HackerNews 编译，转载请注明出处： 微软近日发出警告，新型网络攻击正利用美国即将到来的报税季，大肆窃取用户凭证并传播恶意软件。 攻击者抓住报税邮件的紧迫性和时效性特点，发送伪装成退税通知、工资单、报税提醒及税务专业人士请求的钓鱼邮件，诱骗收件人打开恶意附件、扫描二维码或点击可疑链接。 微软威胁情报团队与Defender安全研究团队在上周发布的报告中指出：”多数攻击针对个人用户窃取财务信息，但部分攻击专门瞄准会计师等专业人士——这类人群掌握敏感文件、拥有财务数据访问权限，且习惯在报税季接收税务相关邮件。” 部分攻击将用户导向通过”钓鱼即服务”（PhaaS）平台搭建的虚假页面，另一些则直接部署合法的远程监控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻击者得以长期控制受害设备。 主要攻击手法包括： 会计师诱饵：利用注册会计师（CPA）名义，通过Energy365钓鱼工具包发送钓鱼页面窃取邮箱密码。该工具包日均发送数十万封恶意邮件。 二维码与W2表单诱饵：针对约100家机构，主要为美国制造业、零售业和医疗行业，诱导用户访问仿冒Microsoft 365登录页面的钓鱼网站。该页面使用SneakyLog（又名Kratos）PhaaS平台搭建，专门窃取用户凭证和双因素认证（2FA）码。 税务主题域名：以获取更新版税务表格为幌子，诱骗用户点击虚假链接，实则分发ScreenConnect。 IRS加密货币诱饵：冒充美国国税局（IRS），针对美国高等教育 sector，诱导收件人通过恶意域名（”irs-doc[.]com”或”gov-irs216[.]net”）下载”加密货币税表1099″，进而部署ScreenConnect或SimpleHelp。 会计师定向攻击：以帮助报税为由，发送恶意链接诱导安装Datto。 微软披露，2026年2月10日监测到一场大规模钓鱼攻击，波及超过1万家机构的2.9万名用户。约95%的目标位于美国，涵盖金融服务（19%）、科技与软件（18%）、零售与消费品（15%）等行业。 “邮件冒充IRS，声称收件人的电子报税识别号（EFIN）存在异常报税记录，诱导其下载所谓的’IRS转录查看器’进行核实。” 这些通过亚马逊简单邮件服务（SES）发送的邮件包含”下载IRS转录查看器5.1″按钮，点击后跳转至smartvault[.]im——一个伪装成知名文档管理平台SmartVault的域名。 该钓鱼网站利用Cloudflare拦截机器人和自动扫描工具，确保仅向真实用户投放主要载荷：经过恶意打包的ScreenConnect，使攻击者远程访问系统，实施数据窃取、凭证收集及后续渗透活动。 防护建议：组织应强制所有用户启用2FA，实施条件访问策略，监控扫描 incoming 邮件和访问网站，并封禁恶意域名。 与此同时，安全研究人员还发现多起远程访问木马和数据窃取攻击活动： 虚假视频会议：伪造Google Meet和Zoom页面，以软件更新名义推送合法员工监控平台Teramind。 Avast退款诈骗：利用仿冒Avast品牌的欺诈网站，骗取法语用户完整信用卡信息。 山寨Telegram：通过仿冒官网（”telegrgam[.]com”）分发木马安装包，植入DLL启动内存载荷，建立持久化访问。 滥用Azure Monitor：利用微软Azure监控告警通知发送 callback 钓鱼邮件，嵌入虚假账单和攻击者控制的客服电话，从 legitimate 地址azure-noreply@microsoft.com发送钓鱼信息。 报价单诱饵：通过钓鱼邮件投递JavaScript下载器，连接外部服务器下载PowerShell脚本，启动受信任的微软程序”Aspnet_compiler.exe”并注入XWorm 7.1载荷。类似手法也被用于触发无文件Remcos远控木马感染链。 ClickFix伎俩：结合钓鱼邮件和ClickFix手段投递NetSupport远控木马，窃取数据并部署更多恶意软件。 滥用微软应用注册重定向URI：在钓鱼邮件中利用”login.microsoftonline[.]com”滥用信任关系、绕过垃圾邮件过滤，重定向至窃取凭证和2FA码的钓鱼网站。 多厂商链接重写链：滥用Avanan、Barracuda、Bitdefender、Cisco、INKY、Mimecast、Proofpoint、Sophos和Trend Micro等合法URL重写服务，嵌套多层重写链接隐藏恶意URL，大幅增加安全平台追踪难度。 恶意ZIP文件：伪装成AI图像生成器、变声工具、股票交易软件、游戏模组、VPN和模拟器等，投递Salat窃密木马或MeshAgent，并捆绑加密货币挖矿程序。主要瞄准美国、英国、印度、巴西、法国、加拿大和澳大利亚用户。 数字邀请函：通过钓鱼邮件发送虚假Cloudflare验证码页面，投递VBScript运行PowerShell代码，从Google Drive获取名为SILENTCONNECT的隐蔽.NET加载器，最终部署ScreenConnect。 据Huntress最新报告，攻击者对RMM工具的采用同比增长277%。 Elastic Security Labs研究员Daniel Stepanic和Salim Bitam指出：”由于这些工具被合法IT部门广泛使用，在企业环境中通常被视为’可信’而被忽视。组织必须保持警惕，审计环境中未经授权的RMM使用情况。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。 联邦调查局在周一发布的公告中称，正在申请相关许可的个人和企业成为钓鱼邮件的攻击目标。这些邮件通常包含详细、准确的信息，“包括房产地址、案件编号，以及市县官员的真实姓名”。 网络犯罪分子冒充市政官员或规划委员会成员，以欺诈发票为由，要求受害者通过电汇或加密货币支付款项。 联邦调查局提醒民众在回复前务必核实邮件地址，指出已发现多封恶意邮件使用 @usa.com 地址，而非政府官方的 .gov 域名。 犯罪分子利用公开可获取的许可信息，使钓鱼邮件看起来真实可信。 许多邮件使用市政信头，措辞专业，看上去如同真实的规划文件。部分钓鱼邮件详细提及审批流程、规划委员会程序、合规要求及相关条例。 多数邮件要求在线支付，并以威胁口吻制造紧迫感。联邦调查局给出的建议是：务必查询当地县或市政府官网，拨打网站公布的电话核实任何收费信息。 此类欺诈邮件是近期针对美国受害者的新型诈骗手段之一。2024 年，网络犯罪分子从美国人手中窃取超过 120 亿美元。美国近期宣布多项措施，不仅旨在捣毁背后的犯罪组织，还要追回赃款并返还给受害者。 人工智能公司也发出警告，称网络犯罪分子正利用其工具，让非英语母语的诈骗者能更轻松地撰写通顺、逼真的钓鱼邮件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过微软 Teams 联系金融和医疗行业的员工，诱骗他们通过快速助手（Quick Assist）授予远程访问权限，并部署一款名为 A0Backdoor 的新型恶意软件。 攻击者依靠社会工程学获取员工信任：首先向受害者收件箱发送大量垃圾邮件，随后通过 Teams 联系受害者，伪装成公司 IT 人员，声称可以帮助处理这些垃圾消息。 为获取目标设备的访问权限，威胁行为者诱导用户启动快速助手远程会话，并借此部署一套恶意工具集，其中包括托管在个人微软云存储账户中、经过数字签名的 MSI 安装程序。 网络安全公司 BlueVoyant 的研究人员表示，这些恶意 MSI 文件伪装成微软 Teams 组件以及 CrossDeviceService—— 后者是 Phone Link 应用所使用的一款合法 Windows 工具。 用于安装恶意 CrossDeviceService.exe 的命令行参数来源：BlueVoyant 攻击者利用合法微软二进制文件实施 DLL 侧载攻击，部署一个包含压缩或加密数据的恶意库文件（hostfxr.dll）。该库被加载到内存后，会将数据解密为 shellcode 并移交执行权。 研究人员称，该恶意库还使用 CreateThread 函数来阻碍分析。BlueVoyant 解释道，大量创建线程可能导致调试器崩溃，但在正常执行环境下不会产生显著影响。 该 shellcode 会执行沙箱检测，随后生成一个基于 SHA-256 的密钥，并用该密钥提取经 AES 算法加密的 A0Backdoor。 shellcode 中的加密载荷来源：BlueVoyant 该恶意软件将自身重定向到新的内存区域，解密核心功能代码，并通过调用 Windows API（如 DeviceIoControl、GetUserNameExW、GetComputerNameW）收集主机信息并生成设备指纹。 与命令与控制服务器（C2）的通信隐藏在 DNS 流量中：恶意软件向公共递归解析器发送 DNS MX 查询，在高熵子域名中携带编码后的元数据。DNS 服务器以包含编码指令数据的 MX 记录进行回应。 捕获到的 DNS 通信流量来源：BlueVoyant BlueVoyant 解释道：“恶意软件提取并解码最左侧的 DNS 标签，以恢复指令或配置数据，随后执行相应操作。” “使用 DNS MX 记录可以让流量混入正常通信中，并绕过专门针对基于 TXT 记录的 DNS 隧道的检测规则，而这类隧道通常会被更频繁地监控。” BlueVoyant 表示，此次攻击活动的两个目标分别是加拿大的一家金融机构和一家全球性医疗组织。 研究人员以中高可信度判断，该攻击活动是与 BlackBasta 勒索软件团伙相关战术、技术与流程（TTP）的演进版本。BlackBasta 团伙在内部聊天记录泄露后已宣告解散。 BlueVoyant 指出，尽管两者存在大量重合之处，但本次攻击中使用的签名 MSI 文件、恶意 DLL、A0Backdoor 载荷以及基于 DNS MX 的 C2 通信均为新增特征。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。 .arpa 是保留给互联网基础设施使用的特殊顶级域名，而非用于普通网站。它主要用于反向 DNS 解析，即让系统将 IP 地址映射回对应的主机名。 IPv4 反向解析使用 in-addr.arpa 域名，而 IPv6 使用 ip6.arpa。在这类解析中，DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。 例如，www.google.com 对应的 IP 地址为 192.178.50.36（IPv4）与 2607:f8b0:4008:802::2004（IPv6）。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时，会解析到一个 in-addr.arpa 主机名，并最终指向一个常规主机名。 查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到，它首先解析到一个 ip6.arpa 主机名，然后再解析到一个常规主机名，如下所示。 钓鱼活动对 .arpa 域名的滥用 Infoblox 观测到的一起钓鱼攻击活动，利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。 然而，攻击者发现，如果他们申请到属于自己的 IPv6 地址段，就可以滥用该 IP 段对应的反向 DNS 区域，为钓鱼网站配置额外的 DNS 记录。 在正常的 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，使系统能够查询与某个 IP 地址关联的主机名。 但攻击者发现，一旦控制了某段 IPv6 地址对应的 DNS 区域，部分 DNS 管理平台允许他们配置其他类型的记录，这些记录可被滥用于钓鱼攻击。 Infoblox 解释称：“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉，攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。” “我们的测试并非全覆盖，但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。” 为搭建相关基础设施，攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。 Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源：Infoblox) 在获得地址段的控制权后，攻击者利用该 IPv6 地址段生成反向 DNS 主机名，并使用随机生成的子域名，使其难以被检测或拦截。 攻击者并未按预期配置 PTR 记录，而是创建 A 记录，将这些反向 DNS 域名指向承载钓鱼网站的基础设施。 该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件，图片链接指向 IPv6 反向 DNS 记录，例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa，而非常规主机名，因此目标用户不会看到奇怪的 arpa 主机名。 当受害者点击钓鱼邮件中的图片时，设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器。 使用.arpa 主机名展示图片和链接的 HTML 代码 (来源：Infoblox) 在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名解析到 Cloudflare IP 地址，从而隐藏后端钓鱼基础设施的真实位置。 点击图片后，受害者会经过流量分发系统（TDS）跳转，该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证，则跳转到钓鱼网站；否则跳转到合法网站。 Infoblox 表示，这类钓鱼链接生命周期很短，仅活跃数天。链接失效后，会跳转到域名错误页面或其他合法网站。 研究人员认为，此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。 此外，由于 .arpa 域名是为互联网基础设施保留的，它不包含普通注册域名所具备的信息，例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。 研究人员还观测到，该钓鱼活动同时使用了其他技术，例如劫持悬空 CNAME 记录与子域名影子化技术，使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。 Infoblox 解释称：“我们发现超过 100 个案例中，威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。” 通过将安全工具所信任的反向 DNS 功能武器化，攻击者可以生成能够绕过传统检测手段的钓鱼 URL。 与往常一样，防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接，而是直接通过官方网站访问相关服务。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。 LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。 LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。 LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。” LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 abuse@lastpass.com，共同保护社区安全。 公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters（SLH）正提供金钱奖励，招募女性实施社会工程学攻击。 Dataminr 在一份新的威胁简报中表示，该集团计划雇佣她们参与针对 IT 服务台的语音钓鱼活动。 据称该集团为每通电话预先支付 500 至 1000 美元不等的报酬，并为她们提供实施攻击所需的提前写好的话术脚本。 该威胁情报公司表示：“SLH 通过专门招募女性实施语音钓鱼攻击，使其社会工程学人员构成多元化，此举可能旨在提高冒充服务台人员的成功率。” SLH 是由 LAPSUS$、Scattered Spider 和 ShinyHunters 组成的知名网络犯罪超级集团，该组织有实施高级社会工程学攻击的记录，通过多因素认证弹窗轰炸、SIM 卡替换等技术绕过多因素认证（MFA）。 该集团的作案手法还包括瞄准服务台和呼叫中心，冒充员工说服相关人员重置密码或安装可授予其远程访问权限的远程监控与管理（RMM）工具，从而入侵企业。 据观察，Scattered Spider 在获取初始访问权限后，会横向渗透至虚拟化环境、提升权限，并窃取企业敏感数据。 部分此类攻击还会进一步部署勒索软件。 这类攻击的另一特点是使用合法服务和住宅代理网络（如 Luminati、OxyLabs）隐藏身份并规避检测。 Scattered Spider 成员使用过 Ngrok、Teleport、Pinggy 等各类隧道工具，以及 file.io、gofile.io、mega.nz、transfer.sh 等免费文件共享服务。 SLH 在 Telegram 上招募女性的帖子 帕洛阿尔托网络公司 Unit 42 团队在本月早些时候发布的一份报告中，将以 Muddled Libra 为代号追踪的 Scattered Spider 描述为 “高度擅长利用人类心理”，该组织通过冒充员工尝试重置密码和多因素认证（MFA）。 Scattered Spider 攻击链 在该网络安全公司 2025 年 9 月调查的至少一起案件中，Scattered Spider 通过致电 IT 服务台获取特权凭证后，创建并使用了虚拟机（VM），随后利用其进行侦察（如 Active Directory 枚举），并尝试窃取 Outlook 邮箱文件以及从目标 Snowflake 数据库下载的数据。 Unit 42 表示：“该威胁行为者在专注于身份入侵和社会工程学攻击的同时，利用合法工具和现有基础设施隐藏行踪。”“他们隐秘运作并维持持久化控制。” 该网络安全公司还指出，Scattered Spider 长期针对 Microsoft Azure 环境，利用 Graph API 获取 Azure 云资源访问权限。 该组织还使用 ADRecon 等云枚举工具进行 Active Directory 侦察。 由于社会工程学已成为该网络犯罪集团的主要入侵入口，建议企业保持警惕，对 IT 服务台及支持人员开展培训，警惕提前编写的话术和熟练的语音冒充行为；执行严格的身份验证；收紧 MFA 策略，不再使用基于短信的认证方式；并审计服务台交互后的新用户创建或管理员权限提升日志。 Dataminr 表示：“此次招募行动标志着 SLH 的战术经过精心策划后发生了演变。” “通过专门寻找女性声音，该集团可能旨在绕过 IT 服务台人员受训识别的‘传统’攻击者特征，从而提升其冒充行为的成功率。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。 多重执行触发机制 Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。 微软防御团队表示，攻击者创建了伪造的基于 Next.js 构建的 Web 应用项目，并将其伪装成编码项目，在求职面试或技术评估环节分享给开发者。 研究人员最初发现了一个托管在 Bitbucket（基于 Git 的云端代码托管与协作服务）上的代码仓库。但随后发现了多个具有相同代码结构、加载器逻辑和命名模式的代码仓库。 当目标开发者按照标准流程克隆该仓库并在本地打开时，会触发恶意 JavaScript 代码，该代码在启动应用时自动执行。 该脚本从攻击者的服务器下载额外的恶意代码（一个 JavaScript 后门），并通过正在运行的 Node.js 进程直接在内存中执行，从而实现对设备的远程代码执行。 攻击链概述（来源：微软） 微软解释称，为提高感染率，攻击者在恶意代码仓库中嵌入了多重执行触发机制。具体总结如下： VS Code 触发机制 —— 配置了 runOn: “folderOpen” 的 .vscode/tasks.json 文件，会在项目文件夹被打开（且被信任）时立即执行一个 Node 脚本。 开发服务器触发机制 —— 当开发者运行 npm run dev 命令时，一个被植入木马的资源（如修改后的 JS 库）会解码隐藏的 URL，从远程服务器获取加载器并在内存中执行。 后端启动触发机制 —— 服务器启动时，一个后端模块会从 .env 文件中解码 base64 格式的端点地址，将 process.env 信息发送给攻击者，接收响应的 JavaScript 代码并通过 new Function () 执行。 感染过程会释放一个 JavaScript 有效载荷（第一阶段），该载荷会收集主机信息并向命令与控制（C2）端点注册，按固定时间间隔轮询服务器。 随后感染会升级为任务控制器（第二阶段），连接至另一个独立的 C2 服务器，检查待执行任务，在内存中执行下发的 JavaScript 代码，并跟踪衍生的进程。该有效载荷还支持文件枚举、目录浏览和分阶段文件窃取。 第二阶段的服务器轮询功能（来源：微软） 微软发现，此次攻击活动涉及多个具有相同命名规则、加载器结构和分级基础设施的代码仓库，表明这是一场协同攻击，而非单次攻击行为。 除技术分析外，研究人员未披露关于攻击者或攻击规模的任何细节。 这家科技巨头建议，开发者应将日常标准工作流程视为真正的高风险攻击面，并采取相应的防范措施。 建议的缓解措施包括启用 VS Code 工作区信任 / 受限模式、使用攻击面减少（ASR）规则，以及通过 Entra ID Protection 监控高风险登录行为。 应尽量减少存储在开发者终端上的敏感信息，并尽可能使用权限最小化的短期令牌。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场冒充加密货币经纪商 Bitpanda 的精密钓鱼攻击活动。 Cofense 在一份新通告中详细介绍了该行动，该行动结合了凭证窃取与大规模个人数据收集，使用与合法平台几乎完全一致的仿冒页面欺骗用户。 随着加密货币的普及，犯罪分子的兴趣也随之增加。 Cofense 分析师表示，此次最新攻击活动超越了常规的登录信息窃取，通过引导受害者经历分步式伪造多因素认证（MFA）流程，专门收集多种形式的个人可识别信息。 Cofense 解释称，观察到的攻击始于一封格式模仿 Bitpanda 官方通知的邮件，包含熟悉的品牌标识与布局。 邮件告知收件人，更新后的安全标准要求其重新确认信息，否则账户可能被封禁。 该警告营造了紧迫感。这也是一种常见的恐吓手段。 一个 “开始更新” 按钮会将用户导向欺诈网站。 尽管登录页面高度模仿真实的 Bitpanda 登录界面，甚至通过二维码链接到合法应用下载页面，但仔细检查会发现这是一个伪造域名。 据报告，该恶意域名在分析前几天才刚刚注册。 多步骤数据收集 输入凭证后，受害者会被引导进入更多验证页面，要求提供以下信息： ·     姓名 ·    电话号码 ·    居住地址 ·    出生日期 每一步都被包装成多因素认证流程的一部分。 收集到的信息可使攻击者重置密码、提交伪造的支持工单，或访问其他使用个人数据进行验证的账户。 填写完表单后，用户会看到一条验证成功的确认信息，随后被重定向至真实的 Bitpanda 登录页面。 如何防御此类攻击 “恶意攻击活动可分为大范围散布与高度定向两类。本例属于后者，其页面高度仿真真实服务，使用伪造域名，并且措辞让受害者产生虚假的安全感。它不仅窃取登录凭证，还收集用户敏感信息。”Cofense 写道。 “此类攻击活动可通过专门检测并隔离绕过安全电子邮件网关（SEG）威胁的工具进行防范。” 用户应将鼠标悬停在链接上检查目标网址，确认发件人地址与公司官方域名一致，并对威胁不立即操作就封禁账户的邮件保持警惕。 通过收藏夹或手动输入地址直接访问经纪平台，而非点击邮件内嵌链接，也能降低风险。 即使是域名或格式上的微小不一致，也可能表明这是欺诈网站。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。 在五个月时间里，这个名为 Diesel Vortex 的组织从物流平台账户窃取了超过 1600 套登录凭证，使攻击者能够截停、改道货运货物并实施支票欺诈。 域名保护平台 Have I Been Squatted 的研究人员发现了一个暴露的 .git 目录，揭露了该行动的详细内幕，包括网络犯罪分子之间的通信消息。 泄露的代码库显示，一个钓鱼即服务平台正在开发中，计划以 “MC Profit Always” 为名向客户推广，该名称很可能指代 “机动车承运人”。 Diesel Vortex 网络犯罪分子搭建了钓鱼基础设施，针对支撑货运与物流行业的平台用户，例如货源平台（货主、经纪人和承运人对接的市场）、车队管理门户以及燃油卡系统。他们冒充承运人和经纪人，成功进入货运系统。聊天记录显示他们从事 “双重经纪” 行为：使用窃取的承运人身份预订货源，再将货物转派给其他承运人。 研究人员找到了该组织的架构图，显示这是一个复杂运作的团伙，设有呼叫中心、邮件支持团队，以及负责与司机和其他物流联系人对接的人员。 Have I Been Squatted 研究人员写道：“这份架构图进一步证实了代码所揭示的事实：这并非一次机会主义攻击，而是有预谋、结构化的犯罪企业，拥有明确分工、营收目标和长期发展策略。” 该公司与网络威胁研究机构 Ctrl-Alt-Int3l 合作，后者在钓鱼面板源代码中发现，有一个域名通过俄罗斯服务商注册，并关联到一个俄罗斯注册的邮箱地址。 该邮箱通过企业记录关联到多家从事仓储、运输和批发贸易的俄罗斯公司。Recorded Future News 曾向该邮箱发送置评请求，截至发稿尚未收到回复。 除明确关联俄罗斯外，讲亚美尼亚语的操作人员也参与了该行动，其中一名犯罪分子告知同伙自己位于埃里温。 在一段聊天记录中，该组织一名成员用亚美尼亚语询问是否持有承保 “25 万货物” 的承运人凭证，即可承运高价值货物的保险资质。 据研究人员介绍，Google Threat Intelligence Group、Cloudflare、GitLab、IPInfo 和 Ping Identity 均参与了此次基础设施取缔行动。 近年来，受行业数字化程度不断提高的推动，货物盗窃事件激增，年度损失估计约为 350 亿美元。11 月，Proofpoint 研究人员记录了一起与有组织犯罪相关的黑客行动，使用远程监控工具针对卡车运输和物流公司。 上月，美国众议院司法委员会推进了《2025 年打击有组织零售犯罪法案》，该法案旨在建立联邦级协同机制应对货物盗窃。该法案还将对非法收益洗钱及盗窃货物销售行为增设新的刑事处罚。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文