HackerNews 编译，转载请注明出处： 据观察，一个与俄罗斯相关联的威胁行为者针对一家欧洲金融机构发起社会工程攻击，目的可能是情报收集或金融盗窃，这表明该威胁行为者可能将攻击范围从乌克兰扩大到支持该国的相关机构。 此次活动针对一家参与地区发展与重建项目的未具名机构，已被归因于编号为 UAC-0050（又称 DaVinci Group）的网络犯罪组织。BlueVoyant 将该威胁集群命名为 Mercenary Akula。该攻击于本月早些时候被发现。 研究人员 Patrick McHale 和 Joshua Green 在提交给 The Hacker News 的报告中表示：“此次攻击伪造了乌克兰司法域名，发送包含远程访问有效载荷链接的邮件。” “攻击目标是一名负责采购事务的高级法律与政策顾问，该职位对机构运营和财务机制拥有高权限了解。” 攻击起点为鱼叉式钓鱼邮件，以法律相关内容为主题，引导收件人下载存储在 PixelDrain 上的压缩文件，该威胁行为者利用此文件共享服务绕过基于信誉的安全管控。 该 ZIP 文件用于启动多层级感染链。ZIP 文件内包含一个 RAR 压缩包，其中有加密的 7-Zip 文件，内含可执行程序，通过被广泛滥用的双后缀技巧（*.pdf.exe）伪装成 PDF 文档。 程序运行后会部署 Remote Manipulator System（RMS）的 MSI 安装包，这是一款俄罗斯远程桌面软件，可实现远程控制、桌面共享和文件传输。 研究人员指出：“使用此类‘ Living‑off‑the‑Land ’工具可为攻击者提供持久、隐蔽的访问权限，同时通常能规避传统杀毒软件检测。” 使用 RMS 符合 UAC-0050 以往的作案手法，该威胁行为者在针对乌克兰的攻击中曾投放 LiteManager 等合法远程访问软件以及 RemcosRAT 等远程访问木马。 乌克兰计算机应急响应小组（CERT-UA）将 UAC-0050 定性为与俄罗斯执法机构相关的雇佣兵组织，该组织以 Fire Cells 为代号开展数据收集、金融盗窃、信息战与心理战行动。 BlueVoyant 表示：“此次攻击体现了 Mercenary Akula 成熟且固定的攻击特征，同时也出现了显著变化。” “首先，他们的攻击目标此前主要集中在乌克兰境内机构，尤其是会计和财务人员。” “但此次事件表明，该组织可能开始试探西欧地区支持乌克兰的机构。” 据 The Record 报道，此次披露发布之际，乌克兰表示俄罗斯针对其能源基础设施的网络攻击正越来越多地聚焦于情报收集，为导弹打击提供指引，而非直接破坏设施运行。 网络安全公司 CrowdStrike 在其年度《全球威胁报告》中表示，预计与俄罗斯相关的对手将继续开展激进行动，目标是从乌克兰目标和北约成员国处收集情报。 这其中包括 APT29（又称 Cozy Bear、Midnight Blizzard）在鱼叉式钓鱼攻击中 “系统性” 利用信任关系、机构信誉与平台合法性，针对美国非政府组织及一家美国法律机构，以非法获取受害者的微软账号权限。 CrowdStrike 表示：“Cozy Bear 成功入侵或冒充与目标用户存在信任职业关系的人员。” “被冒充的人员包括国际非政府组织分支机构及亲乌克兰组织的员工。” “攻击者投入大量资源完善伪装，使用入侵人员的合法邮箱账号及临时通信渠道增强真实性。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。 有用户按照 YouTube 上的电脑装机教程操作时，从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报，该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实，该恶意网站 7zip [.] com 目前仍可访问。 该威胁行为者注册了域名 7zip[.]com（撰写本文时仍活跃），很容易诱使用户误以为他们访问的是该合法工具的官网。 此外，攻击者还复制了原始 7-Zip 网站（ 7-zip.org）的文本并模仿了其结构。 网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现，其搭载的数字证书已被吊销。 该恶意版本同时包含正常 7-Zip 程序，可提供工具的常规功能。但该安装程序会释放三个恶意文件： ·     Uphero.exe – 服务管理器和更新加载器 ·     hero.exe – 主要代理负载 ·     hero.dll – 支持库 此外，攻击者使用 netsh 修改防火墙规则，以允许这些二进制文件建立入站和出站连接。 最终，主机系统会通过微软的 Windows 管理规范（WMI）和 Windows API 进行特征分析，以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。 “虽然初步迹象表明其具有后门类能力，但进一步分析显示，该恶意软件的主要功能是代理工具，”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。” 根据分析，hero.exe 从轮换的 C2 域拉取配置，然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。 Malwarebytes 发现，该攻击活动的范围不止于 7-Zip 诱饵，还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。 该恶意软件使用一个轮换 C2 基础设施，流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。 它还通过谷歌的解析器依赖 DNS-over-HTTPS，这降低了防御者监控标准 DNS 流量的可见性。 该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具，规避安全分析行为。 Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后，启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。 研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码，证实了其代理行为。数字取证与应急响应（DFIR）工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。 Malwarebytes 公布了分析过程中发现的攻击指标（域名、文件路径、IP 地址）及主机相关特征数据。 建议用户不要点击 YouTube 视频或搜索推广链接中的网址，应在常用软件的官方下载域名添加书签。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员监测到一起大规模钓鱼攻击活动，该活动投放长期存在的 Phorpiex 恶意软件，所使用邮件的主题为 “您的文档”，这一诱骗手段在 2024 至 2025 年被广泛使用。 此类邮件包含看似无害的文档附件，实则为经过武器化改造的 Windows 快捷方式文件，用于启动多级感染链。 网络安全公司 Forcepoint 发布的最新公告显示，该攻击活动依托 Windows 快捷方式（.lnk）文件作为初始入侵向量的持续有效性，用于投放 Global Group 勒索软件 —— 这是一款具备隐蔽性、可离线运行的勒索软件即服务（RaaS）工具。 Windows 快捷方式诱骗手段为何经久不衰 Windows 快捷方式文件仍是将单次点击转化为代码执行的可靠途径。攻击者通过 Document.doc.lnk 这类双后缀形式伪装文件，并利用 Windows 系统默认隐藏已知文件后缀名的设置。 视觉伪装同样发挥作用，攻击者复制合法 Windows 资源中的图标，强化文件为可信文档的假象。 快捷方式文件被打开后会启动 cmd.exe，进而运行 PowerShell 下载并执行第二阶段载荷。攻击过程不会显示安装界面，也不会向用户弹出明显告警，可在后台静默运行。 该感染链流程简洁但效果显著： ·     钓鱼邮件提供形似文档的附件 ·     快捷方式通过 cmd.exe 执行内嵌指令 ·     PowerShell 下载远程载荷并保存为 windrv.exe ·     该二进制文件在本地执行，无任何用户可见提示 本次攻击中获取的载荷关联 Phorpiex 恶意软件，这是一款 2010 年左右活跃的模块化恶意软件即服务（MaaS）僵尸网络，常用于分发勒索软件及其他次生恶意程序。 Global Group 的离线勒索软件模式 在本次攻击中，Phorpiex 最终投放 Global Group 勒索软件，该软件与多数现代勒索软件家族不同，可完全离线运行。 该恶意软件在本地生成加密密钥，不连接命令与控制（C2）服务器，也不执行数据窃取操作。 该设计使其可在隔离或物理隔离环境中运行，同时减少对易触发告警的网络流量的依赖。 该勒索软件采用 ChaCha20-Poly1305 算法加密文件，并为文件添加.Reco 后缀。恶意软件会在系统内释放名为 README.Reco.txt 的赎金通知，并将桌面壁纸替换为 GLOBAL GROUP 相关信息。 该恶意软件执行后会自删除，并清除系统卷影副本，增加取证分析与数据恢复难度。 Forcepoint 表示：“本次攻击表明，Phorpiex 这类老牌恶意软件家族搭配简单可靠的钓鱼手段，仍能保持极高攻击效率。” “攻击者利用 Windows 快捷方式这类常见文件类型，可低阻力获取初始访问权限，进而顺利投放 Global Group 勒索软件等高危害载荷。”     消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Flickr 表示，一家第三方邮件服务提供商存在一处漏洞，可能导致用户姓名、邮箱地址、IP 地址及账户活动信息泄露。Flickr 是 SmugMug 旗下的图片分享平台，拥有超过 1 亿注册用户及数百万活跃摄影师。 Flickr 就一起可能由第三方邮件服务漏洞引发的数据泄露事件向用户发出警告。该问题可能泄露了姓名、邮箱地址、IP 地址及账户活动信息。公司指出，此次安全漏洞未导致密码或支付数据外泄。Flickr 在数小时内便切断了受影响系统的访问。 发送给受影响用户的数据泄露通知中写道：“我们特此告知您一起涉及我方某第三方服务提供商的安全事件，该事件可能影响了您的部分个人信息。以下是需要了解的内容。”“2026年2月5日，我们获悉由我方一家邮件服务提供商运营的系统存在一处漏洞。此漏洞可能允许未授权方访问部分 Flickr 会员信息。我们在得知此事后数小时内，便切断了对该受影响系统的访问。”该公司未说明涉及哪家提供商，亦未透露受影响用户数量。 Flickr 表示，在发现问题后已迅速做出反应。他们立即切断了对受影响系统的访问、移除了指向存在漏洞端点的链接，并警示了该第三方提供商，要求其进行全面调查。与此同时，公司启动了更广泛的安全审查，并开始加强围绕第三方服务的管控措施。公司也已通知相关数据保护机构。 公司建议用户保持警惕，注意防范伪装成与账户相关的钓鱼邮件，检查账户设置中是否存在异常活动，如果在其他服务中重复使用了相同密码，应及时更新。 “对于此次事件及其可能引起的担忧，我们深表歉意。我们极度重视您数据的隐私与安全，目前正在采取立即行动，通过进行彻底调查、强化系统架构及进一步加强对第三方服务提供商的监控，以防止任何类似问题再次发生。”通知最后总结道。     消息来源:securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国国内情报机构警告称，疑似国家支持的威胁行为者正通过 Signal 等即时通讯应用，针对高级别人士进行网络钓鱼攻击。 此类攻击结合社会工程学手段与通讯应用的合法功能，窃取德国及欧洲各国政客、军官、外交官和调查记者的相关数据。 该安全警示基于德国联邦宪法保卫局（BfV）与联邦信息安全办公室（BSI）搜集的情报编制。 两家机构通报称：“此次攻击行动的典型特征是，攻击者既未使用恶意软件，也未利用即时通讯服务的技术漏洞。” 警示内容显示，攻击者会直接联系目标对象，伪装成即时通讯应用的客服团队或客服聊天机器人。 “攻击目的是秘密获取受害者的一对一聊天记录、群组聊天记录以及通讯录信息。” 此类攻击分为两种模式：一种是完全劫持账号，另一种是将受害者账号与攻击者设备绑定，以监控聊天活动。 第一种攻击模式中，攻击者伪装成 Signal 客服，发送虚假安全警示以制造紧迫感。 随后诱骗目标泄露 Signal PIN 码或短信验证码，攻击者便可将该账号注册至自己控制的设备上。进而劫持账号并将受害者踢出账号。 攻击者通过私信伪装成 Signal 客服（来源：BSI） 第二种攻击模式中，攻击者通过合理的借口诱骗目标扫描二维码。攻击者滥用 Signal 合法的设备关联功能，该功能本用于将账号绑定至电脑、平板、手机等多台设备。 最终受害者账号会与攻击者控制的设备绑定，攻击者可悄无声息地获取聊天记录与通讯录信息。 用于绑定新设备的二维码（来源：BSI） 尽管 Signal 会在 “设置> 关联设备” 中列出所有绑定账号的设备，但用户极少核查该列表。 此类攻击已在 Signal 平台被观测到，警示公告同时提醒，WhatsApp 也具备类似功能，可能被以相同方式滥用。 去年，谷歌威胁研究人员通报称，俄罗斯国家背景的威胁组织（如沙虫组织）已使用二维码绑定攻击技术。 乌克兰计算机应急响应小组（CERT-UA）也将类似的 WhatsApp 账号攻击事件归咎于俄罗斯黑客。 但此后包括网络犯罪分子在内的多个威胁组织，已在如“GhostPairing”等攻击行动中采用该技术劫持账号，实施诈骗活动。 德国当局建议用户切勿回复自称客服账号发来的 Signal 消息，因该通讯平台不会主动直接联系用户。 建议收到此类消息的用户直接屏蔽并举报相关账号。 作为额外安全防护措施，Signal 用户可在 “设置> 账号” 中开启 “注册锁定” 功能。该功能开启后，任何尝试使用用户手机号注册 Signal 的操作，均需输入用户自行设置的 PIN 码。 没有PIN码，在另一台设备上注册Signal账户将失败。因该验证码是注册必需信息，丢失 PIN 码可能导致用户无法登录自身账号。 同时强烈建议用户定期在 “设置> 关联设备” 中核查 Signal 账号的绑定设备列表，移除未知设备。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告，一场多阶段的网络钓鱼活动正在使用一种隐蔽的技术来规避安全工具的检测，并窃取知名云存储服务的公司凭证。 Forcepoint X-Labs于2月2日针对该持续开展的攻击活动发布预警，其通过组合多类手段窃取 Dropbox 账号登录凭证：伪造紧急公务相关钓鱼邮件、附带 PDF 附件、植入隐藏恶意链接、搭建伪造登录页面。 该攻击活动以钓鱼邮件为起点，邮件伪装成与采购需求或商务采购相关的内容。 邮件内容简短，但伪装得极具专业可信度，通常会定制成目标用户熟悉的机构或联系人发来的样式，并要求用户打开 PDF 附件了解详情。 Forcepoint指出，邮件的简洁特性使其可绕过 SPF、DKIM、DMARC 等邮件身份认证检测，同时邮件中隐含的紧急诉求，目的是诱导收件人按指令操作。 若用户打开该 PDF 文件，会被引导点击内嵌链接以配合相关需求。该链接基于 Acro 表单编写，大幅降低安全软件对其的扫描检测能力。 研究人员表示，该链接会将目标用户导向一个名为 “可信云存储” 的平台，随后该平台会跳转至伪造但极具迷惑性的 Dropbox 登录页面。 “攻击者借助合法云基础设施降低警惕性，在这一过程中绕过了许多基于信誉评级和已知恶意指标的自动化安全检测，” Forcepoint 高级安全研究员 Hassan Faizan 表示。 如果用户输入其登录凭证，该用户名和密码将被发送到攻击者运营的Telegram频道。攻击者获取合法登录凭证后，可登录目标账号，还可能将该初始访问权限作为起点，发起后续更多攻击。 “这些被盗凭证会被窃取至攻击者控制的命令与控制基础设施，进而被进一步滥用，包括账号劫持、内网渗透及后续更多欺诈行为。” Faizan 说。 2025 年期间，凭证窃取及身份仿冒类攻击呈激增态势，网络犯罪分子试图通过隐蔽方式获取企业账号及网络访问权限。有时，攻击者的最终目标仅仅是窃取数据。但这类入侵也可能是更具破坏性攻击活动的开端，其中就包括勒索软件攻击。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  密码管理器 LastPass 警告称，当前正发生一起冒充该服务的钓鱼攻击活动，攻击者试图窃取用户的主密码（Master Password）。 LastPass 表示，这一钓鱼活动大约始于 2026 年 1 月 19 日。攻击者通过冒充 LastPass 官方发送电子邮件，声称系统即将进行紧急维护，并要求用户在 24 小时内备份其密码库。 这些邮件使用了涉及基础设施更新、密码库安全以及“错过截止期限”等主题词，诱骗受害者泄露主密码。 LastPass 在警告中写道： “LastPass 威胁情报、缓解与升级团队提醒客户注意一项于 2026 年 1 月 19 日左右开始的活跃钓鱼活动。这些钓鱼邮件来自多个电子邮箱地址，使用不同的主题行，声称 LastPass 即将进行维护，并敦促用户在接下来的 24 小时内备份其密码库。已知的发件地址和主题行列表如下。” 钓鱼攻击手法 该活动通过钓鱼邮件中的链接，声称可帮助用户备份 LastPass 密码库。 链接首先指向一个托管在 Amazon S3 上的钓鱼页面： group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf 随后重定向至一个伪造的 LastPass 网站： mail-lastpass[.]com 攻击者特意选择在美国假期周末发起攻击，以利用人员配置不足的时机，延缓安全团队的发现和响应。 LastPass 的应对与提醒 LastPass 强调，官方绝不会要求用户提供主密码，并敦促用户对任何可疑邮件保持警惕。公司正在努力关闭恶意域名，并请求用户将可疑邮件转发至 abuse@lastpass.com。 此外，LastPass 还分享了相关的入侵指标，包括： 伪造域名 IP 地址 发件人信息 钓鱼邮件主题行 报告总结称： “该活动发生在美国假期周末，这是威胁行为者常用的策略，目的是利用人员减少的情况，延迟被发现并拉长应对时间。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  网络安全分析人员披露，一起通过 Linkedin 私信 传播的钓鱼攻击活动，正在滥用一款合法的开源渗透测试工具，意在向受害者投放远程访问木马。 该攻击活动由 ReliaQuest 的威胁研究人员披露。他们指出，此次行动“尤其令人担忧”，原因在于攻击者将正规软件工具与社交媒体平台的可信度相结合，大幅提高了攻击成功率。 研究人员表示，该活动主要面向被精心挑选的“高价值目标”，包括企业高管和 IT 管理员等关键岗位人员。 攻击最初利用 Linkedin 的职业社交属性，通过与目标行业相关的话术建立信任，随后发送精心设计的钓鱼链接，诱导受害者点击并最终中招。 该链接指向一个恶意的 WinRAR 自解压压缩包。一旦执行，该压缩包会释放一个合法的开源 PDF 阅读器，以及一个恶意 DLL 文件。该 DLL 被刻意伪装成与 PDF 阅读器所使用的正常文件同名，以此降低警惕。 研究人员指出，攻击者对文件命名进行了高度定制，使其与收件人的岗位或行业相匹配，从而增强可信度并提升攻击成功概率。 当受害者运行 PDF 阅读器时，恶意 DLL 会利用一种名为 DLL 侧加载 的技术，与合法应用程序位于同一目录下运行，从而增加检测和阻断难度。 随后，攻击者借助一款开源渗透测试工具在系统中建立持久化控制，使其能够长期驻留在受感染主机上，并具备数据窃取、权限提升以及在网络中横向移动等能力。 ReliaQuest 研究人员指出，此前已有多起利用社交媒体平台传播木马程序的案例。通过 Linkedin 等平台分发恶意载荷，攻击者试图利用企业网络安全防护中的“盲区”，这些渠道往往未被纳入传统防御体系的重点。 ReliaQuest 在博客中表示：“这次活动再次提醒我们，钓鱼攻击并不局限于电子邮件。攻击同样会发生在社交媒体、搜索引擎和即时通讯应用等替代渠道上——而这些平台仍然被许多组织的安全策略所忽视。” 研究人员还指出：“社交媒体平台，尤其是经常在公司设备上访问的平台，为攻击者直接接触高价值目标提供了渠道……因此对网络犯罪分子而言极具吸引力。” 为帮助用户避免成为社交媒体钓鱼攻击的受害者，ReliaQuest 建议企业开展针对社交媒体场景的网络安全培训，并提醒员工对通过 Linkedin 或其他平台收到的陌生链接或文件保持与电子邮件同等程度的警惕。 此外，研究人员还建议组织审计员工在公司设备上使用个人社交媒体账号的情况，并视业务需要实施相应的访问控制或限制。 ReliaQuest 总结称：“组织必须将社交媒体平台视为其攻击面不可分割的一部分，采取积极的纵深防御策略。通过结合员工培训、先进检测工具以及严格的平台使用政策，企业才能有效降低风险，并领先于不断演变的攻击手段。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地使用一种隐蔽的”浏览器套浏览器”攻击技术，企图窃取Facebook用户的登录凭证。 根据Trellix网络安全研究人员的分析，攻击者分发钓鱼邮件的数量激增，这些邮件诱使用户访问看似可信的认证界面，意图窃取用户名和密码。 据认为，攻击目的是为了劫持账户、窃取个人数据、实施身份欺诈或向用户的联系人传播诈骗。拥有超过30亿用户的Facebook，对网络罪犯来说仍然是进行攻击和诈骗的诱人目标。 这些活动通常始于钓鱼邮件：研究人员指出，攻击者通常会分发声称来自律师事务所的诱饵邮件，警告潜在受害者需要立即采取行动以避免版权侵权索赔。攻击者已知分发的其他诱饵还包括发送有关未授权登录尝试的虚假通知，或警告账户因可疑活动即将被关闭。 这些手段的设计目的都是迫使用户惊慌失措，并按照被告知的”必要步骤”操作，以防止账户被关闭。钓鱼邮件敦促用户点击看起来像是Facebook的链接以采取必要行动——尽管这些是经过伪装的虚假短链接，目的是让其看起来更可信。 令这些攻击看似可信的是，”浏览器套浏览器”弹窗看起来非常逼真，完全符合用户对Facebook登录页面的预期。弹出的浏览器窗口包含了真实的Facebook登录页面URL，这是攻击者硬编码到认证窗口中的。此外，攻击者还会在此之前部署一个虚假的验证码窗口。这两种策略都旨在诱骗受害者相信他们正在访问真正的Facebook登录页面。 这些”申诉”页面首先要求用户提供个人信息，包括姓名、电子邮件地址、电话号码和出生日期——随后在第二个页面要求用户”确认”密码。通过这些虚假页面，攻击者获得了敏感的个人信息、用户名和密码，可用于以受害者为代价实施进一步的欺诈。 “通过在受害者浏览器内创建自定义的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法察觉，”Trellix表示。 为帮助防范此类钓鱼攻击，建议用户为账户启用双因素认证：即使网络犯罪分子窃取了合法的登录凭证，2FA也能自动阻止账户被接管。同时，建议用户对突然出现的、意料之外的此类请求邮件保持警惕——如果担心账户通知的真实性，应直接通过浏览器登录Facebook官网，而不是点击不熟悉的链接。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文