式对智能合约（自执行程序）进行攻击。 2023年所记录到的攻击类型比例 与此同时，2023年有一起黑客攻击事件引人注目：KyberSwap 去中心化交易所的黑客开始要求转移对该平台的控制权，以换取价值约 5000 万美元的加密资产的归还。该事件到目前仍未得到解决。 由于黑客可能会继续瞄准加密货币交易所（尤其是集中式交易所），因此建议仅在这些平台上保留交易所需的加密资产额度，同时通过更安全的选项（例如硬件钱包）来保障更大额的加密资产。 2. 诈骗 加密货币诈骗构成了一个广泛的类别，涵盖各种子类别，例如退出诈骗、投资欺诈、欺骗性智能合约等。此外，一个骗局可能涉及多种骗局，例如投资骗局和爱情骗局的结合。随着2023年比特币和加密货币市场的显着上升趋势，预计诈骗活动将会增加。 但事实证明，至少2023年上半年这些犯罪分子的 “利润 “并不高。根据区块链分析公司 Chainalysis 的数据，截至 6 月，加密货币诈骗者在 2023 年获得的收益比 2022 年减少了近 33 亿美元，全年总收益略高于 10 亿美元。这一下降归因于以VidiLook为代表的两大投资骗局的销声匿迹。 与此同时，有着朝鲜背景的 Lazarus 等特定黑客组织对加密货币诈骗也并不陌生。据估计，该组织在6年内窃取了价值 30 亿美元的加密资产，目前涉嫌在 Telegram 上发起网络钓鱼活动，重点针对加密行业。加密安全专家慢雾声称，该组织成员目前冒充信誉良好的投资机构，欺骗加密项目向犯罪分子发送资金。这种特殊的骗局属于网络钓鱼骗局的范畴，将在下面单独进一步讨论。 3. 网络钓鱼 网络钓鱼采用欺骗手段（例如冒充和创建虚假网站）来获取受害者的资金。最近在2023年12月份发生的一起重大事件震惊了整个DeFi和Web3（新一代互联网）行业。大型硬件钱包制造商 Ledger 的一名前员工遭到网络钓鱼攻击，攻击者可以将恶意代码注入 Ledger 的软件中。该软件用于控制第三方应用程序对硬件钱包上的加密资产的访问，目前价值约 60 万美元的加密资产被盗。此消息曝光后，建议所有去中心化应用程序（dapp）的用户停止交互，直至另行通知。 与此同时，Chainalysis 还对另一种类型的犯罪发出了警告–批准钓鱼诈骗。在这种情况下，骗子会诱骗用户签署恶意区块链交易，批准骗子的地址使用受害者钱包中的特定代币。据研究人员估计，一些受害者在这些骗局中损失了数千万。 因此，这种新出现的网络钓鱼诈骗是一个重要提醒，不仅要在签署任何交易之前仔细检查与您在互联网上互动的个人或网站身份，还要在启动交易之前验证地址。 4. 拉高出货（Pump & dump schemes）和跑路（rug pulls）骗局 加密货币的参与者还应警惕操纵和欺骗手段，包括拉高出货（Pump & dump schemes）计划和跑路（rug pulls）。前者是指通过误导性声明操纵代币价格，从而出售过高估值的基金，让毫无戒心的投资者蒙受损失。虽然2023年的数据尚未公布，但 Chainalysis 估计，2022年推出的代币中有 24% 在第一周出现了价格下跌，这表明存在潜在的拉高出货活动。 而跑路策略，是在从投资者那里收取资金后，犯罪团队带着所有资金消失。Hacken 估计，2023年第三季度加密货币领域的损失中有 65% 是由跑路造成。研究人员记录了 78 起事件，使投资者损失近 5000 万美元。检查加密货币项目是否经过了独立的第三方审核（这可能表明潜在风险）可以帮助防止成为骗局的受害者。据 Hacken 称，在检查的 78 起跑路事件中，只有 12 起报告称经过了第三方审核，且审核后的评分很低。 5. 勒索软件 虽然2023年上半年诈骗活动有所减少，但与加密货币相关的勒索软件活动却有所增加。根据 Chainaanalysis的数据，勒索软件成为2023年唯一增长的与加密货币相关的犯罪类型。截至 6 月，犯罪分子勒索了至少 4.49 亿美元，比 2022 年同期增加了 64%，其大幅增长归因于攻击者瞄准了更大型的组织，以博得更高额的赎金。此外，还发生了一些更成功的小规模勒索软件攻击事件。 2023年不同勒索软件的赎金规模 随着年关将至，犯罪分子更加力求利益最大化。Immunefi 的数据显示，仅2023年 11 月份，BTC 和加密市场因黑客和欺诈造成的损失约为 3.4 亿美元，较 10 月份增加了 15.4 倍。 随着人们对网络安全威胁的认识不断增强，BTC 和加密货币用户以及相关组织有望在 2024 年能更好地保持警惕，时刻维护自身安全。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388541.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，Ruhr University Bochum 的安全研究人员在 SSH 加密网络协议中发现一个新安全漏洞，黑客能够利用漏洞破坏安全通道的完整性，从而降低 SSH 连接的安全性。 SSH 协议依靠加密技术验证和加密设备之间的连接，这一过程主要通过握手实现。握手过程中，客户端和服务器就加密原语达成一致，并交换建立安全通道所需的密钥，从而确保传输信息的保密性、完整性和安全性。 安全漏洞被称为 Terrapin（CVE-2023-48795，CVSS 得分：5.9），研究人员称其是有史以来第一个可实际针对 SSH 协议的前缀截断攻击。 研究人员 Fabian Bäumer、Marcus Brinkmann 和 Jörg Schwenk 指出，当使用 SSH 扩展协商时，处于主动中间对手（AitM）位置并有能力在 TCP/IP 层拦截和修改连接流量的威胁攻击者能够降低 SSH 连接的安全性。 黑客通过在握手过程中”精心“调整序列号，便能够在安全通道开始时删除客户端或服务器发送的任意数量的信息，整个过程客户端或服务器都不会察觉，研究人员进一步解释称，黑客还可以通过截断誊本中的扩展协商消息（RFC8308）来降低连接的安全性。（截断会使 OpenSSH 9.5 中针对击键计时攻击的特定对策失效） 从目前披露的消息来看，Terrapin 漏洞影响包括 OpenSSH、Paramiko、PuTTY、KiTTY、WinSCP、libssh、libssh2、AsyncSSH、FileZilla 和 Dropbear 等在内的许多 SSH 客户端和服务器。值得一提的是，黑客能够完成攻击活动的关键前提是被攻击目标使用易受攻击的加密模式，例如 ChaCha20-Poly1305 或 CBC with Encrypt-then-MAC 等。 Qualys 还表示在现实世界中，黑客可以利用这一漏洞截获敏感数据，或使用管理员权限控制关键系统，对于拥有大型互联网络并提供权限数据访问的企业来说，这种风险尤为突出。 最后，JFrog 公司安全研究部高级安全研究员 Yair Mizrahi 指出，由于 SSH 服务器，尤其是 OpenSSH 在整个基于云的企业应用环境中使用非常广泛，因此企业必须确保已采取适当措施为服务器打补丁，以避免遭受更大的网络攻击。此外，Mizrahi 特别强调，连接到修补服务器的易受攻击的客户端仍然会导致连接易受攻击。因此，企业还必须采取措施，识别其整个基础设施中的每一个易受攻击的漏洞，并立即采取缓解措施。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388549.html 封面来源于网络，如有侵权请联系删除

总部位于以色列的网络安全事件响应公司 Security Joes 报道，一种新的 DLL 搜索顺序劫持技术允许黑客在 Windows WinSxS 文件夹内的应用程序中加载并执行恶意代码。 通常，DLL 搜索顺序劫持不会滥用指定所需库或文件的完整路径，而是依赖预定义搜索顺序来定位它的应用程序。 黑客将恶意 DLL 放置在按搜索顺序优先的文件夹中（通常位于应用程序的工作目录中），以便在应用程序所需的合法库之前加载它。在某些情况下，黑客还会删除合法但易受攻击的应用程序，以使用恶意 DLL 加载。 “操纵这个加载过程可以让黑客在受信任进程的内存空间中注入和执行未经授权的代码，从而有效地欺骗安全工具和分析师。”Security Joes 解释道。 该公司称，黑恶可以故意瞄准 WinSxS 文件夹中的文件，使他们的攻击更加隐蔽，同时无需删除额外的二进制文件或获得在 Windows 文件夹中的应用程序中执行代码的高权限。 WinSxS（Windows Side by Side）文件夹存储重要系统文件的各种版本，包括 DLL，确保应用程序兼容性和系统完整性，并方便激活或停用 Windows 功能，而无需额外安装。 “实际上，在安装 Windows 组件、更新或软件应用程序期间，文件会系统地存储在 WinSxS 目录中。该目录充当系统文件（尤其是 DLL）的集中存储库。”Security Joes 解释道。 针对 WinSxS 应用程序的 DLL 搜索顺序劫持的执行流程 作为其研究的一部分，该网络安全公司首先在 WinSxS 文件夹中发现了一个存在漏洞的二进制文件，然后在搜索系统文件时滥用 Windows 的行为，以确保该二进制文件使用 DLL 加载放置在桌面上自定义文件夹中的精心设计的 DLL搜索顺序劫持。 “除了自定义 DLL 之外，我们还开发了一个可执行文件，其唯一目的是执行 WinSxS 文件夹中的所有其他二进制文件并监视它们的操作。该可执行文件旨在识别 WinSxS 文件夹中存在的易受攻击的文件。”该公司表示。 该公司发现，WinSxS 文件夹中的一些二进制文件正在自定义桌面文件夹中搜索 DLL，这表明如果要重命名该库以匹配可执行文件正在搜索的预期 DLL 文件，它们将加载精心设计的库。 据 Security Joes 称，攻击者可以从使用自定义文件夹作为工作目录的 shell 启动命令，而无需将易受攻击的二进制文件移至 WinSxS 文件夹之外。 “此操作将导致目标二进制文件执行我们的 DLL，因为它只会将其定位在我们的目录中。这凸显了我们实现的强大功能，只需要注入命令行和 DLL。”Security Joes 指出。 通过依赖位于 WinSxS 中的易受攻击的可执行文件，该技术改进并简化了依赖 DLL 搜索顺序劫持的感染链，因为它消除了删除易受攻击的应用程序的需要。 此外，该网络安全公司指出，该技术可用于针对 Windows 10 和 11 系统。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XIMkRT0TV2LUqmvVv1BvpA 封面来源于网络，如有侵权请联系删除

高通公司在元旦披露了一个严重漏洞，该漏洞允许通过 LTE 网络上的恶意语音通话进行远程攻击。 2024 年1月的安全公告共列出了影响高通芯片组的 26 个漏洞，其中包括 4 个高危漏洞。补丁已经提供给使用高通芯片（包括流行的 Snapdragon 系列芯片）的原始设备制造商 (OEM)。 高通公司的高危漏洞在通过 LTE 接听电话时会带来风险 据高通称，最严重的漏洞编号为CVE-2023-33025，CVSS 评分为 9.8。此漏洞涉及一个典型的缓冲区溢出缺陷，导致数据调制解调器中的内存损坏，当会话描述协议 (SDP) 主体不标准时，在 LTE 语音 (VoLTE) 呼叫期间会发生这种情况。 SDP 通常通过以标准化格式提供某些会话、媒体、定时和网络信息来帮助促进两个设备之间的连接以进行通信会话，例如 VoLTE 呼叫。如果黑客可以使用自己的内容操纵 SDP 主体并发起调用，其中恶意 SDP 由接收设备的数据调制解调器处理，则黑客可以利用调制解调器中的内存损坏进行远程代码执行 (RCE)。 高通发言人表示，这种利用虽然可能，但很难实现，因为黑客需要控制 LTE 网络本身才能进行攻击。因此，建议用户仅连接到安全、可信的 LTE 网络。 CVE-2023-33025 影响两大高通芯片组，包括 Snapdragon 680 和 Snapdragon 685 4G 移动平台。这些芯片用于一系列智能手机和平板电脑，包括三星 Galaxy、摩托罗拉 Moto 以及华为 Enjoy 和 Nova 产品系列中的型号。较新的 Snapdragon X65 5G 调制解调器和 Snapdragon X70 调制解调器射频系统也受到影响。 OEM 于 2023 年 7 月 7 日首次收到有关该缺陷的通知。 高通发言人表示，CVE-2023-33025 将包含在周二的 2024 年 1 月Android 安全公告中。 其他严重错误可能导致永久性 DoS、本地攻击 三个本地访问漏洞也被标记为高危，其中一个可能导致永久性 DoS，另外两个会导致内存损坏。 CVE-2023-33036被 Qualcomm 授予关键安全评级，CVSS 评分高达 7.1，由于 NULL 指针取消引用，导致虚拟机管理程序软件永久中断。当不支持电源状态协调接口 (PSCI) 的不受信任虚拟机进行 PSCI 调用（即与电源管理相关的请求）时，就会出现此问题。该漏洞影响了 100 多个芯片组，其中包括 Snapdragon 系列中的许多芯片组。 CVE-2023-33030（CVSS 得分为 9.3）是另一个缓冲区溢出错误，在运行 Microsoft PlayReady 用例（即播放受 PlayReady 保护的媒体文件）时，会导致高级操作系统 (HLOS) 内存损坏。防复制技术）。此漏洞影响 200 多个芯片组，从智能手机和计算机芯片到可穿戴设备和其他物联网设备中使用的芯片组。 CVE-2023-33032 的CVSS 分数也为 9.3，是一个整数溢出或环绕缺陷。当从可信应用程序 (TA) 区域请求内存分配时，ARM TrustZone 安全操作系统中可能会发生内存损坏。该缺陷影响超过 100 个高通芯片组。 客户于 2023 年 7 月 3 日收到有关所有这些严重缺陷的通知，所有错误均通过高通提供的软件补丁得到解决。该公司建议包含受影响芯片的设备的用户联系设备制造商以获取有关修补状态的信息并应用所有可用的更新。 转自安全客，原文链接：https://www.anquanke.com/post/id/292335 封面来源于网络，如有侵权请联系删除

安全研究实验室 (SRLabs) 创建了一个解密器，该解密器利用 Black Basta 勒索软件加密算法中的漏洞，让受害者免费恢复其文件。 Black Basta Buster 解密器的特殊功能是能够恢复 2022 年 11 月至今加密的文件。然而，Black Basta 开发人员大约一周前已经修复了该漏洞，这使得该解密技术无法对新的漏洞使用。 该漏洞的本质是利用标准XChaCha20密码来加密文件。Black Basta 开发人员的错误是在加密过程中重复使用相同的密钥流，导致所有仅包含零的 64 字节数据被转换为 64 字节对称密钥，从而允许专家提取密钥并使用它来解密整个文件。 Black Basta Buster 解密器由一组Python脚本组成，可帮助在各种场景下解密文件。但需要注意的是，该解密器仅适用于 2022 年 11 月至今使用 Black Basta 版本加密的文件。此外，该工具无法解密向加密文件添加“.basta”扩展名的程序版本。 Black Basta Buster 被官方证明是有效的，但尽管它成功地恢复了一些文件，但解密器一次只能对一个文件起作用，这使得大量数据的恢复过程变得十分困难。 如果知道 64 个加密字节的明文，就可以恢复文件。完全或部分恢复文件的可能性取决于文件的大小。小于 5,000 字节的文件无法恢复。对于大小从 5,000 字节到 1 GB 的文件，可以完全恢复。对于大于 1 GB 的文件，前 5,000 字节将丢失，但其余部分可以恢复。 虽然较小的文件可能无法解密，但较大的文件（例如虚拟机磁盘）通常可以解密，因为它们包含大量“空”分区。 这一发现对于勒索软件受害者来说尤其重要，他们以前想要恢复数据就必须支付赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292324 封面来源于网络，如有侵权请联系删除

澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 宣布，由于最近的网络攻击，证券交易所暂停交易。该公司经营着300多家丰田、宝马、日产、奔驰、奥迪、福特、大众、本田等知名品牌的零售店，并拥有多家专门从事二手车销售的分公司。 Eagers Automotive 拥有 8,500 多名员工，2023 年上半年营收为 48.2 亿澳元（32.5 亿美元）。 12月28日，该公司宣布需要暂停所有交易操作，以防止信息泄露。该公司在随后的声明中表示，其在澳大利亚和新西兰的多个系统遭到网络攻击。 Eagers Automotive 表示，信息系统中断正在影响澳大利亚和新西兰的一些工作场所。当地媒体报道称，“网络攻击的全面规模尚无法确定。” 外部专家已介入并展开紧急调查。Eagers Automotive已将该事件通知澳大利亚网络安全中心和新西兰国家网络安全中心。 该公司的规模和业务性质引起了人们对潜在数据泄露的担忧，该数据泄露会影响多个客户并可能泄露敏感的财务信息。尽管该公司对给客户带来的不便表示遗憾，并强调保护客户和员工数据的重要性，但该公司并未声明如何解决可能的数据泄露问题。 截至撰写本文时，尚无主要黑客组织声称对针对 Eagers Automotive 的攻击负责。 今年早些时候，澳大利亚主要公司包括迪拜环球港务集团 (DP World)、必胜客澳大利亚 (Pizza Hut Australia)、Dymocks Booksellers、悉尼大学 (University of Sydney)、HWL Ebsworth、Latitude Financial、维多利亚消防救援队 (Fire Rescue Victoria) 和昆士兰科技大学 (Queensland University of Technology) 等澳大利亚的主要公司遭受了其他一些网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292308 封面来源于网络，如有侵权请联系删除

网络安全公司 Palo Alto Networks 报告称，有权访问 Kubernetes 集群的黑客可以串联 Google Kubernetes Engine (GKE) 中的两个漏洞来提升权限并接管集群。 这些问题本身可能不会构成重大风险，但已在 FluentBit（GKE 中的默认日志记录代理）和 Anthos Service Mesh (ASM)（用于控制服务间通信的可选插件）环境中发现。 FluentBit 是一种轻量级日志处理器和转发器，自 2023 年 3 月以来一直是 GKE 中的默认日志记录代理，从一开始就被部署为 DaemonSet（控制器）。ASM是Google对Istio Service Mesh开源项目的实现，用于服务的管理和可视化。 Palo Alto Networks 表示，最近在 FluentBit 和 ASM 中发现的漏洞可以作为第二阶段攻击的一部分被利用，前提是黑客已经在 FluentBit 容器中实现了远程代码执行，或者他们可以突破另一个容器。 “如果黑客有能力在 FluentBit 容器中执行并且集群安装了 ASM，他们就可以创建一个强大的链来完全控制 Kubernetes 集群。黑客可以利用此访问权限进行数据盗窃、部署恶意 Pod 并破坏集群的运行。” Palo Alto Networks 解释道。 FluentBit 中的错误配置可能允许黑客使用节点中任何 pod 的令牌来冒充该 pod，获得对集群的未经授权的访问，并列出所有正在运行的 pod。 “除了获得对集群的未经授权的访问之外，黑客还可以升级他们的权限或执行有害的操作。事实上，这为黑客提供了巨大的攻击面，具体取决于节点中相邻 Pod 的权限。”Palo Alto Networks 表示。 此外，网络安全公司发现，安装后，ASM 的容器网络接口 (CNI) DaemonSet 保留过多的权限，允许黑客使用这些权限创建新的 pod，并获得对集群的特权访问。 通过利用FluentBit问题，黑客可以映射集群以找到Istio容器，并滥用ASM CNI DaemonSet的过多权限来创建“强大”的pod，瞄准具有高权限的服务帐户，并获得充当集群管理员的权限。 12 月 14 日，谷歌宣布针对这两个问题发布补丁，敦促用户手动更新集群和节点池。GKE 版本 1.25.16-gke.1020000、1.26.10-gke.1235000、1.27.7-gke.1293000 和 1.28.4-gke.1083000，以及 ASM 版本 1.17.8-asm.8、1.18.6- asm.2 和 1.19.5-asm.4 解决了这些错误。 “这些漏洞在 GKE 中无法单独利用，需要进行初步妥协。我们不知道有任何利用这些漏洞的实例，”谷歌在其公告中指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292303 封面来源于网络，如有侵权请联系删除

谷歌（Google）近期同意就一项价值 50 亿美元的隐私权诉讼达成和解，和解条款目前尚未披露，预计正式和解协议将在 2024 年 2 月 24 日前提交法院批准。 该诉讼指控谷歌追踪用户在“隐形浏览模式”下的数据信息。（这些用户自认为其是在私密状态下浏览网页）。 2020 年，Boies Schiller Flexner 律师事务所发起集体诉讼，指控 IT 巨头谷歌欺骗用户，即使用户选择了 “隐身 “浏览模式，谷歌还是利用其广告技术和其他方法收集用户网站访问和活动的详细信息。 对此，英国广播公司（BBC）发表文章评论称，美国地区法官伊冯娜-冈萨雷斯-罗杰斯（Yvonne Gonzalez Rogers）当地时间周四在加利福尼亚州搁置了原定的案件审理。值得一提的是，罗杰斯曾在今年早些时候驳回了谷歌要求驳回此案的申请。 集体诉讼还指出，谷歌不能继续未经授权地收集几乎每位美国电脑或手机用户的秘密数据。谷歌的做法是“故意”欺骗用户，侵犯他们的隐私，“数百万人”可能因此受到影响。 最后，据英国广播公司（BBC）报道，和解条款尚未公开，原告律师要求为每名被谷歌追踪的用户索取至少 5000 美元的赔偿，这意味着，原告提出的索偿金额至少达到 50 亿美元。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388438.html 封面来源于网络，如有侵权请联系删除

俄罗斯总统普京的竞选总部新闻秘书亚历山大·苏沃罗夫29日向记者透露，普京的竞选网站刚投入使用就遭到多起境外分布式拒绝服务攻击（DDoS攻击），但该网站目前工作正常。 普京15日在会见俄国家杜马（议会下院）各党团领袖和杜马高层时表示，俄罗斯总统竞选活动一切都必须依法进行，必须取缔任何来自外部的干涉。 普京称：“竞选活动即将开始，有必要明确几项原则性立场。首先，一切都应该在竞争基础上进行，并完全遵守俄罗斯联邦的法律。” 普京指出，肇事者将被追究干预选举的责任。 他还说：“根据俄罗斯联邦法律，任何对俄罗斯内政的干涉都将受到严惩。” 转自安全内参，原文链接：https://www.secrss.com/articles/62356 封面来源于网络，如有侵权请联系删除

黑客正在利用一种新的恶意软件加载器来传送各种信息窃取程序，例如 Lumma Stealer（又称 LummaC2）、Vidar、RecordBreaker（又称 Raccoon Stealer V2）和 Rescoms。 网络安全公司 ESET 正在追踪这个木马，并将其命名为 Win/TrojanDownloader.Rugmi。 公司在 2023 年下半年的威胁报告中说道：“这个恶意软件是一个包含三种组件的加载器：一个下载器用于下载加密的有效负载，一个加载器用于从内部资源运行有效负载，以及另一个加载器用于从磁盘上的外部文件运行有效负载。” 公司收集的数据显示，对 Rugmi 加载器的检测在 2023 年 10 月和 11 月激增，从每天个位数增加到每天数百次。 Stealer malware 通常以恶意软件即服务（MaaS）的模式向其他黑客提供订阅服务。例如，Lumma Stealer 在地下论坛中以每月 250 美元的价格进行宣传。最昂贵的方案售价为 20,000 美元，但它也赋予客户访问源代码和出售的权限。 有证据表明，与 Mars、Arkei 和 Vidar stealers 相关联的代码库已被重新利用以创建 Lumma 。 除了持续调整其策略以规避检测外，这款现成的工具还通过多种方式进行分发，包括恶意广告、虚假浏览器更新，以及破解安装流行软件如 VLC 媒体播放器和 OpenAI ChatGPT。 趋势科技在2023年10月披露：“该技术涉及利用 Discord 的内容传送网络（CDN）来托管和传播恶意软件。” 这包括利用随机和受损的 Discord 帐户的组合向潜在目标发送直接消息，向他们提供10美元或 Discord Nitro 订阅以换取他们在一个项目上的帮助。 同意此提议的用户随后被敦促下载托管在 Discord CDN上的可执行文件，伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 的有效载荷。 “现成的恶意软件解决方案促进了恶意活动的蔓延，因为它们使得恶意软件甚至可供技术可能较差的黑客使用。” ESET 表示。 “提供更广泛的功能将使Lumma Stealer成为更具吸引力的产品。” McAfee Labs披露了 NetSupport RAT 的一个新变种，该变种来自其合法的前身 NetSupport Manager，此后被初始访问代理用于收集信息并对感兴趣的受害者执行其他操作。 McAfee表示“感染始于被混淆的JavaScript文件，这些文件充当恶意软件的初始入口点” ，并强调了“黑客不断演变的策略”。 JavaScript 文件的执行通过运行 PowerShell 命令从受黑客控制的服务器检索远程控制和窃取器恶意软件，推动了攻击链的进展。该攻击活动的主要目标包括美国和加拿大。 消息来源：The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文