HackerNews 编译，转载请注明出处： 被称为 “Tomiris” 的威胁行为者近期针对俄罗斯外交部、政府间组织及政府机构发起攻击，旨在获取远程访问权限并部署更多攻击工具。 卡巴斯基（Kaspersky）研究人员奥列格・库普列夫与阿尔乔姆・乌什科夫在分析报告中指出：“这些攻击凸显了 Tomiris 战术的显著转变 —— 该组织日益频繁地使用利用公共服务（如 Telegram、Discord）作为命令与控制（C2）服务器的植入程序。这种方式的核心目的是将恶意流量与合法服务流量混淆，从而规避安全工具的检测。” 该网络安全公司表示，此次攻击行动中使用的鱼叉式钓鱼邮件和诱饵文件中，超 50% 包含俄语名称及文本，表明俄语用户或实体是主要攻击目标。此外，钓鱼邮件还针对土库曼斯坦、吉尔吉斯斯坦、塔吉克斯坦和乌兹别克斯坦，采用了这些国家的官方语言定制内容。 针对高价值政治与外交基础设施的攻击中，Tomiris 结合了反向 Shell、定制植入程序及 Havoc、AdaptixC2 等开源 C2 框架，为入侵后的后续操作提供支持。 Tomiris 组织背景与关联分析 Tomiris 的相关细节最早于 2021 年 9 月曝光 —— 当时卡巴斯基披露了同名后门程序的工作机制，发现其与俄罗斯 APT29 黑客组织（SolarWinds 供应链攻击的幕后黑手）使用的 SUNSHUTTLE（又名 GoldMax）恶意软件，以及 Turla 组织使用的.NET 间谍后门 Kazuar 存在关联。 尽管存在上述重叠，研究人员评估 Tomiris 是一个独立的威胁行为者，主要聚焦中亚地区的情报收集活动。微软在 2024 年 12 月发布的报告中，将 Tomiris 后门与哈萨克斯坦相关威胁行为者 “Storm-0473” 关联。随后，思科 Talos、Seqrite Labs、Group-IB 及 BI.ZONE 等机构的报告进一步印证了这一假设，并发现其与 “Cavalry Werewolf”“ShadowSilk”“Silent Lynx”“SturgeonPhisher”“YoroTrooper” 等攻击集群存在关联。 2025 年攻击链详情 卡巴斯基记录的最新攻击活动始于包含恶意加密 RAR 文件的钓鱼邮件 —— 解压密码直接包含在邮件正文中。RAR 文件内藏有伪装成微软 Word 文档的可执行文件（*.doc.exe），运行后会释放一个 C/C++ 编写的反向 Shell，该组件负责收集系统信息并连接 C2 服务器下载 AdaptixC2 框架。 此外，该反向 Shell 还会修改 Windows 注册表，确保下载的载荷实现持久化运行。仅 2025 年一年，研究人员已检测到该恶意软件的三个不同版本。 钓鱼邮件传播的 RAR 文件还被发现分发其他恶意软件家族，进而触发各自的感染链： Rust 编写的下载器：收集系统信息并通过 Discord Webhook 发送；创建 VBScript（Visual Basic 脚本）和 PowerShell 脚本文件；通过 cscript 执行 VBScript，进而运行 PowerShell 脚本下载包含 Havoc 相关可执行文件的 ZIP 包。 Python 编写的反向 Shell：以 Discord 为 C2 服务器接收并执行命令，将结果回传；执行侦察操作；下载后续阶段植入程序（包括 AdaptixC2，以及 Python 编写的文件窃取工具 FileGrabber—— 专门收集.jpg、.png、.pdf、.txt、.docx、.doc 格式文件）。 Python 编写的后门程序（代号 Distopia）：基于开源项目 dystopia-c2 开发，以 Discord 为 C2 执行控制台命令并下载额外载荷；其中包含一个以 Telegram 为 C2 的 Python 反向 Shell，可在目标主机上运行命令并将输出结果回传服务器。 恶意软件武器库详解 Tomiris 的恶意软件武器库包含多款不同编程语言编写的反向 Shell 与植入程序： C# 反向 Shell：利用 Telegram 接收命令； Rust 编写的恶意软件 JLORAT：可执行命令并捕获屏幕截图； Rust 编写的反向 Shell：以 PowerShell 作为命令行终端（替代 “cmd.exe”）； Go 编写的反向 Shell：建立 TCP 连接，通过 “cmd.exe” 执行命令； PowerShell 后门：利用 Telegram 执行命令，并将任意文件下载至 “C:\Users\Public\Libraries\” 路径； C# 反向 Shell：建立 TCP 连接，通过 “cmd.exe” 执行命令； C++ 编写的反向 SOCKS 代理：基于开源项目 Reverse-SOCKS5 修改，移除调试信息并隐藏控制台窗口； Golang 编写的反向 SOCKS 代理：基于开源项目 ReverseSocks5 修改，移除调试信息并隐藏控制台窗口。 卡巴斯基表示：“Tomiris 2025 年的攻击行动利用多语言恶意软件模块，提升了操作灵活性，同时通过降低可疑性规避检测。战术的不断演化凸显了该威胁行为者对隐蔽性、长期持久化的重视，以及对政府和政府间组织的战略性靶向攻击。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款基于 Mirai 的新型僵尸网络 ShadowV2，在 10 月亚马逊云服务中断期间短暂针对易受攻击的物联网设备发起攻击，此次行动很可能是一次测试运行。 10 月下旬 AWS 服务中断期间，飞塔实验室研究人员发现，基于 Mirai 的 ShadowV2 恶意软件在多个国家和行业中利用物联网漏洞发起攻击。该僵尸网络仅在服务中断期间活跃，表明其目的是为未来攻击进行测试。ShadowV2 针对多款产品的漏洞攻击物联网设备，涉及厂商及对应漏洞编号包括：DDWRT（CVE-2009-2765）、友讯（D-Link，CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915）、DigiEver（CVE-2023-52163）、TBK（CVE-2024-3721）、普联（TP-Link，CVE-2024-53375）。 该僵尸网络的攻击目标覆盖全球多个国家： 大洋洲：澳大利亚 美洲：加拿大、美国、墨西哥、巴西、玻利维亚、智利 欧洲：英国、荷兰、比利时、法国、捷克、奥地利、意大利、克罗地亚、希腊 非洲：摩洛哥、埃及、南非 亚洲：土耳其、沙特阿拉伯、俄罗斯、哈萨克斯坦、中国、泰国、日本、中国台湾地区、菲律宾 飞塔报告显示，受害行业包括科技、零售与酒店、制造业、托管安全服务提供商、政府机构、电信运营商及教育行业等。 ShadowV2 通过多个物联网漏洞传播，从 IP 地址 81 [.] 88 [.] 18 [.] 108 下载名为 binary.sh 的下载器脚本。 该恶意软件与 Mirai 的 LZRD 变种存在相似性，使用异或密钥 0x22 解码配置信息，并加载攻击路径、请求头和用户代理字符串（User-Agent）。在解析命令与控制（C2）域名后，它会连接至 81 [.] 88 [.] 18 [.] 108，并标识自身为 “面向物联网的 ShadowV2 Build v1.0.0”。随后，它会初始化多种 UDP、TCP 和 HTTP 洪水攻击方法，等待 C2 服务器下发指令，并根据接收的参数发起分布式拒绝服务（DDoS）攻击。 飞塔发布的报告指出：“ShadowV2 支持两种传输层协议（UDP 和 TCP）及 HTTP 应用层协议，实现的攻击方法包括 UDP 洪水、多种 TCP 洪水及 HTTP 层洪水。恶意软件将这些行为映射为内部函数名，例如 UDP、UDP Plain（UDP 明文）、UDP Generic（UDP 通用型）、UDP Custom（UDP 自定义型）、TCP、TCP SYN（TCP 同步包）、TCP Generic（TCP 通用型）、TCP ACK（TCP 确认包）、TCP ACK STOMP（TCP 确认包压制）及 HTTP 攻击。它持续监听 C2 服务器的命令，通过对应的攻击方法 ID 和参数触发 DDoS 攻击。” ShadowV2 的出现表明，物联网设备仍是重大安全薄弱环节。其演化趋势显示，威胁行为者正日益聚焦物联网环境。 报告总结道：“ShadowV2 的演化表明，威胁行为者的攻击目标已出现向物联网环境转移的战略转变。这凸显了及时更新固件、推行严格安全实践、持续监控相关威胁情报的重要性 —— 唯有如此，才能提升整体安全态势感知能力，确保物联网生态系统的抗攻击韧性。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被发现操纵数字日历订阅基础设施，用于分发有害内容。 日历系列订阅功能允许第三方直接向设备添加事件并推送通知，例如零售商分享促销日期、体育协会更新赛事日程等合法场景。 但网络安全公司 BitSight 的最新研究显示，正因为这类订阅支持第三方服务器直接添加事件，威胁行为者已搭建虚假基础设施，诱骗用户订阅恶意通知。这些恶意日历订阅通常托管在过期或被劫持的域名上，可被用于大规模社会工程学攻击。 一旦用户订阅成功，攻击者便能推送包含恶意内容的日历文件（如恶意链接、附件），引发的风险包括钓鱼攻击、恶意软件分发、JavaScript 代码执行，甚至利用人工智能助手等新兴技术实施新型攻击。 Sinkhole 研究发现 347 个可疑日历域名 BitSight 的研究始于一个被 “Sinkhole（沉洞）” 接管的域名 —— 该域名每日记录到 1.1 万个独立 IP 地址的访问请求。沉洞技术是网络安全研究中的常用手段，通过将恶意流量从目标地址重定向至受控环境（即沉洞服务器），以实现流量监测与分析。 这个初始沉洞域名原本是一个日历服务器，用于分发德国公共假期及学校假期的 ICS 格式日历文件。BitSight 研究人员表示：“这引起了我们的注意 —— 一个提供德国假期 ICS 文件的域名，为何会处于可被滥用的状态？” 随着调查范围扩大，研究团队又发现 347 个相关可疑域名（涉及 2018 年国际足联世界杯赛事、伊斯兰 Hijri 日历等主题）。这些域名每日累计接收约 400 万个独立 IP 地址的访问请求，其中美国地区的访问量占比最高。 BitSight 团队在沉洞数据中识别出两类同步请求，这强烈表明这些访问并非新订阅行为，而是来自先前已订阅日历的后台同步请求。研究人员指出：“这意味着，任何接管或注册这些过期域名的攻击者，都能通过推送定制化 ICS 日历文件，在用户设备中添加恶意事件。” 日历订阅成被忽视的安全盲点 该网络安全公司强调，此次研究并未发现谷歌日历（Google Calendar）或 iCalendar 协议存在漏洞，安全风险的核心源于第三方日历订阅服务。尽管苹果、谷歌等平台提供商已在生态安全防护方面取得显著进展，但 BitSight 的研究结果表明，即便其他领域的安全防护已相当完善，日历订阅滥用这类新兴风险仍可能未得到充分应对。 报告结论指出：“针对日历订阅的安全意识与防护措施应进一步强化 —— 尤其是相较于监控严密、防护完善的电子邮件系统，当前日历订阅的安全防护失衡，已在个人与企业安全体系中形成危险盲点。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 Chrome 网上应用店发现一款新型恶意扩展程序，其可在 Raydium 兑换交易中秘密注入 Solana 转账操作，并将资金转移至攻击者控制的加密货币钱包。 这款名为 Crypto Copilot 的扩展程序由用户 “sjclark76” 于 2024 年 5 月 7 日首次发布。开发者称该浏览器插件支持 “在 X 平台直接交易加密货币，提供实时洞察与无缝执行体验”。目前该扩展程序已有 12 次安装量，截至发稿时仍可下载。 攻击技术细节 “该扩展程序在界面背后，会在每笔 Solana 兑换交易中注入额外转账操作，窃取至少 0.0013 枚 SOL（Solana 代币）或交易金额的 0.05%，并转入硬编码在程序中的攻击者控制钱包，”Socket 安全研究员库什・潘迪亚在周二发布的报告中表示。 具体而言，该扩展程序包含混淆代码，当用户执行 Raydium 兑换时，这些代码会被激活，通过篡改交易流程在同一签名交易中注入未披露的 SOL 转账操作。Raydium 是基于 Solana 区块链构建的去中心化交易所与自动化做市商。 攻击原理为：在请求用户签名前，向每笔兑换交易附加隐藏的 SystemProgram.transfer 工具方法，将手续费转入代码中嵌入的硬编码钱包。手续费按交易金额计算：交易金额对应的手续费低于 0.0013 SOL 时，按最低 0.0013 SOL 收取；超过 2.6 SOL 时，收取 2.6 SOL 与兑换金额 0.05% 中的较高值。为躲避检测，攻击者通过代码压缩、变量重命名等技术隐藏恶意行为。 该扩展程序还与托管在 “crypto-coplilot-dashboard.vercel [.] app” 域名的后端服务器通信，用于注册已连接钱包、获取积分与推荐数据及上报用户活动。该域名与 “cryptocopilot [.] app” 均未提供任何真实产品服务。 攻击核心特征 此次攻击的显著特点是用户完全不知情：界面仅显示兑换交易详情，对隐藏平台费无任何提示。此外，Crypto Copilot 借助 DexScreener、Helius RPC 等合法服务，营造可信假象。 “由于该转账操作是秘密添加的，且资金转入个人钱包而非协议国库，大多数用户除非在签名前检查每一项交易指令，否则永远不会发现异常，” 潘迪亚指出，“相关配套基础设施的设计目的，仅为通过 Chrome 网上应用店审核并营造合法表象，同时在后台窃取手续费。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，多个恶意软件攻击活动正利用如今十分猖獗的点击诱骗式社会工程学攻击手段，投放阿玛特拉窃取器与网络支持远程控制木马。 该攻击活动于本月被监测到，加拿大网络安全公司易森泰尔将其命名为 “评估行动” 并持续追踪。 阿玛特拉窃取器于 2025 年 6 月首次被发现，经证实其源于 “灼雨” 窃取器。“灼雨” 窃取器此前以恶意软件即服务的模式对外售卖，直至 2024 年 7 月中旬停止发售。阿玛特拉窃取器则采用订阅制售卖模式，月付套餐定价 199 美元，年费套餐定价 1499 美元。 这家加拿大网络安全厂商表示：“阿玛特拉窃取器为攻击者提供了强大的数据窃取能力，攻击目标涵盖加密货币钱包、浏览器、即时通讯软件、文件传输协议客户端以及电子邮件服务等。值得注意的是，该窃取器运用了 WoW64 系统调用等先进的规避技术，以此绕过沙箱、杀毒软件和终端检测与响应系统普遍采用的用户态挂钩机制。” 与各类点击诱骗攻击的典型手法一致，攻击者会在虚假钓鱼页面设置谷歌人机验证环节，诱骗用户通过 Windows 系统的 “运行” 对话框执行恶意命令。该命令会触发多步攻击流程：先通过系统中的微软脚本宿主程序启动 PowerShell 脚本，再由该脚本从文件存储平台媒体火上下载一个点网框架程序。 攻击载荷为阿玛特拉窃取器动态链接库文件，该文件经纯加密器加密处理。纯加密器是一款基于 C# 语言开发的多功能加密工具与加载器，由名为纯编码者的攻击者以恶意软件即服务的模式对外推广售卖。攻击者会将这一动态链接库文件注入微软生成程序进程，随后该窃取器会窃取用户敏感数据，并连接外部服务器执行 PowerShell 命令，进而获取并运行网络支持远程控制木马。 易森泰尔指出：“阿玛特拉窃取器调用的 PowerShell 脚本中，有一设计尤为值得警惕 —— 它会先检测受攻击设备是否加入企业域，或是是否存有加密货币钱包等具有潜在价值的文件。若这两项条件均不满足，脚本便不会下载网络支持远程控制木马。” 这一攻击态势与近期发现的多起钓鱼攻击活动相呼应，这些攻击活动正大肆传播各类恶意软件，具体情况如下： 含 Visual Basic 脚本附件的钓鱼邮件，这类邮件伪装成发票单据，通过批处理脚本调用 PowerShell 加载器来植入 X 蠕虫病毒； 部分网站遭攻击者入侵并植入恶意脚本，访客访问这些网站时会被重定向至伪造的点击诱骗页面。这些页面仿冒云 flare 验证界面，借此投放网络支持远程控制木马。该攻击活动代号为 “智猿行动”，同时也被标记为 “汉尼曼尼” 及 “ZPHP” 攻击行动； 攻击者搭建伪装成缤客旅行网的虚假网站，通过虚假验证界面实施点击诱骗，诱使用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，最终植入账号密码窃取程序； 伪造内部 “邮件投递” 通知邮件，谎称拦截了与未付账单、快递配送及报价申请相关的重要邮件，诱骗收件人点击链接。该链接实则用于窃取用户登录凭证，借口是帮助用户将被拦截邮件移至收件箱； 借助 “瑟法斯” 和 “巨头双重验证” 两款钓鱼工具发起攻击。其中 “瑟法斯” 钓鱼工具于 2024 年 8 月首次出现，这两款工具会将用户诱导至恶意登录页面，进而窃取账号密码。 梭子鱼网络安全公司在上周发布的分析报告中称：“瑟法斯钓鱼工具的一大显著特征是采用了独特且罕见的代码混淆技术。该工具会在源代码中嵌入随机不可见字符对代码进行隐藏，既能避开反钓鱼扫描工具的检测，还能阻止基于特征码的雅拉规则识别其具体钓鱼手段。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一款恶意Chrome扩展程序，该程序伪装成合法以太坊钱包，实则具备窃取用户助记词的功能。 这款名为“Safery: Ethereum Wallet”的扩展由威胁攻击者描述为”具备灵活设置的以太坊加密货币安全管理钱包”，于2025年9月29日上传至Chrome应用商店，最近更新日期为11月12日。截至发稿前仍可下载。 Socket安全研究员基里尔·博伊琴科指出：”该扩展虽被宣传为简易安全的以太坊钱包，实则包含通过Sui地址编码助记词的后门，并从攻击者控制的Sui钱包发起微交易实施窃取。” 该浏览器插件的恶意代码专门设计用于窃取钱包助记词，其通过将助记词编码为虚假Sui钱包地址，随后从硬编码的攻击者控制钱包向这些地址发送0.000001 SUI微交易。这种手法的最终目标是将助记词隐藏在看似正常的区块链交易中进行走私，无需架设C2服务器接收信息。交易完成后，攻击者可通过解码收款地址重建原始助记词，最终转移全部资产。 Koi安全团队在分析报告中强调：”该扩展通过将助记词编码为虚假Sui地址并发送微交易实施窃取，攻击者仅需监控区块链、将地址解码回助记词即可清空受害者资产。” 为应对此类威胁，建议用户坚持使用可信钱包扩展。安全防护人员应扫描扩展是否包含助记词编码器、合成地址生成器及硬编码助记词，并阻断在钱包导入或创建期间执行链上写入操作的扩展。 博伊琴科补充道：”该技术使威胁攻击者能轻松切换链和RPC端点，依赖域名、URL或特定扩展ID的检测手段将失效。对于浏览器中意外的区块链RPC调用应保持高度警觉，特别是当产品宣称仅支持单链时。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla（谋智）公司表示，其已研发出 “一套全新、独特且强效的防护机制，可抵御各类实际应用中的指纹追踪技术”，该机制随火狐 145 版本同步上线。此次升级预计能使易被指纹追踪技术定位的用户数量减少一半。 这批全新隐私防护功能将率先面向两类火狐用户开放：一类是已将增强型追踪防护功能设为严格模式的用户，另一类是使用隐私浏览模式（隐私窗口）的用户。后续，Mozilla 计划将该防护机制设为所有用户的默认开启功能。 Mozilla 在公告中称：“火狐是首款对指纹追踪技术具备如此深度洞察的浏览器，其部署的防护措施也是目前减少指纹追踪最为高效的。” 那么此次版本究竟有哪些具体更新？根据官方文档，火狐新版本实现了以下功能： 针对画布指纹追踪技术（这类技术利用不同设备渲染图像的独特方式实现追踪），当网站读取图像数据时，火狐会为生成的图像添加随机噪点；而仅当网站向画布元素渲染数据时，图像则不会被改动。不过对于采用这类追踪技术的网站，用户可能会察觉到图像中存在细微噪点。 火狐浏览器将不再调用设备本地安装的字体渲染网页文本，仅反馈操作系统自带的标准字体信息。 设备支持的同时触控点数将统一显示为 0、1 这两个数值，若实际支持点数为其他数值，则统一显示为 5。 屏幕分辨率与任务栏尺寸将采用标准化反馈方式：可用分辨率统一按屏幕实际分辨率减去 76 像素计算。 处理器核心数的反馈规则为：若设备处理器核心数超过 4 核，统一显示为 8 核；若不超过 4 核，则显示为 4 核。 这些新功能的落地，标志着反指纹追踪防护第二阶段的开发工作正式完成。 Mozilla 表示：“我们的研究显示，这些改进措施能使被识别为‘唯一用户’的比例降低近一半。” 此次推出的反指纹追踪防护功能，是在多年来逐步搭建的多层隐私安全防护体系基础上进一步优化而来。例如，火狐的增强型追踪防护功能长期以来始终会拦截已知的追踪脚本与指纹追踪脚本；此外，浏览器还提供全面 Cookie 隔离功能，并限制网站对用户其他各类信息的获取权限。 目前火狐已能够屏蔽多种主流指纹追踪技术，涵盖显卡图像绘制方式、设备安装的字体类型，甚至设备执行数学运算时存在的细微差异等追踪手段。 但需指出的是，若要完全消除用户指纹信息，几乎必然会破坏网页的正常使用体验。赛博新闻网此前就曾证实，即便禁用所有 Cookie 与追踪程序，用户仍可能被追踪到。 Mozilla 解释道：“看似更严格的指纹追踪拦截机制效果更好，但必然会导致部分正规网站功能失效。比如日程管理、日程安排以及视频会议类工具，都需要获取用户的实时时区信息，这一需求是合理且必要的。” 目前 Mozilla 尚未提及是否会像勇敢浏览器那样，对用户代理信息进行隐藏处理。当前火狐仍会向网站反馈用户的浏览器版本、操作系统等信息，同时还会暴露用户偏好语言、压缩支持情况以及 SSL-JA3 哈希值等数据。 如何开启增强防护功能？ 火狐 145 版本用户若想为所有网站开启该防护功能，可按以下步骤操作：进入浏览器设置界面，找到隐私与安全选项，然后自定义设置增强型追踪防护功能，勾选拦截已知及可疑指纹追踪程序的选项即可。 若开启该功能后某个特定网站出现无法正常加载的情况，用户可点击地址栏中的盾牌图标，通过切换按钮临时关闭该网站的增强型追踪防护功能。 此外，隐私浏览模式（打开 “新建隐私窗口”）会默认开启 “已知指纹追踪防护” 与 “可疑指纹追踪防护” 两项功能。详细操作说明可查阅 Mozilla 官方帮助文档。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究员发现一款名为 Coyote 的银行恶意软件，与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。 根据 CyberProof 的报告，这两款恶意软件均采用.NET 编写，以巴西用户和银行为攻击目标，具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是，两者都能通过 WhatsApp 网页版传播。 Maverick 于上月初由趋势科技首次记录在案，其攻击方被命名为 “水萨西”（Water Saci）。该攻击活动包含两个组件：一款名为 SORVEPOTEL 的自传播恶意软件，通过 WhatsApp 桌面网页版扩散，用于投递包含 Maverick 有效载荷的 ZIP 压缩包。 这款恶意软件会监控浏览器活动标签页，识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL，它会与远程服务器建立连接，获取后续指令以收集系统信息，并推送钓鱼页面窃取凭证。 网络安全公司 Sophos 在后续报告中率先提出疑问，认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关，且 Maverick 可能是 Coyote 的升级版。卡巴斯基（Kaspersky）的另一项分析发现，Maverick 与 Coyote 存在大量代码重叠，但仍将其视为针对巴西的全新大规模威胁。 CyberProof 的最新调查结果显示，该 ZIP 文件包含一个 Windows 快捷方式（LNK 文件）。用户启动该快捷方式后，会运行 cmd.exe 或 PowerShell 连接外部服务器（zapgrande [.] com），下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具，禁用微软 Defender 杀毒软件和用户账户控制（UAC），并获取.NET 加载器。 该加载器具备反分析技术，会检测逆向工程工具的存在，一旦发现便自动终止运行。随后加载器会下载攻击的核心模块：SORVEPOTEL 和 Maverick。值得注意的是，Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式，确认受害者位于巴西后才会安装。 CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店，表明其攻击目标可能正在扩大。 与此同时，趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制（C2）架构，依赖多向量持久化技术保障攻击韧性，并整合多项高级检测规避机制，提升操作隐蔽性，且仅在葡萄牙语系统中执行。 这家网络安全公司在上月末发布的报告中表示：“新攻击链还配备了复杂的远程命令与控制系统，允许攻击者进行实时管理，包括暂停、恢复和监控恶意软件活动，将受感染设备有效转化为僵尸网络工具，实现跨多个端点的协同动态操作。” 该感染流程未使用.NET 二进制文件，而是采用 Visual Basic 脚本（VBScript）和 PowerShell 劫持 WhatsApp 浏览器会话，并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似，WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。 攻击触发机制为用户下载并解压 ZIP 压缩包，其中包含一个经过混淆处理的 VBS 下载器（“Orcamento.vbs”，即 SORVEPOTEL）。该下载器会执行一条 PowerShell 命令，直接在内存中下载并运行 PowerShell 脚本（“tadeu.ps1”）。 该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话，向账户关联的所有联系人分发恶意 ZIP 文件，同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗，掩盖其恶意意图。此外，该脚本还会连接 C2 服务器，获取消息模板并窃取联系人列表。 趋势科技指出：“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净，随后将受害者的合法 Chrome 配置文件数据（包括 Cookie、认证令牌和已保存的浏览器会话）复制到其临时工作目录。” “这种技术能够完全绕过 WhatsApp 网页版的认证机制，无需扫描二维码或触发安全警报，即可直接访问受害者的 WhatsApp 账户。” 该公司补充称，这款恶意软件还内置了复杂的远程控制机制，允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程，使其成为能够像僵尸网络一样控制受感染主机的恶意程序。 在 ZIP 文件的实际分发过程中，PowerShell 代码会遍历所有窃取的联系人，发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量，插入基于时间的问候语和联系人姓名生成。 SORVEPOTEL 的另一大显著特征是，它未使用传统的基于 HTTP 的通信方式，而是利用硬编码的电子邮件凭证，通过 IMAP 协议连接terra.com[.] br 邮箱账户，获取攻击指令。部分此类账户已启用多因素认证（MFA）以防范未授权访问。 网络安全与基础设施安全局（CIS）构建工具包 据称，这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱，获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器，获取攻击指令。支持的指令列表如下： INFO：收集详细系统信息 CMD：通过 cmd.exe 运行命令，并将执行结果导出至临时文件 POWERSHELL：运行 PowerShell 命令 SCREENSHOT：截取屏幕截图 TASKLIST：枚举所有运行中的进程 KILL：终止特定进程 LIST_FILES：枚举文件 / 文件夹 DOWNLOAD_FILE：从受感染系统下载文件 UPLOAD_FILE：向受感染系统上传文件 DELETE：删除特定文件 / 文件夹 RENAME：重命名文件 / 文件夹 COPY：复制文件 / 文件夹 MOVE：移动文件 / 文件夹 FILE_INFO：获取文件的详细元数据 SEARCH：递归搜索匹配指定模式的文件 CREATE_FOLDER：创建文件夹 REBOOT：30 秒延迟后重启系统 SHUTDOWN：30 秒延迟后关闭系统 UPDATE：下载并安装自身更新版本 CHECK_EMAIL：检查攻击者控制的邮箱，获取新的 C2 服务器 URL WhatsApp 在巴西拥有超过 1.48 亿活跃用户，是全球第二大市场（仅次于印度），其广泛普及成为该攻击活动大规模扩散的关键推手。 趋势科技表示：“攻击方式及战术的持续演进，加之区域定向攻击特征，表明‘水萨西’很可能与 Coyote 存在关联，且这两个攻击活动均隶属于同一巴西网络犯罪生态系统。” 该公司形容攻击者在 “数量和质量上都极具攻击性”。 “将‘水萨西’攻击活动与 Coyote 关联后，我们发现银行木马的传播方式已发生重大转变。攻击者已从依赖传统有效载荷，转向利用合法浏览器配置文件和即时通讯平台，实施隐蔽且可规模化的攻击。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文