HackerNews 编译，转载请注明出处： 研究人员通过注册用于控制后门程序的过期域名，成功劫持了4000多个虽被遗弃但仍活跃的网站后门，并使其通信基础设施陷入瘫痪。 部分活跃的恶意软件（网络后门）被部署在高调目标（包括政府和大学系统）的服务器上，一旦有人控制这些通信域名，便能执行指令。 攻击安全机构WatchTowr Labs与Shadowserver基金会合作，阻止这些域名及其对应的受害者落入恶意行为者之手。 发现数千个被突破的系统 后门是指被植入受攻击系统中的恶意工具或代码，允许未经授权的远程访问和控制。威胁行为者通常利用后门进行持续访问，并在受攻击系统中执行进一步攻击的指令。 WatchTowr研究人员开始搜索各种网络后门中的域名，并购买其中已过期的域名，从而基本上控制了这些后门。 在建立日志系统后，这些被遗弃但仍活跃的恶意软件开始发送请求，使研究人员能够识别出至少部分受害者。 通过注册40多个域名，研究人员收到来自4000多个被突破系统的通信尝试，这些系统试图“回连”到攻击者。 注册域名示例（来源：WatchTowr） 研究人员发现了多种后门类型，包括“经典”的r57shell、功能更强大的c99shell（提供文件管理和暴力破解功能）以及常与APT组织相关联的“中国菜刀”网络后门。 报告中甚至提到一个后门展现出与Lazarus组织相关的行为，但随后澄清这很可能是其他行为者重用了该威胁行为者的工具。 在被突破的机器中，WatchTowr发现了中国政府机构（包括法院）中的多个系统、被攻破的尼日利亚政府司法系统以及孟加拉国政府网络中的系统。 此外，泰国、中国和韩国的教育机构中也发现了受感染的系统。 WatchTowr将劫持域名的管理责任移交给Shadowserver基金会，以确保这些域名未来不会被恶意接管。Shadowserver目前正在将所有来自被突破系统的流量吸引到其域名的陷阱中。 WatchTowr的研究虽然并不复杂，但表明恶意软件运营中的过期域名仍可能为新网络犯罪分子所用，他们只需注册控制域名便能获取一些受害者。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意行为者在各种恶意垃圾邮件活动中继续通过伪造发件人电子邮件地址取得成功。 伪造电子邮件的发件人地址通常被视为一种让数字信息看起来更合法并绕过可能将其标记为恶意的安全机制的手段。 尽管有域名密钥识别邮件（DKIM）、基于域名的邮件身份验证、报告和一致性（DMARC）以及发件人策略框架（SPF）等保障措施可以防止垃圾邮件发送者伪造知名域名，但这些措施反而促使他们利用老旧、被忽视的域名进行活动。 这样做的话，电子邮件信息很可能会绕过依赖域名年龄来识别垃圾邮件的安全检查。 一家DNS威胁情报公司在与《黑客新闻》分享的一项新分析中发现，包括Muddling Meerkat在内的威胁行为者滥用了一些自身拥有的、已近20年未用于托管内容的老旧顶级域名（TLD）。 “这些域名缺少大多数DNS记录，包括通常用于检查发件人域名真实性的记录，如SPF记录，”该公司表示，“这些域名简短且属于高声誉的顶级域名。”自2022年12月以来一直活跃的一项此类活动涉及分发带有指向钓鱼网站的二维码附件的电子邮件，并指示收件人打开附件并使用手机上的支付宝或微信应用扫描二维码。 这些电子邮件使用中文撰写的与税收相关的诱饵，同时以不同方式将二维码文档隐藏在电子邮件正文中包含的四位数字密码之后。在其中一个案例中，钓鱼网站要求用户输入其身份和银行卡信息，然后向攻击者进行欺诈付款。 “尽管这些活动确实使用了我们在Muddling Meerkat中看到的废弃域名，但它们似乎还广泛伪造随机域名，甚至包括不存在的域名，”Infoblox解释道，“行为者可能会使用这种技术来避免发送来自同一发件人的重复电子邮件。” 该公司表示，它还观察到了冒充亚马逊、万事达卡和SMBC等知名品牌，利用流量分发系统（TDSes）将受害者重定向到假冒登录页面以窃取其凭据的钓鱼活动。以下是一些已确定使用伪造发件人域名的电子邮件地址： mailto:ak@fdd.xpv[.]org mailto:mh@thq.cyxfyxrv[.]com mailto:mfhez@shp.bzmb[.]com mailto:gcini@vjw.mosf[.]com mailto:iipnf@gvy.zxdvrdbtb[.]com mailto:zmrbcj@bce.xnity[.]net mailto:nxohlq@vzy.dpyj[.]com 第三类垃圾邮件与勒索有关，其中电子邮件收件人被要求支付1800美元的比特币以删除据称安装在其系统上的远程访问木马所录制的令人尴尬的视频。 “行为者伪造用户自己的电子邮件地址，并挑战他们进行检查，”Infoblox表示，电子邮件告诉用户他们的设备已被入侵，作为证明，行为者声称该邮件是从用户自己的帐户发送的。” 这一披露正值法律、政府和建筑部门自2024年9月初以来成为旨在窃取Microsoft 365凭据的新型钓鱼活动“肉铺”的目标。 据Obsidian Security称，这些攻击滥用Canva、Dropbox DocSend和Google Accelerated Mobile Pages（AMP）等受信任平台将用户重定向到恶意网站。其他一些渠道包括电子邮件和被入侵的WordPress网站。 “在显示钓鱼页面之前，会显示一个带有Cloudflare Turnstile的自定义页面，以验证用户实际上是人类，”该公司表示，“这些旋转门使得电子邮件保护系统（如URL扫描器）更难检测到钓鱼网站。” 近几个月来，短信钓鱼活动冒充阿联酋执法机构发送虚假的付款请求，涉及不存在的交通违规、停车违规和执照续期。为此目的而设立的一些虚假网站被归因于一个名为Smishing Triad的已知威胁行为者。 中东的银行业客户也成为了一种复杂的社交工程计划的攻击目标，该计划在电话中冒充政府官员，并使用远程访问软件窃取信用卡信息和一次性密码（OTP）。 Group-IB在今天发布的一项分析中表示，这场针对个人数据已在暗网上通过窃取器恶意软件泄露的女性消费者的活动，据推测是未知母语为阿拉伯语的人所为。 “骗子利用受害者的合作意愿和服从指令的意愿，希望为他们不满意的购买获得退款。” Cofense发现的另一场活动涉及发送声称来自美国社会保障管理局的电子邮件，其中嵌入了下载ConnectWise远程访问软件安装程序的链接或将受害者定向到凭据收集页面。 这一发展发生在根据Interisle Consulting Group的一份报告，在2023年9月至2024年8月期间报告的网络犯罪域名中，通用顶级域名（gTLD）如.top、.xyz、.shop、.vip和.club占37%，尽管它们仅占域名市场总量的11%。 由于价格低廉且缺乏注册要求，这些域名已成为恶意行为者的诱人目标，从而为滥用打开了大门。在广泛用于网络犯罪的顶级域名中，有22个提供的注册费用低于2.00美元。 威胁行为者还被发现宣传一个名为PhishWP的恶意WordPress插件，该插件可用于创建可自定义的支付页面，模仿Stripe等合法支付处理器，通过Telegram窃取个人和财务数据。 SlashNext在一份新报告中表示：“攻击者既可以入侵合法的WordPress网站，也可以设置欺诈网站来安装它。在配置插件以模仿支付网关后，不明真相的用户会被诱骗输入其支付详情。插件会收集这些信息并将其直接发送给攻击者，通常是在实时状态下。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂，现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。 据Chainxin X Lab研究人员监测，该僵尸网络的发展和攻击始于2024年11月，开始利用之前未知的漏洞。 其中一个安全问题是CVE-2024-12856，这是Four-Faith工业路由器的一个漏洞，VulnCheck在12月底发现，但注意到在12月20日左右已有人试图利用该漏洞。 该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。 它于去年2月被发现，目前拥有15,000个每日活跃僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。 其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务（DDoS）攻击，每天针对数百个实体，活动在2024年10月和11月达到高峰。 目标国家 该恶意软件利用20多个漏洞的公共和私有漏洞利用程序，传播到暴露在互联网上的设备，针对数字视频录像机（DVR）、工业和家庭路由器以及智能家居设备。 具体来说，它针对以下设备： ASUS路由器（通过N日漏洞利用程序） 华为路由器（通过CVE-2017-17215） Neterbit路由器（自定义漏洞利用程序） LB-Link路由器（通过CVE-2023-26801） Four-Faith工业路由器（通过现在被追踪为CVE-2024-12856的零日漏洞） PZT摄像机（通过CVE-2024-8956和CVE-2024-8957） Kguard DVR Lilin DVR（通过远程代码执行漏洞利用程序） 通用DVR（使用如TVT editBlackAndWhiteList RCE等漏洞利用程序） Vimar智能家居设备（可能使用未公开的漏洞） 各种5G/LTE设备（可能通过配置错误或弱凭据） 该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用具有唯一签名的自定义UPX打包，并实现基于Mirai的命令结构，用于更新客户端、扫描网络和进行DDoS攻击。 X Lab报告称，该僵尸网络的DDoS攻击持续时间短，在10到30秒之间，但强度很高，流量超过100 Gbps，即使对于坚固的基础设施也会造成中断。 “攻击目标遍布全球，分布在各行各业，”X Lab解释说。 “攻击的主要目标分布在中国、美国、德国、英国和新加坡，”研究人员说。 总体而言，该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。 用户可以遵循一般建议来保护他们的设备，即安装来自供应商的最新设备更新，如果不需要则禁用远程访问，并更改默认管理帐户凭据。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本最大的移动运营商Docomo透露，上周四的一次 DDoS 攻击导致部分服务中断近 12 小时。 NTT Docomo 在东亚国家拥有约 9000 万用户，其下载速度是当地主要供应商中最快的。 根据该公司网站上发布的通知，该公司遭遇了“因 DDoS 攻击而导致的网络拥塞”，导致一些关键服务难以使用。 受到 DDoS 影响的服务包括“goo”门户网站、Lemino 视频流服务、dpay 计费服务和“Golf me”高尔夫球服务。 该提供商表示：“访问困难等服务影响已得到解决，但由于恢复措施的影响，一些内容更新受到了影响。” 据当地报道，12 月下旬，多家日本公司遭受 DDoS 攻击，其中包括日本航空、三菱日联银行、瑞穗银行和 Resona 银行。 这并不是 NTT Docomo 第一次成为威胁组织的目标。 2023 年 9 月，Ransomed.vc 组织向该公司索要超过 100 万美元的赎金，但尚不清楚威胁组织是否真的从该运营商那里窃取了数据。由于电信公司对服务中断的容忍度较低，因此它们特别容易受到 DDoS 和勒索软件等服务中断攻击。不过，移动电话服务并未受到此次最新事件的影响。 目前尚无迹象表明谁对最新的 DDoS 攻击负责。 Stormwall在 2024 年 9 月发布的一份报告称，今年上半年全球 DDoS 攻击与 2023 年同期相比增长了 102%。 诺基亚 10 月份发布的另一份报告显示，针对全球电信网络的攻击从 2023 年 6 月的每天一两次增加到一年后的某些网络“每天超过 100 次”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/49w30lHttzPpc3s1MHhvfw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。 与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。 这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包窃取活动，此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具，通常部署在假冒或受攻击的网站上。 2024年，Scam Sniffer观察到30起大规模（超过100万美元）通过钱包窃取器进行的盗窃事件，其中单笔最大盗窃案涉案金额高达5540万美元。 这一事件发生在年初，当时比特币价格上涨推动了钓鱼活动的增加。第一季度，通过钱包窃取攻击共盗走1.87亿美元。 每月损失金额和受影响钱包数量（来源：Scam Sniffer） 今年第二季度，一个名为“Pink Drainer”的知名窃取服务宣布退出，该服务此前曾伪装成记者在钓鱼攻击中攻击Discord和Twitter账户，以进行加密货币窃取。 尽管这导致钓鱼活动有所减少，但诈骗者在第三季度逐渐恢复了势头，其中Inferno服务在8月和9月共造成1.1亿美元损失，位居榜首。 最后，在第四季度，活动有所平息，仅占2024年总损失的10.3%左右。当时，Acedrainer也成为主要参与者之一，占据了窃取器市场的20%，ScamSniffer表示。 窃取器每月活动情况（来源：Scam Sniffer） 大部分损失（85.3%）发生在以太坊上，金额高达1.52亿美元，其中质押（40.9%）和稳定币（33.5%）是目标最集中的领域。 关于2024年观察到的趋势，Scam Sniffer强调了使用假冒的CAPTCHA和Cloudflare页面以及IPFS来逃避检测的做法，以及签名类型的转变，这有助于实施资金盗窃。 具体而言，大多数盗窃案依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。前者根据EIP-2612标准批准代币支出，后者更新智能合约所有权或管理权限。 另一个值得注意的趋势是，Google Ads和Twitter广告作为钓鱼网站流量的来源的使用增加，攻击者利用被攻破的账户、机器人和假冒代币空投来实现其目标。 X上推动加密货币窃取器的假冒账户数量（来源：Scam Sniffer） 为防止Web3攻击，建议仅与受信任和已验证的网站进行交互，与官方项目网站核对URL，在签名前阅读交易批准提示和权限请求，并在执行前模拟交易。 许多钱包还提供针对钓鱼或恶意交易的内置警告，因此请确保启用这些功能。最后，使用代币撤销工具确保没有激活可疑权限。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，网络安全研究人员揭示了一种新型越狱技术，该技术可能被用于绕过大型语言模型（LLM）的安全防护，产生潜在有害或恶意的回应，Palo Alto Networks Unit 42研究团队将这一多轮（又称多示例）攻击策略命名为“Bad Likert Judge”。 Unit 42团队表示：“该技术要求目标LLM充当裁判，使用李克特量表（一种衡量受访者对陈述同意或不同意程度的评级量表）对给定回应的有害程度进行评分。” “然后，它要求LLM生成包含与量表相匹配的示例的回应。其中，李克特量表得分最高的示例可能包含有害内容。” 近年来，人工智能的普及度急剧上升，同时也催生了一类新的安全漏洞利用方式——提示注入，其专门设计用于通过传递特制的指令（即提示）来使机器学习模型忽略其预期行为。 提示注入的一种特定类型是被称为多轮越狱的攻击方法，该方法利用LLM的长上下文窗口和注意力机制来构造一系列提示，逐步诱导LLM产生恶意回应，而不会触发其内部保护机制。此类技术的示例包括Crescendo和Deceptive Delight。 Unit 42展示的最新方法涉及利用LLM作为裁判，使用李克特心理量表评估给定回应的有害程度，然后要求模型提供与不同得分相对应的不同回应。 在对来自亚马逊网络服务、谷歌、Meta、微软、OpenAI和NVIDIA的六个最先进的文本生成LLM进行的广泛类别测试中显示，与普通的攻击提示相比，该技术平均可将攻击成功率（ASR）提高60%以上。 这些类别包括仇恨言论、骚扰、自残、色情内容、无差别武器、非法活动、恶意软件生成和系统提示泄露。 研究人员表示：“通过利用LLM对有害内容的理解及其评估回应的能力，该技术可以显著提高成功绕过模型安全防护的机会。” “结果表明，内容过滤器可以在所有测试模型中平均将ASR降低89.2个百分点。这表明，在实施LLM的现实世界应用时，将全面的内容过滤作为最佳实践至关重要。” 此前不久，《卫报》的一份报告揭示，通过要求OpenAI的ChatGPT搜索工具总结包含隐藏内容的网页，可以欺骗其生成完全误导性的摘要。 这家英国报纸表示：“这些技术可能被恶意使用，例如，尽管同一页面上存在负面评论，但导致ChatGPT对某个产品给出正面评价。” “第三方仅简单包含隐藏文本（无指令）也可以确保给出正面评价，其中一项测试包括极具正面评价的虚假评论，这些评论影响了ChatGPT返回的摘要。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本最大移动运营商NTT Docomo发布报告称，该公司正努力恢复服务，此前一次网络攻击于周四暂时中断了其运营。 总部位于东京的NTT Docomo在声明中透露，其系统遭受了分布式拒绝服务（DDoS）攻击，这种攻击通过多个源头向网络发送大量垃圾流量，导致部分服务无法正常使用。 从周四清晨至傍晚，当地用户无法访问NTT Docomo的新闻网站、视频流平台、移动支付、网络邮件服务以及一个高尔夫爱好者网站。目前，大多数服务已恢复访问，但部分内容的更新可能会延迟。 NTT Docomo未指明此次攻击的具体威胁行为体。值得注意的是，该公司在2023年曾遭受勒索软件团伙Ransomed.vc的攻击。该团伙声称，在据称逮捕六名附属人员后，计划停止活动。 NTT Docomo是最近几个月遭受网络攻击的众多日本公司之一。12月初，日本航空（JAL）因系统“流量激增”导致部分国内外航班延误，疑似遭遇DDoS攻击。 上月，日本大型非寿险公司三井住友保险公司报告称，其一家第三方供应商遭到未具名勒索软件组织的攻击，可能导致数千名投保人信息泄露。 去年早些时候，知名媒体公司角川据称在一次数据泄露后，向与俄罗斯有联系的黑客组织BlackSuit支付了近300万美元。 此外，日本钟表制造商卡西欧在10月也遭受勒索软件攻击，导致交货延迟，该事件由“地下”勒索软件团伙所为。 其他近期遭遇网络攻击的日本公司还包括电机制造商日本电产、汽车零部件制造商Yorozu和研发机构Monohakobi。 据当地媒体报道，三菱日联银行、Resona银行和瑞穗银行等日本主要金融机构的网上银行服务也因网络攻击而中断。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 目前，互联网上有超过三百万台未启用TLS加密的POP3和IMAP邮件服务器，易受网络嗅探攻击。 IMAP和POP3是访问邮件服务器上电子邮件的两种方法。IMAP建议用于从手机、笔记本电脑等多种设备查收邮件，因为它会将邮件保存在服务器上，并在设备间同步。而POP3则是从服务器下载邮件，只能在下载邮件的设备上访问。 TLS安全通信协议有助于在用户通过客户端/服务器应用程序在互联网上交换和访问电子邮件时保障其信息安全。然而，若未启用TLS加密，邮件内容和凭证将以明文形式发送，从而面临窃听式的网络嗅探攻击。ShadowServer安全威胁监测平台的扫描结果显示，约有330万台主机正在运行未启用TLS加密的POP3/IMAP服务，并在互联网上明文传输用户名和密码。 ShadowServer目前正在通知邮件服务器运营商，其POP3/IMAP服务器未启用TLS，导致用户的未加密用户名和密码暴露于嗅探攻击风险中。 ShadowServer表示：“这意味着用于邮件访问的密码可能会被网络嗅探器截获。此外，服务暴露还可能使服务器遭受密码猜测攻击。” “如果您收到我们的这份报告，请为IMAP启用TLS支持，并考虑该服务是否确实需要启用，或者将其置于VPN之后。” 无TLS加密的IMAP和POP3邮件服务器（ShadowServer） TLS 1.0规范及其后继版本TLS 1.1已使用近二十年，其中TLS 1.0于1999年推出，TLS 1.1于2006年推出。经过广泛讨论和28份协议草案的制定，互联网工程任务组（IETF）于2018年3月批准了TLS协议的下一个主要版本TLS 1.3。 2018年10月，微软、谷歌、苹果和Mozilla联合宣布，将于2020年上半年停用不安全的TLS 1.0和TLS 1.1协议。微软从2020年8月起，在最新的Windows 10 Insider预览版中默认启用了TLS 1.3。 2021年1月，美国国家安全局（NSA）也提供了有关识别和替换过时TLS协议版本及配置的指导，采用现代、安全的替代方案。 NSA表示：“过时的配置会让对手利用各种技术访问敏感操作流量，如通过中间人攻击进行被动解密和流量篡改。” “攻击者可以利用过时的传输层安全（TLS）协议配置访问敏感数据，且所需技能极少。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一种名为“双击劫持”（DoubleClickjacking）的新型攻击技术，这是一种“基于时间的广泛漏洞类别”，通过利用双击操作实现点击劫持攻击，并可能导致账户接管，几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。 “不同于传统的单击攻击，这种技术利用双击序列，”Yibelo 表示，“虽然看似只是微小的变化，却使得攻击者能够实施全新的用户界面操纵攻击，绕过所有已知的点击劫持防护措施，包括 X-Frame-Options 标头和 SameSite：Lax/Strict cookie。” 点击劫持（Clickjacking），又称用户界面重定向攻击，是一种诱导用户点击看似无害的网页元素（如按钮），从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进，通过双击操作中的时间间隙绕过防护，以更低的用户交互成本实现攻击目标。 具体的攻击步骤如下： 1. 用户访问由攻击者控制的站点，该站点会通过单击按钮或无交互直接打开一个新窗口（或标签页）。 2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面，提示用户完成双击操作。 3. 在双击过程中，攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接，例如批准恶意 OAuth 应用的授权。 4. 同时，顶层窗口自动关闭，用户在不知情的情况下完成授权，授予攻击者访问权限。 “目前，大多数网络应用和框架仅针对单次强制点击进行了防护，”Yibelo 指出，“而双击劫持通过引入时间间隙，使现有防御机制（如 X-Frame-Options、SameSite cookie 或 CSP）失效。” 网站所有者可以采用客户端防护策略，例如默认禁用关键按钮，只有在检测到鼠标手势或按键操作后才启用。据悉，Dropbox 等服务已采用类似的预防措施。 从长远来看，建议浏览器开发商引入类似 X-Frame-Options 的新标准，以应对双击劫持攻击。 “通过利用点击事件之间的时间差，攻击者可以在用户毫无察觉的情况下，将无害的界面元素替换为敏感内容，”Yibelo 补充道，“这一攻击手法是对已知漏洞类别的全新变种。” 此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造（Gesture-jacking）有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键，触发恶意操作。 例如，在 Coinbase 和 Yahoo! 等网站中，如果受害者已登录账户，攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用，并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识，从而使攻击者能够轻松获取受害者账户的访问权限。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在即将过去的2024年，亚太地区的网络犯罪分子越来越多地利用人工智能（AI）发起复杂的攻击活动，例如 AI 生成的钓鱼邮件、自适应恶意软件和深度伪造。 Check Point 软件技术公司亚太区安全架构师和布道师 Clement Lee 表示，这些攻击削弱了对关键通信的信任，并加剧了社会紧张局势。 他例举了一些具体案列：在印度，深度伪造助长了广泛的不实信息传播；在印度尼西亚，一段经过篡改的深度伪造视频旨在煽动反华情绪；在中国香港，一名财务员工因深度伪造冒充公司高管而被骗转账 2500 万美元。 对于即将到来的2025年，Palo Alto Networks 亚太及日本区总裁 Simon Green 认为亚太地区将迎来“AI 驱动的网络威胁”。他指出，深度伪造音频和视频攻击可能是这一趋势中最明显的表现形式。 随着亚太地区越来越多的企业组织在实施 AI 项目，预计会更多地寻求更好保护其数据的方法。 AvePoint 澳大利亚和新西兰副总裁兼董事总经理 Max McNamara 表示，客户正在询问如何在保持强大安全性的同时，从数据中获得更多价值，尤其是在他们希望从 Microsoft Copilot 等生成式 AI 产品中获益时。这始于拥有安全且可访问的数据，确保能够在不影响安全态势的情况下扩展解决方案，并严格遵守日益复杂的监管标准。 另外，亚太地区量子计算项目的增加可能会推动“先收集，后解密”攻击的上升。此类攻击涉及对手收集并存储当前加密的数据，目的是在未来量子计算机足够强大时解密这些数据。这些攻击对需要长期保持安全的敏感信息构成了重大威胁。 根据《财富商业洞察》（Fortune Business Insights）的数据，亚太地区是全球增长最快的量子计算市场，包括 IBM 、微软、谷歌、阿里巴巴、百度、 JSR 和D-Wave 在内的多家公司目前正在参与该地区的大型量子软件和硬件项目。例如，阿里巴巴与中国科学院合作部署了新型量子计算云平台。亚太地区的一些量子项目正在国家层面进行，例如印度由美国资助的国家量子技术与应用任务和新加坡的量子工程项目。 Lee 表示，量子计算的出现可能会使当前的加密标准过时，导致敏感数据暴露并危及关键基础设施。随着组织为未来的解密威胁做准备，抗量子密码学将获得更多关注。 Green 指出，亚太地区的组织应预期到来自包括国家支持的黑客在内的‘先收集，后解密’攻击。这些攻击将对政府和企业、民用和军事通信、关键基础设施以及开发量子项目的组织构成威胁。 Qualys EMEA 和亚太区首席技术安全官兼解决方案架构副总裁 Richard Sorosina 认为，亚太地区威胁环境的快速演变和日益复杂化可能会加速该地区许多组织安全能力的整合。他预计，组织将越来越多地采用统一的安全平台方法，以提供对组织风险的集中视图，并在发现风险时提供修复机制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418742.html 封面来源于网络，如有侵权请联系删除