Hackernews 编译，转载请注明出处： CloudSEK研究人员发现了一场大规模的网络钓鱼活动，其中黑客假冒阿联酋政府人力资源部。 通过该公司的人工智能(AI)数字风险监测平台XVigil，新的威胁将针对金融、旅游、医院、法律、油气和咨询行业的各种政府和企业实体。 安全专家的调查表明，这是一场大规模的网络钓鱼活动，主要针对个人求职者和企业，并使他们面临419和BEC诈骗。 据安全专家称，上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 CloudSEK表示，为了减轻这些攻击的影响，公司和个人应该避免从未知来源下载可疑文件或点击可疑链接。 此外，该公司还表示，应该启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们。 最后，CloudSEK得出结论，多因素认证(MFA)和使用最新的杀毒软件和异常检测工具也有助于减少这些高级网络钓鱼诈骗的影响。 消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，美国联邦贸易委员会（FTC）表示，在2021年1月至2022年3月期间，共有超46,000名美国人报告受到加密货币诈骗，造成的损失不低于10亿美元。与上一年FTC发布的报告相比，过去一年这一数字的增长非常显著，当时的报告案例数量仅为7000左右，而损失的金额约为8000万美元。 这份报告的统计数据与前些时候FBI发布的《2021年度网络犯罪报告》是相一致的。对此，美国多个执法机构表示，数以万计的报告正在不约而同地指出，过去一年因诈骗而造成的加密货币总损失或已超过16亿美元。 “2021年，联邦调查局互联网犯罪投诉中心（IC3) 收到了34,202起涉及使用某种类型加密货币的投诉，通常是比特币（Bitcoin）、以太坊（Ethereum）、莱特币（Litecoin）或瑞波币（Ripple）”，联邦调查局官员对媒体透漏道，“虽然这一数字显示比2020年的受害者人数（35,229）有所减少，然而，IC3投诉中报告的损失金额却增加了将近七倍，从2020年报告的2亿4600万美元增加到2021年报告的超过16亿美元。” 此外，FTC在其报告中补充道，过去一年中支付给诈骗者的转账中有四分之一是通过使用加密货币支付的。几乎一半的消费者表示，他们是通过社交媒体平台上的广告、帖子或消息落入诈骗者陷阱的。 对此，美国执法机构对消费者给出了若干识别此类骗局的建议： 警惕任何声称可以通过投资加密货币来保证利润或可观回报的人； 警惕任何要求您购买或支付加密货币的人； 警惕任何向您展示如何投资加密货币或他们加密货币爱好的人。 自2021年1月以来，加密货币投资骗局在美国消费者报告的损失金额排行中位居榜首，总计达5.75亿美元。 FTC表示：“在这些骗局中，诈骗者会向潜在投资者承诺，他们可以通过投资加密货币计划获得巨额回报，但事实上，他们‘投资’的所有钱都是一去不复返的。” 其实，早在2021年7月，FBI就曾对加密货币所有者发出过警告，诈骗者正积极瞄准虚拟资产，他们会通过在线技术冒充加密货币交易所或支付平台支持人员向受害者致电或发送邮件。 同时，FBI也给出了三项建议：加密货币所有者可以对所有加密货币账户启用多因素认证（MFA），拒绝任何下载和使用远程访问应用程序的请求，并始终使用官方电子邮件地址和电话号码联系交易所和支付公司。 关于更对关于加密货币骗局及其报告信息，可登陆FTC官方网站进一步阅读。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335334.html 封面来源于网络，如有侵权请联系删除

据 Bleeping Computer 网站披露，FBI（美国联邦调查局）发现网络诈骗分子冒充合法的乌克兰人道主义援助组织，以帮助乌克兰难民和战争受害者为由，大肆收集捐款。 本周，美国执法机构在一份公共服务公告中揭示，部分犯罪分子正在利用乌克兰危机，冒充需要人道主义援助的乌克兰实体或个人，开展货币和加密货币捐款的筹款活动。FBI 警告民众，应时刻留意与乌克兰危机有关的捐款活动，以免遭受网络诈骗。 据悉，俄乌战争爆发后，网络安全供应商和部分民众就已经在网上发现了类似的骗局，并且发出了大量警报。 利用战争局势，实施诈骗 早在 3 月份，Bleeping Computer 就披露俄乌战争爆发后，“帮助乌克兰”和 “向乌克兰捐款”的骗局爆炸式增长。诈骗分子一直宣称自身是合法的慈善机构，试图说服“受害者”援助乌克兰。 随着战争深入，骗局也逐渐升级，骗子们开始冒充乌克兰政府、乌克兰危机救济基金、联合国儿童基金会等实体机构。 值得注意的是，俄乌冲突后，乌克兰政府也一直在积极寻求各种捐款，此举可能无意中为欺诈性捐助骗局提供了可信度。一些希望向乌克兰捐款的人可能忽略了可疑捐款电子邮件、社交媒体帖子和潜在的诈骗捐款网站。 如何避免遭受诈骗 对于一些想要向乌克兰慈善机构捐款的民众，FBI 强调，一定要仔细检查其通过在线通信方式收到的信息，此外，捐助者还应该检查慈善机构是否合法注册。FBI 建议民众采取以下步骤，避免成为受害者。 1. 对声称是受乌克兰冲突影响并寻求立即财政援助的在线通信，保持怀疑、警惕态度。 2. 虽然乌克兰政府和其他私人组织一直保持着官方的捐赠机制，但是民众一定要要谨慎核实声称为乌克兰危机寻求援助的实体信息。如果某个实体要求向特定的加密货币地址捐款，一定要保持要谨慎，立刻仔细检查地址是否合法，并将地址的字母数字字符与已知的官方地址进行比较。 3. 不要与未知身份的人员交流，更不要打开其短信、电子邮件、附件或链接。 4. 不要向要求提供财政援助的未知个人或组织汇款。 5. 一定要核实慈善机构是否合法。最佳做法包括但不限于：在网上研究该慈善机构，看是否有新闻、评论或帖子将该慈善机构与欺诈联系起来；检查该慈善机构是否合法注册。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334937.html 封面来源于网络，如有侵权请联系删除

近日，CloudSEK 创始人 Rahul Sasi警告称，一个新的WhatsApp OTP 骗局正在被广泛利用，攻击者可以通过电话劫持用户的账户。 整个攻击过程极为简单，攻击者打电话给用户，诱导他们拨打以405或67开头的电话号码。一旦接通后，只需要几分钟用户就对账户失去了控制权，攻击者将会接管他们的账户。听起来这似乎有点不明所以，而Sasi也在Twitter 上解释了整个攻击场景，如下图所示： 攻击具体如何实现？ 根据 Sasi 的说法，攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后，实际上会转移到攻击者控制的号码，并迅速启动 WhatsApp 注册过程以获取受害者号码，要求通过电话发送OPT。 由于电话正忙，电话被定向到攻击者的电话，从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。 尽管该骗局目前针对的是印度的 WhatsApp 用户，但 Sasi 解释说，如果黑客可以物理访问手机并使用此技巧拨打电话，攻击者可以破解任何人的 WhatsApp 帐户。 由于每个国家和服务提供商使用的服务请求编号都有些相似，因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话，并且不要相信他们拨打陌生号码。 WhatsApp多次遭攻击 同样是在2022年，安全研究人员发现，恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知，并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动，在该活动中使用了与道路安全中心相关的域名来发送电子邮件，经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章，该网站本身是合法的，它与莫斯科的国家道路安全有关，属于俄罗斯联邦内政部。 研究人员说，到目前为止，攻击者发送的邮件数量已经达到了 27660 个，该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 ” 新的私人语音邮件 “，并附加了一个链接，并声称允许他们播放该语音。研究人员说，攻击的目标组织包括医疗保健、教育和零售行业。 攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击；通过伪造 WhatsApp 合法品牌，利用合法的域名来发送电子邮件。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334842.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，来自纽约的37岁的男子John Telusma因在跨国网络犯罪组织运营的Infraud卡片门户上出售、使用被盗和受损信用卡、个人信息、财务信息而被判处四年有期徒刑。此外，该网络犯罪组织还有35人也因为相同的罪名被抓捕、判刑。 资料显示，Infraud Organization是一家基于互联网的网络犯罪企业，主要从事大规模收购、售卖和散播已被盗取的身份信息，被盗取密码的借记卡、信用卡、个人信息、财务和银行信息，计算机恶意软件等非法买卖。 2018年2月7日，法院提交的刑事起诉书详细解释了四年前每一位被告的具体信息。 根据法庭发布的文件，Telusma于2011年8月加入Infraud Organization，并一直参与该组织的网络犯罪行为，直至2017年上半年。他是 Infraud 门户网站中最多产、最活跃的供应商之一，曾大规模收购、售卖信用卡，并未其他成员提供“删除”和“兑现”服务。 其余部分在美国被判刑的欺诈成员如下： Infraud 联合创始人Sergey Medvedev——被判处 10 年监禁； 恶意软件开发者Valerian Chiochiu——被判处 10 年监禁； 核心成员 Arnaldo Sanchez Torteya — 被判 8 年监禁； 核心成员埃德加·罗哈斯——被判处八年徒刑； ATM撇渣器 Jose Gamboa — 被判 8 年监禁； 核心成员 Pius Wilson — 被判处7年徒刑。 大肆出售被盗的身份信息和财务信息 根据诉书中的内容，Infraud团体于2010年建立。在“我们信任诈骗”口号的宣扬之下，该集团指挥其成员中的贸易买手和潜在买家到各个自动售卖点去，为盗取身份信息、财务和银行信息、恶意软件和其他非法物品提供在线渠道。 在拉斯维加斯大陪审团恢复该团伙敲诈勒索阴谋罪和其他罪名的起诉后，联邦、内华达州、拉斯维加斯当地和全国各地执法部门的官员在全美和包括澳大利亚、英国、法国等在内的六个国家将13名嫌犯抓捕归案。 司法部代理助理检察长克罗南说：“今天的起诉和逮捕行动是司法部处理过的最严重的网络诈骗案件之一。” 据Infraud团伙的成员交代，该诈骗集团已导致用户、商家、金融机构等发生高达5.3亿美元的实际损失，他们计划要达到的诈骗金额甚至超过了22亿美元。 而犯罪分子想要加入Infraud Organization组织，都必须要得到Infraud管理员进行审查和批准，否则他们出售的“产品和服务”就被会管理员认为“低于标准”，并被下架。在组织内部，所有成员都以匿名的形式进行交流，以此逃避执法和现实世界对其欺诈、犯罪活动的影响。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334686.html 封面来源于网络，如有侵权请联系删除

近日，有观察发现，诈骗者正在深度伪造埃隆·马斯克（Elon Musk）和其他知名加密货币倡导者的视频以推广BitVex交易平台并窃取存储货币。 这个虚假的BitVex加密货币交易平台声称由埃隆·马斯克创建，每个投资者都能从他们的加密存款中获得高达30%的回报。 这场骗局始于五月初，攻击者创建新的或盗取已有的YouTube账户，发布深度伪造的埃隆·马斯克、凯西·伍德（Cathie Wood）、布拉德·加林豪斯（Brad Garlinghouse）、迈克尔·塞勒（Michael Saylor）和查尔斯·霍斯金森（Charles Hoskinson）等人的视频。这些视频是在这些人先前受采访的视频基础上采用后期技术进行伪造的，视频中的声音几乎同他们本人一致。 然而，如果仔细观察的话，可以发现这些伪造的视频中的人物谈话竟与攻击者的脚本如此同步，这是非常愚蠢可笑的。另外，还有许多其他线索也表明这是一个骗局。 最近一段时间，许多YouTube频道都遭到黑客攻击，而这些频道又不约而同地出现了推广BitVex交易平台的视频。其实，一旦进入BitVex交易平台的网站，也会很容易发现这是一个骗局。 该平台声称埃隆·马斯克是其首席执行官，并有方舟投资（Ark Invest） CEO凯西•伍德和币安网（Binance） CEO赵长鹏的背书。 要使用BitVex平台，用户必须在bitvex[.]org或bitvex[.]net注册帐户。而一旦登录，网站将显示一个仪表板，在那里可以存入各种加密货币，选择投资计划，或提取你的收益。如同其他所有加密货币诈骗一样，仪表板显示各种加密货币的最近取款，使该网站看起来合法，如下图所示。 然而，这些提款是通过JavaScript创建的，随机选择五种不同的加密货币（Cardano、以太坊、比特币、Ripple币或币安币）之一，并随机生成提款金额。这些假提款会在每次页面刷新时随机更改。 值得庆幸的是，这个骗局看起来并不太成功，直到目前，只观察到1700美元存款进入这个加密货币地址。然而，这些地址很可能是会轮换的，因而被骗的金额可能会更多一些。 以下列出了一些用于这个骗局的加密货币地址: Bitcoin – 16Ge7LhzpxHTSQLptSe4sptseVwDYU6gpN （已赚取1,280.82美元） Bitcoin Cash – qpkrguy6ralp0pux390fr7pz2ugpq90s3uach9m42j Ethereum – 0x1087d3584AB80df8d14B4D7d5A2091C3Bb55eF2F Tether – TRh8zMBdcEEZdPBC6xkBmkd5SrpkRQEjWK Dogecoin – DDu1kVvtd9bc4jQ1uY7EUBBddmzTgjbsav Polkadot – 16keizqPvkS3uQ4Cad9vPNoQhbstKNqJtTG1Uk8i6mY8JNTL 尽管很难相信人们会落入这样的骗局，但众所周知，加密货币赠送和投资计划骗局会很轻易地为攻击者带来数百万美元的收益。正如2021年1月，一个伪造的埃隆·马斯克加密货币赠送骗局在短短一周内获取了58万美元。 又如同今年早些时候，YouTube上宣传的一个以方舟投资为主题的骗局，仅仅是重新播放了一个经过编辑的埃隆·马斯克、杰克·多尔西和凯西·伍德关于加密货币进行现场讨论的视频，就窃取了130万美元。 正因为这些骗局变得如此普遍如此有利可图，以至于美国联邦贸易委员（Federal Trade Commission）发布了一份报告，警告称自2020年10月以来，加密货币投资骗局已经累计造成了8000万美元的损失。 因此，我们有必要认识到，几乎每个加密赠品网站都是一个骗局，尤其是那些自称来自埃隆·马斯克、特斯拉、SpaceX、方舟投资和Gemini投资的网站，他们通常承诺投资者会获得巨额回报。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333990.html 封面来源于网络，如有侵权请联系删除

据悉，一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝，并用窃取加密货币钱包的恶意软件对其进行感染。 Pixelmon是一个热门的NFT项目，它的目标包括创建一个元宇宙游戏，用户可以在其中使用Pixelmon宠物进行收集、训练以及与其他玩家战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员，引起了广泛的关注。 冒充Pixelmon项目 为了利用这种兴趣，威胁参与者复制了合法的pixelmon.club网站，并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。 该恶意站点几乎是合法站点的复制品，它提供在设备上安装密码窃取恶意软件的可执行文件，而不是该项目的游戏演示。 假的Pixelmon网站 该网站提供了一个名为Installer.zip的文件，其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。 然而，首先发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。 此恶意站点分发的文件之一是setup.zip，其中包含setup.lnk文件。Setup.lnk是一个Windows快捷方式，它将执行PowerShell命令以从pixelmon[.]pw下载system32.hta文件。 Setup.lnk内容 在测试这些恶意有效载荷时，System32.hta文件下载了Vidar，这是一种密码窃取恶意软件，不像过去那样常用。安全研究员Fumik0_证实了这一点 ，他之前曾分析过这个恶意软件家族。 在执行时，威胁参与者的Vidar样本将连接到Telegram频道并检索恶意软件命令和控制服务器的IP地址。 包含C2 IP地址的Telegram频道 恶意软件从C2中检索配置命令，并下载更多模块，用于从受感染设备中窃取数据。 Vidar恶意软件可以从浏览器和应用程序中窃取密码，并在计算机中搜索与特定名称匹配的文件，然后将这些文件上传给威胁参与者。 从下面的恶意软件配置中可以看出，C2指示恶意软件搜索和窃取各种文件，包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。 从C2服务器检索的配置命令 这是一个NFT网站，预计访问者将在其计算机上安装加密货币钱包，因此，威胁参与者强调搜索和窃取与加密货币相关的文件。 虽然该站点目前没有分发有效的有效载荷，但已有证据表明威胁参与者在过去几天继续修改该站点，因为两天前可用的有效载荷已经不复存在。凭借该网站上的活动可以预计，此活动将继续活跃，并且威胁会很快增加。 随着NFT项目被旨在窃取加密货币的骗局所淹没，用户应该再三检查正在访问的URL是否与感兴趣的项目相关。此外，在未使用防病毒软件或使用VirusTotal进行扫描之前，切勿执行来自未知网站的任何可执行文件。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/nIqXvfsJWLGOzySxSdsDGA 封面来源于网络，如有侵权请联系删除

据悉，加密货币骗局通过在YouTube上重播埃隆·马斯克（Elon Musk）、杰克·多尔西（Jack Dorsey）和方舟投资（Ark Invest）的旧视频，窃取了数百万美元。 这是一种老式的投资翻倍骗局，承诺将返还受害者支付的加密货币金额的两倍。 诈骗者在Ark Invest的“The ₿ Word”会议上重新播放了经过剪辑的埃隆·马斯克、杰克·多尔西和凯瑟琳·伍德关于加密货币的讨论视频，赚取130多万美元。 过去，诈骗者也曾利用与埃隆·马斯克有关的其他视频，如SpaceX发射和特斯拉视频，成功宣传虚假赠品，并在此过程中窃取了数百万美元。 操作简单 有近10个YouTube频道发布了相关视频，视频中还包括欺诈性加密赠品网站链接在内的其他内容。这只是整个计划的一部分。有报道称，该骗局可以追溯到一月份，诈骗者在短短七个小时内就收获了40万美元。 全球最大的专业安全技术公司迈克菲的安全研究人员也一直在监控这场骗局，并于周四发布了一份报告，报告中指出已经识别到11个诈骗网站。 迈克菲在报告发布后的第二天更新帖子，表示这些网站的数量在24小时内增加到了26个。 YouTube的流媒体广告宣传了几个主题相似的网站，他们声称返还的加密货币价值是他们收到的两倍。例如，如果你发送1BTC，你将收到2BTC的回报。 ——迈克菲 然而，这些网站每天都在出现，诈骗者会生成新的钱包，从容易受骗的加密货币用户那里获取资金。以下是一些研究人员发现的网站： 上图中的一些站点仍在运行。这个名单不够完整，因为诈骗者在继续建立新的网站，在新的流媒体上播放剪辑后的加密货币相关对话。 研究人员表示，视频中宣传的网站诱使访问者认为其他人一直在发送加密货币，并获得了两倍的资金。此外，该网站还展示了一张最近交易的表格作为依据。 为了创建假表格，骗子使用JavaScript代码生成一个随机加密货币钱包和支付金额的列表。 被盗资金 以下是诈骗者利用Ark Invest加密货币骗局窃取的以太坊和比特币钱包地址和金额列表： 获取的金额可能看起来不多，但考虑到整个骗局只需要很少的努力和技能，这已经是一笔不少的资产。一旦视频被编辑好，网站开始运行，诈骗者就只需要等待受害者转移数字货币。 迈克菲表示，已发现的恶意网站上列出的钱包记录了各种各样的交易，5月5日加密货币交易额达到28万美元。第二天，总价值飙升至130万美元。最大的钱包从13笔交易中获得了超过9万美元的比特币。 YouTube 频道 通过快速浏览当前所有的诈骗视频发现，诈骗者在5月7日又窃取了10万美元，有9个YouTube频道在引诱加密货币用户进入诈骗网站，几乎所有的内容都包括特斯拉、埃隆·马斯克、方舟投资等字样。 其中有一些宣传加密货币诈骗网站的频道拥有大量的粉丝，订阅人数在7.1万至108万之间。这些频道的订阅者数量似乎是人为夸大的，以增加骗局视频的可信度，因为它们没有其他内容可以发布。 一些频道已通过下架或限制付费会员观看的形式，将剪辑后的视频删除。这种类型的骗局非常普遍，YouTube每天都会进行审核和删除，但速度还不够快。目前至少有40个这样的视频。这些直播每天运行多次，一旦结束就会被删除。 加密货币用户一直是威胁参与者的目标，他们寻求新的方法使受害者落入陷阱。尽管加密货币资产翻倍的承诺已经是过时的把戏，但对于诈骗者来说仍然是有利可图的。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/uYGbHINdNpBV4nwAt8xgvg 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）警告个人和公司当心商业电子邮件泄露（BEC）攻击。据估计，2016年6月至2021年12月期间，国内和国际因此的损失已达430亿美元，2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼或网络入侵破坏高级管理人员或供应商的官方电子邮件账户。一旦犯罪分子获得访问权，他们就会给公司的账户部门发信息，要求进行大笔资金转移。由于这些电子邮件来自官方来源，这些请求往往不会引起怀疑。 黑客们的目标不仅仅是资金转移。员工有时会被要求交出他们的个人身份信息、银行账户号码、工资/税单或加密货币钱包，然后被用于从盗窃到身份欺诈的各种用途。联邦调查局警告说，BEC诈骗正在增长和演变，目标是小型地方企业到大型企业和个人交易。过去几年事件的上升被归因于新冠疫情大流行和更多人在家工作，导致更多公司远程开展业务。这些攻击在2016年至2021年期间产生了430亿美元损失，而去年与加密货币相关的BEC损失达到了创纪录的4000万美元。 美国所有50个州和全球170个国家都有关于BEC骗局的报道。大多数被盗资金被转移到泰国和香港的银行，中国、墨西哥和新加坡是第二大热门地点。联邦调查局建议人们为他们的电子邮件账户开启双因素认证，以防止BEC攻击。它还说，要警惕电子邮件可能是网络钓鱼骗局的迹象（网站地址拼写错误等），不要通过电子邮件提供登录凭证，并定期监测金融账户的任何违规行为。 转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1265861.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 报道称，已有黑客在利用伪造的 Windows 11 升级安装包，来引诱毫无戒心的受害者上钩。为了将戏演得更真一些，当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果，来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套，或被恶意软件窃取浏览器数据和加密货币钱包中的资产。 假冒 Windows 11 升级网页 在推广 Windows 11 操作系统的同时，微软也为新平台制定了更加严格的安全标准。 如果你用过兼容性检查工具，就会知道最容易被拦在门外的因素是缺乏 TPM 2.0 可信平台模块，几乎将四年前的老设备都拦在了门外。 然而并不是所有人都知晓这一硬性要求，且黑客也很快盯上了这部分想要升级至 Windows 11 的普通用户。 攻击部署流程（图自：CloudSEK） 截止 Bleeping Computer 发稿时，上文提到的假冒 Windows 11 升级网站仍未被有关部门拿下，可知其精心模仿了微软官方徽标、网站图标、以及诱人的“立即下载”按钮。 粗心的访问者可以通过恶意链接获得一个 ISO 文件，但该文件格式只是为可执行的恶意文件提供了庇护 —— 攻击者相当奸诈地利用了 Inno Setup Windows Windows 安装器。 CloudSEK 安全研究人员将之命名为 Inno Stealer，可知这款新型恶意软件与目前流通的其它信息窃取程序没有任何代码上的相似之处，且 CloudSEC 未找到它有被上传到 Virus Total 扫描平台的证据。 Inno Stealer 感染链 基于 Delphi 的加载程序文件，是 ISO 中包含的“Windows 11 setup”可执行文件。它会在启动时转储一个名为 is-PN131.tmp 的临时文件、并创建另一个 .TMP 文件。 加载程序会在其中写入 3078KB 的数据，然后利用 CreateProcess Windows API 生成一个新的进程，实现持久驻留并植入四个恶意文件。 具体说来是，攻击者选择了通过在 Startup 目录中添加一个 .LNK（快捷方式）文件，并将 icacls.exe 设置隐藏属性以实现长期隐蔽。 被 Inno Stealer 盯上的浏览器列表 四个被删除的文件中，有两个是 Windows 命令脚本 —— 分别用于禁用注册表安全防护、添加 Defender 排除项、卸载安全产品、以及移除影子卷。 此外研究人员指出，该恶意软件还会铲掉 EMSIsoft 和 ESET 的安全解决方案 —— 推测是因为这两款反病毒软件的检出能力更强。 第三个文件是一个以最高系统权限运行的命令执行工具，第四个文件则是运行 dfl.cmd 命令行所需的 VBA 脚本。 被 Inno Stealer 盯上的加密货币钱包 在感染的第二阶段，恶意软件会通过一个 .SCR 屏保文件，将自身放入受感染系统的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路径。 它会解包出信息窃取器，并生成一个名为“Windows11InstallationAssistant.scr”的新克隆进程来执行相关代理。 不过这款恶意软件的功能，倒是没有玩出其它新的花样 —— 包括收集 Web 浏览器的 cookie 和已保存的凭据、加密货币钱包、以及文件系统中的数据。 恶意软件与命令和控制服务器的通讯记录截图 最后可知 Inno Stealer 恶意软件的攻击目标相当广泛，其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等浏览器。 所有被盗数据会被通过 PowerShell 命令复制到受感染设备上的临时目录并加密处理，然后发送到被攻击者所控制的 C2 服务器上（windows-server031.com）。 更鸡贼的是，攻击者还会只在夜间执行额外的操作，以利用受害者不在计算机身旁的时间段来巩固自身的长期隐蔽驻留。 综上所述，如果你的设备被微软官方兼容性检查工具认定不符合 Windows 11 操作系统升级要求，还请不要盲目绕过限制，否则会带来一系列缺陷和严重的安全风险。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260449.htm 封面来源于网络，如有侵权请联系删除