HackerNews 编译，转载请注明出处：  网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误，仿冒企业内部域名发送邮件，以此实施钓鱼攻击。 微软威胁情报团队在周二发布的报告中指出：“威胁行为体借助该攻击路径，投递各类钓鱼邮件，这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。邮件诱饵主题涵盖语音留言、共享文档、人力资源部通知、密码重置或过期提醒等，最终目的是窃取用户凭证信息。” 尽管此类攻击手段并非首次出现，但微软表示，自 2025 年 5 月起，该攻击手法的使用频次显著上升，被用于针对多个行业、各类企业的随机性攻击活动。其中就包括一系列通过伪造邮件实施的企业金融诈骗攻击。 一旦攻击得逞，威胁行为体可窃取用户凭证，并借此开展后续攻击活动，包括数据窃取、企业邮箱劫持等。 这类安全隐患主要出现在以下场景：企业租户配置了复杂的邮件路由规则，且未严格落实域名伪造防护机制。复杂路由的典型案例为：将邮件交换记录先指向本地部署的 Exchange 邮件环境或第三方邮件服务，再跳转至微软 365 平台。 这种配置方式会形成安全漏洞，让攻击者有机可乘，发送看似源于企业租户内部域名的伪造钓鱼邮件。调查发现，绝大多数采用该攻击路径的钓鱼活动，均使用了Tycoon 2FA钓鱼即服务工具包。微软透露，仅在 2025 年 10 月，就拦截了超过 1300 万封与该工具包相关的恶意邮件。 钓鱼即服务工具包属于即插即用型平台，即便是技术水平有限的诈骗分子，也能借助这类工具轻松创建并管理钓鱼攻击活动。平台提供可自定义的钓鱼邮件模板、攻击基础设施等功能，助力诈骗分子窃取用户凭证，并通过中间人钓鱼手段绕过多因素认证机制。 微软还发现，部分伪造邮件以虚假发票为诱饵，诱导企业进行转账支付，进而造成企业的经济损失。此外，这类钓鱼邮件还会仿冒电子签名平台等正规服务，或谎称来自人力资源部门，以薪资调整、福利变更等事由实施诈骗。 用于金融诈骗的钓鱼邮件，往往伪装成企业首席执行官、服务供应商、公司财务部门之间的沟通对话内容。为增加骗局可信度，邮件通常会附带三份伪造文件： 伪造的数千美元金额转账发票，要求收款方将款项汇入指定银行账户； 美国国税局 W-9 表格，表格中包含用于开立该诈骗账户的个人姓名及社会安全号码； 伪造的银行证明信，谎称由开立诈骗账户的网络银行员工出具。  微软补充道：“攻击者可能在邮件正文中植入可点击链接，或在附件中嵌入二维码，诱导收件人访问钓鱼页面。此类邮件最显著的特征，就是对终端用户显示为‘内部邮箱发送’，且邮件的‘发件人’与‘收件人’字段甚至会使用同一个邮箱地址。” 为防范此类风险，微软建议企业采取以下防护措施：部署严格的基于域名的邮件身份验证、报告与一致性协议拒绝策略及发件人策略框架强制失效策略，同时正确配置第三方连接器（如反垃圾邮件过滤服务、邮件归档工具等）。 需要特别注意的是，若企业租户将 MX 记录直接指向微软 365（Office 365）平台，则不会受到此类攻击路径的威胁。此外，微软建议企业在非必要情况下关闭直接发送功能，以拦截仿冒企业域名的钓鱼邮件。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  被称为Kimsuky的朝鲜威胁行为者，被证实与一场新的攻击活动有关。该活动通过伪装成总部位于首尔的物流公司CJ Logistics（前身为CJ Korea Express）的钓鱼网站上托管的二维码，分发一种名为DocSwap的安卓恶意软件新变种。 韩国网络安全公司ENKI表示：”该威胁行为者利用二维码和通知弹窗，诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件，并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告，威胁行为者声称该应用是安全、官方的版本，以此欺骗受害者忽略警告并安装恶意软件。” 据该公司称，其中一些恶意软件伪装成包裹快递服务应用。据评估，威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件，诱骗收件人点击托管着恶意应用的恶意网址。 这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时，会提示他们在安卓设备上扫描页面显示的二维码，以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到”tracking.php”脚本，该脚本实现服务器端逻辑，检查浏览器的User-Agent字符串，并显示一条消息，借口因所谓的”国际海关安全政策”需要验证身份，敦促他们安装”安全模块”。 如果受害者继续安装该应用，便会从服务器（”27.102.137[.]181″）下载一个APK包（”SecDelivery.apk”）。然后，该APK文件会解密并加载嵌入其资源中的加密APK，以启动新版本的DocSwap，但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。 ENKI表示：”一旦确认所有权限，它会立即将新加载APK的MainService注册为’com.delivery.security.MainService’。在服务注册的同时，基础应用程序会启动AuthActivity。该活动伪装成一次性密码（OTP）认证界面，并使用快递单号验证用户身份。” 快递单号在APK中硬编码为”742938128549″，很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号，应用程序将生成一个随机的六位数验证码并作为通知显示，随后提示用户输入生成的验证码。 验证码一经输入，应用程序就会打开一个指向合法网址“www.cjlogistics[.]com/ko/tool/parcel/tracking”的WebView。与此同时，木马会在后台连接到攻击者控制的服务器（”27.102.137[.]181:50005″），并接收多达57条命令，使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件，以及收集位置信息、短信、联系人、通话记录和已安装应用列表。 ENKI表示，还发现了另外两个伪装样本：一个是P2B空投应用，另一个是被木马化的合法VPN程序BYCOM VPN（”com.bycomsolutions.bycomvpn”）的版本。该VPN程序在Google Play商店中提供，由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道：”这表明威胁行为者向合法的APK中注入了恶意功能，并重新打包用于攻击。” 对威胁行为者基础设施的进一步分析，发现了模仿韩国Naver和Kakao等平台的钓鱼网站，旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。 ENKI表示：”执行的恶意软件会启动一个RAT服务，类似于过去的案例，但展示了进化的能力，例如使用新的原生函数来解密内部APK，并融合了多种伪装行为。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起活跃钓鱼活动的细节，该活动通过投递恶意ISO光盘镜像传播Phantom窃取程序，广泛针对俄罗斯多个行业领域。这项被Seqrite实验室代号为”Operation MoneyMount-ISO”的行动，主要锁定金融和会计实体，采购、法律、薪资等垂直领域成为次要目标。 这家网络安全公司表示：”该活动采用虚假支付确认诱饵，通过多阶段附件链传递Phantom信息窃取恶意软件。” 感染链始于伪装成合法财务通讯的钓鱼邮件，催促收件人确认近期银行转账。邮件附带的ZIP压缩包声称包含补充细节，实则内含ISO文件，启动后将在系统上挂载为虚拟CD驱动器。 该ISO镜像（”Подтверждение банковского перевода.iso”或”银行转账确认.iso”）作为可执行文件，旨在通过嵌入的DLL（”CreativeAI.dll”）启动Phantom窃取程序。Phantom窃取程序能够从基于Chromium的浏览器中安装的加密货币钱包浏览器扩展及桌面钱包应用提取数据，同时窃取文件、Discord身份验证令牌，以及浏览器相关密码、Cookie和信用卡详情。 它还能监控剪贴板内容、记录键盘输入，并运行系列检测以识别虚拟化、沙箱或分析环境，若检测到则中止执行。数据外泄通过Telegram机器人或攻击者控制的Discord网络钩子实现。此外，该窃取程序支持向FTP服务器传输文件。 近几个月来，俄罗斯组织（主要是人力资源和薪资部门）还遭受了另一类钓鱼邮件攻击，这些邮件利用与奖金或内部财务政策相关的诱饵，部署名为DUPERUNNER的未公开植入程序，用于加载开源命令控制框架AdaptixC2。 这项被命名为DupeHike的活动被归因于威胁集群UNG0902。Seqrite指出：”ZIP文件被用作鱼叉式网络钓鱼感染的初步来源，内含PDF和LNK扩展名的诱饵文件，下载植入程序DUPERUNNER，最终执行Adaptix C2信标。”LNK文件（”Документ_1_О_размере_годовой_премии.pdf.lnk”或”Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”）进而使用”powershell.exe”从外部服务器下载DUPERUNNER。该植入程序的主要职责是检索并显示诱饵PDF，并通过将其注入”explorer.exe”、”notepad.exe”和”msedge.exe”等合法Windows进程来启动AdaptixC2。 其他钓鱼活动则针对俄罗斯金融、法律和航空航天领域，分发Cobalt Strike及Formbook、DarkWatchman、PhantomRemote等能够实施数据窃取和键盘操控的恶意工具。已遭入侵的俄罗斯公司邮件服务器被用于发送鱼叉式钓鱼信息。 法国网络安全公司Intrinsec将针对俄罗斯航空航天行业的入侵活动归因于与乌克兰利益一致的黑客行动者。该活动于2025年6月至9月间被发现，与Hive0117、Operation CargoTalon及Rainbow Hyena（又称Fairy Trickster、Head Mare和PhantomCore）存在重叠。部分攻击还被发现会将用户重定向至托管在星际文件系统（IPFS）和Vercel上的钓鱼登录页面，旨在窃取与Microsoft Outlook及俄罗斯航空航天公司Bureau 1440相关的凭证。 Intrinsec表示：”2025年6月至9月间观测到的这些活动……旨在入侵在当前俄乌冲突中积极与俄罗斯军队合作的实体，这些实体大多受到西方制裁。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场持续进行的钓鱼攻击活动正仿冒联合利华、迪士尼、万事达卡、LVMH及Uber等知名品牌，以 Calendly 会议平台为诱饵，窃取Google Workspace和Facebook Business的登录凭据。 尽管针对商业广告管理账户的攻击并非新鲜事，但 Push Security 发现的此次活动具有极强的针对性 —— 攻击者精心制作诱饵，为高成功率创造了条件。一旦获取营销账户访问权限，威胁行为体可将其作为跳板，发起恶意广告活动，用于中间人钓鱼、恶意软件分发及ClickFix攻击。 此外，广告平台支持地理定位、域名过滤和设备定向功能，使攻击者能够实施 “水坑式” 攻击。最终，被攻陷的营销账户还可转售给网络犯罪分子，直接变现始终是其核心获利方式之一。值得注意的是，谷歌工作空间账户通常接入企业环境并关联商业数据，尤其是通过单点登录和宽松的身份提供商配置，可能导致更广泛的信息泄露。 Calendly 钓鱼攻击细节 Calendly 是一款合法的在线日程安排平台，会议组织者可通过发送链接，让接收方自主选择可用时间段。该平台此前曾被用于钓鱼攻击，但此次活动的升级之处在于，攻击者利用知名品牌的信任度和用户熟悉度，大幅提升了诈骗成功率。 攻击流程始于威胁行为体仿冒知名品牌的招聘人员，向目标发送伪造的会议邀请 —— 钓鱼着陆页上甚至会仿冒真实员工的身份信息。据悉，这些钓鱼邮件通过人工智能工具生成，已覆盖超过 75 个品牌，包括路威酩轩、乐高（Lego）、万事达卡和优步等。 攻击执行步骤 钓鱼邮件诱导：受害者点击邮件中的链接后，会被引导至伪造的 Calendly 着陆页，页面首先要求完成验证码（CAPTCHA）验证； 凭据窃取环节：验证码验证后，跳转至中间人钓鱼（AiTM）页面，试图窃取用户的谷歌工作空间登录会话。Push Security 通过与受影响机构沟通确认，此次活动的核心目标是谷歌多客户中心（MCC）广告管理账户； 变体攻击升级： 其中一个变体仿冒联合利华、迪士尼、乐高和 Artisan 等品牌，专门针对脸书商业账户凭据； 最新变体则采用 “浏览器中浏览器”（BitB）技术，通过显示带有合法 URL 的伪造弹窗，同时窃取谷歌和脸书账户凭据； 反分析机制：钓鱼页面内置反检测功能，包括拦截 VPN 和代理流量、阻止用户打开开发者工具等，以规避安全分析。 关联恶意广告活动 Push Security 同时发现另一项针对谷歌广告管理器（Google Ads Manager）账户的恶意广告活动：用户在谷歌搜索中输入 “Google Ads” 时，排名首位的可能是恶意赞助广告。点击该广告后，用户会被导向谷歌广告主题的钓鱼页面，进而跳转至仿冒谷歌登录界面的 AiTM 钓鱼页面。 据悉，这些恶意页面托管在 Odoo 平台上，部分通过 Kartra 进行流量路由。尽管针对广告管理账户的类似攻击已有先例，但由于获利空间巨大，仍是威胁行为体的重点目标。 安全防护建议 由于AiTM技术能够绕过双因素认证保护，安全研究人员建议： 高价值账户所有者应使用硬件安全密钥（如 YubiKey）； 输入凭据前仔细核实 URL 的合法性，警惕异常域名； 将登录弹窗拖动至浏览器边缘，验证其是否为独立窗口（伪造弹窗通常无法脱离父页面）。   消息来源：leepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表中发现了一组新的恶意软件包，共计 175 个，这些软件包被用于一场特殊的攻击行动，为凭证窃取攻击提供便利。 据网络安全公司 Socket 透露，这些软件包的总下载量已达 2.6 万次，它们构成了一场大规模钓鱼攻击行动的基础设施。该行动代号为 “比姆格里”（Beamglea），目标直指全球范围内 135 多家工业、科技及能源企业。 安全研究员库什・潘迪亚表示：“尽管这些软件包采用随机命名方式，降低了开发人员误安装的可能性，但下载量中很可能包含安全研究人员、自动扫描程序以及漏洞披露后对软件包进行分析的内容分发网络（CDN）基础设施的相关下载。” 研究发现，这些软件包利用 npm 的公共注册表和unpkg.com的内容分发网络来托管重定向脚本，将受害者引导至凭证收集页面。上个月末，安全公司 Safety 的保罗・麦卡蒂首次发现了该攻击行动的部分异常情况。 具体而言，该类库中包含一个名为 “redirect_generator.py” 的 Python 文件，通过编程方式创建并发布名为 “redirect-xxxxxx” 的 npm 软件包（其中 “x” 代表随机字母数字字符串）。随后，该脚本会将受害者的电子邮件地址和自定义钓鱼链接注入到软件包中。 一旦软件包在 npm 注册表上发布，这款 “恶意软件” 就会创建一个 HTML 文件，其中包含指向与新发布软件包相关联的 UNPKG 内容分发网络的链接（例如 “unpkg [.] com/redirect-xs13nr@1.0.0/beamglea.js”）。据称，攻击者利用这一机制分发 HTML 恶意负载，当受害者打开该文件时，会从 UNPKG 内容分发网络加载 JavaScript 脚本，并被重定向至微软凭证收集页面。 JavaScript 文件 “beamglea.js” 是一个重定向脚本，其中包含受害者的电子邮件地址以及用于捕获凭证的目标钓鱼链接。Socket 公司表示，已发现超过 630 个伪装成采购订单、技术规格说明书或项目文件的 HTML 文件。 换言之，这些 npm 软件包并非设计为在安装时执行恶意代码。相反，攻击者利用 npm 和 UNPKG 来托管钓鱼基础设施。目前尚不清楚这些 HTML 文件的具体传播途径，但有可能是通过电子邮件传播，诱骗收件人打开这些特制的 HTML 文件。 Socket 公司指出：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 脚本会立即将其重定向至钓鱼域名，同时通过 URL 片段传递受害者的电子邮件地址。” “随后，钓鱼页面会自动预填充电子邮件字段，营造出受害者正在访问一个已识别其身份的合法登录入口的假象。这种预填充凭证的方式能降低受害者的怀疑，从而显著提高攻击成功率。” 这些发现再次凸显了威胁攻击者技术不断演进的本质 —— 他们持续调整攻击手段以规避防御者的检测，而防御者也在不断研发新的检测技术。此次事件则暴露出攻击者对合法基础设施的大规模滥用行为。 潘迪亚表示：“npm 生态系统在不知情的情况下成为了攻击基础设施，而非直接的攻击载体。安装这些软件包的开发人员不会发现任何恶意行为，但打开特制 HTML 文件的受害者会被重定向至钓鱼网站。” “攻击者通过 9 个账户发布了 175 个软件包，并自动生成针对特定受害者的 HTML 文件，构建了一个低成本且具有韧性的钓鱼基础设施。该基础设施无需支付服务器托管费用，还能利用可信的内容分发网络服务。npm 的开放注册表、unpkg.com的自动分发功能以及极简代码的结合，形成了一套可复制的攻击方案，其他攻击者很可能会效仿采用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期发现一场新的钓鱼攻击活动，攻击者伪装成乌克兰政府机构，通过钓鱼邮件分发 CountLoader 恶意程序，进而植入 Amatera Stealer（窃取程序）与 PureMiner（挖矿程序）。 “钓鱼邮件中包含恶意可缩放矢量图形（SVG）文件，目的是诱骗收件人打开有害附件。”Fortinet 公司 FortiGuard 实验室研究员 Yurren Wan 在一份提交给《The Hacker News》的报告中表示。 根据该网络安全公司记录的攻击链，SVG 文件会触发下载一个受密码保护的 ZIP 压缩包，包内包含一个编译型 HTML 帮助文件（CHM 文件）。运行该 CHM 文件后，会触发一系列操作，最终部署 CountLoader 恶意程序。而钓鱼邮件则谎称是 “乌克兰国家警察局” 发出的通知。 CountLoader 此前已被安全公司 Silent Push 分析过，当时发现它可植入多种恶意载荷（如 Cobalt Strike、AdaptixC2、PureHVNC 远程访问木马（RAT））。但在本次攻击链中，它被用作 “分发载体”，专门传播 Amatera Stealer（ACRStealer 的变种，一款信息窃取程序）与 PureMiner（一款隐蔽的.NET cryptocurrency 挖矿程序）。 PureCoder 威胁 actor 的恶意软件套件 值得注意的是，PureHVNC RAT 与 PureMiner 均来自一个名为PureCoder的威胁 actor 开发的恶意软件套件。该开发者还开发了以下多款恶意工具： PureCrypter：针对原生程序（Native）与.NET 程序的加密工具，用于隐藏恶意代码以躲避检测； PureRAT（又称 ResolverRAT）：PureHVNC RAT 的升级版，功能更完善的远程访问木马； PureLogs：兼具信息窃取与日志记录功能的恶意程序； BlueLoader：可作为僵尸网络（botnet）的恶意软件，能远程下载并执行其他恶意载荷； PureClipper：剪贴板劫持恶意程序，会将用户复制的 cryptocurrency 钱包地址替换为攻击者控制的地址，从而窃取转账资金。 根据 Fortinet 的研究，Amatera Stealer 与 PureMiner 均以 “无文件（fileless）威胁” 形式部署 —— 这类恶意软件不依赖本地文件存储，而是通过两种方式执行： 借助.NET 提前编译（AOT）技术，结合 “进程注入（process hollowing）” 技术执行； 通过 PythonMemoryModule 工具直接加载到内存中运行。 Amatera Stealer 运行后会执行以下操作： 收集受感染设备的系统信息； 搜索并窃取符合 “预定义扩展名列表” 的文件； 从基于 Chromium 内核（如 Chrome、Edge）与 Gecko 内核（如 Firefox）的浏览器中窃取数据； 窃取多款应用程序的敏感信息，包括 Steam 游戏平台、Telegram 即时通讯软件、FileZilla FTP 工具，以及各类 cryptocurrency 钱包。 Fortinet 指出：“此次钓鱼活动表明，恶意 SVG 文件可作为 HTML 文件的替代品，触发完整的感染链。” 在本次攻击中，攻击者以乌克兰政府机构为目标，发送包含 SVG 附件的钓鱼邮件，而 SVG 文件中嵌入的 HTML 代码会将受害者重定向至恶意下载站点。 另一波传播 PureRAT 的钓鱼活动 与此同时，安全公司 Huntress 还发现一个疑似以越南语为母语的威胁团伙，正通过 “版权侵权通知” 主题的钓鱼邮件实施攻击：诱骗收件人打开 ZIP 压缩包，进而部署 PXA Stealer；随后 PXA Stealer 会启动多层感染流程，最终植入 PureRAT。 安全研究员 James Northey 分析称：“该攻击活动呈现出清晰且有预谋的递进逻辑 —— 从简单的钓鱼诱饵开始，逐步升级为内存加载器、防御规避技术、凭证窃取，最终达成目标。作为攻击终点的 PureRAT，是一款模块化、专业化开发的后门程序，能让攻击者完全控制受攻陷的主机。” “该团伙的技术演进也值得关注：从最初对 Python 恶意载荷的‘业余级混淆’，到如今滥用 PureRAT 这类成熟的商品化恶意软件，这不仅体现了他们的持续活跃，更标志着其已成为一个‘严肃且不断成熟’的攻击组织。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。 一、攻击链条解析 该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。 此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。 攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。 二、攻击活动溯源 攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。 攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。 此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，称有一个新的攻击活动正利用 FileFix 社会工程学策略的变种，传播用于 StealC 恶意软件。 安克诺斯（Acronis）的安全研究员埃利亚德・金希在提交给《黑客新闻》的报告中表示：“观察到的该攻击活动，使用了极具迷惑性的多语言钓鱼网站（例如伪造的 Facebook 安全页面），并借助反分析技术与高级混淆手段躲避检测。” 从整体流程来看，攻击链的核心是利用 FileFix 诱导用户启动初始载荷，随后该载荷会从 Bitbucket 代码仓库下载看似无害的图像文件，但实际上这些图像中隐藏着恶意组件。攻击者借此滥用大众对这一合法代码托管平台的信任，从而绕过安全检测。 FileFix 最早由安全研究员 mrd0x 在 2025 年 6 月记录为概念验证（PoC）工具，它与 ClickFix 存在区别：在专门搭建的钓鱼页面上，ClickFix 需要用户打开 Windows “运行” 对话框，并粘贴已复制的混淆命令来完成虚假的验证码验证；而 FileFix 则无需这一步骤。FileFix 利用网页浏览器的文件上传功能，欺骗用户将一条命令复制粘贴到文件资源管理器的地址栏中，进而在受害者的设备上本地执行该命令。 攻击的开端是一个钓鱼网站，受害者很可能通过一封邮件被重定向至该网站。邮件中会警告收件人：其 Facebook 账号因分享的帖子或消息违反平台政策，将在一周后被暂停使用，并要求用户点击按钮对该处罚提出申诉。 该钓鱼页面不仅经过高度混淆处理，还采用了垃圾代码、代码分片等技术，阻碍安全人员的分析工作。 用户点击申诉按钮后，FileFix 攻击便正式启动：页面会向用户提示，若要查看所谓 “违规政策” 的 PDF 版本，需将一个文件路径复制粘贴到文件资源管理器的地址栏中。 尽管说明中提供的路径看似完全无害，但点击 “复制” 按钮时，实际复制的是一条后缀带有多余空格的恶意命令。当用户通过 “打开文件资源管理器” 按钮打开窗口并粘贴内容时，屏幕上只会显示文件路径（恶意部分被隐藏）。 这条命令是一个多阶段的 PowerShell 脚本，其作用包括：下载上述隐藏恶意组件的图像文件、将图像解码为下一阶段的载荷，最终运行一个基于 Go 语言开发的加载器 —— 该加载器会解包用于启动 StealC 恶意软件的外壳代码（shellcode）。 相较于 ClickFix，FileFix 还具备一项关键优势：它滥用的是浏览器中广泛使用的基础功能，而非打开 “运行” 对话框（针对苹果 macOS 系统则是打开终端应用）。而 “运行” 对话框或终端常被系统管理员设为安全防护措施的拦截对象。 不过安克诺斯指出：“另一方面，ClickFix 最初难以被检测的原因之一，在于它是通过‘运行’对话框从 Explorer.exe 进程启动，或直接从终端启动；而 FileFix 的载荷由受害者使用的网页浏览器执行，这一行为在调查过程中，或在安全产品的检测中，更容易被识别出来。” “发起此次攻击的攻击者在攻击技术上投入巨大，他们精心设计了钓鱼基础设施、载荷交付流程及配套组件，以最大限度地实现躲避检测与攻击效果。” 与此同时，网络安全公司 Doppel 也披露了另一起攻击活动：该活动结合了伪造的技术支持门户、Cloudflare 验证码错误页面与剪贴板劫持（即利用 ClickFix），通过社会工程学手段诱使受害者运行恶意 PowerShell 代码 —— 这些代码会下载并执行一个 AutoHotkey（AHK）脚本。 该 AHK 脚本的设计目的包括：收集受感染设备的信息（设备画像），并传播更多载荷，例如远程控制软件 AnyDesk、TeamViewer，以及信息窃取软件、剪贴板劫持恶意软件（clipper malware）等。 Doppel 表示，还观察到该攻击活动的其他变种：受害者被诱导运行一条 MSHTA 命令，该命令指向一个仿冒谷歌的域名（如 “wl.google-587262 [.] com”），随后从该域名获取并执行远程恶意脚本。 Doppel 的安全研究员阿尔什・贾瓦（Aarsh Jawa）指出：“AutoHotkey（AHK）是基于 Windows 系统的脚本语言，最初用于自动化重复操作，例如模拟键盘输入、鼠标点击等。” “尽管长期以来，高级用户与系统管理员因其简洁性和灵活性而广泛使用 AHK，但早在 2019 年左右，攻击者就开始将其武器化，用于制作轻量级恶意软件加载器与信息窃取工具。这些恶意脚本通常伪装成无害的自动化工具或技术支持程序。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家发现，与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报（CTI）平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成，并将该活动与被称为“传染性面试”（Contagious Interview）的黑客集群联系起来，该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。 报告显示，在2025年3月至6月期间，该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内，黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址，不过Validin迅速封锁了这些账户。尽管如此，黑客又使用了新注册的域名创建了新账户回来。 持续尝试与策略调整 这些威胁行为者表现出极强的持久性，在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据，包括疑似使用Slack即时共享搜索结果。 黑客并未对其基础设施进行大规模更改以避免被发现，而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后，仍能维持较高的受害者接触频率。 基础设施侦察与操作安全（OPSEC）失误 研究人员观察到，该组织使用Validin不仅是为了追踪自身被发现的迹象，还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明，其正努力避免使用已被标记的资产。 然而，一些操作安全上的失误暴露了日志文件和目录结构，为了解其工作流程提供了罕见视角。 调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时，这些应用会发送电子邮件警报，并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间，主要来自加密货币行业的230多人受到影响。 活动目标与更广泛的影响 根据SentinelLabs的说法，“传染性面试”活动主要服务于朝鲜获取收入的需求，通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施，但其韧性来自于快速的重新部署和持续的受害者获取。 SentinelLabs解释称：“鉴于其活动在接触目标方面持续成功，对威胁行为者而言，部署新基础设施可能比维护现有资产更务实、更高效。” 报告强调，求职者保持警惕仍然至关重要，尤其是在加密货币领域。基础设施提供商也扮演着关键角色，快速的查封能显著干扰这些操作。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文