HackerNews 编译，转载请注明出处： 最新研究显示，尽管多数高管和员工自信能识别钓鱼诈骗，但实际判断错误率极高。网络罪犯往往无需入侵公司系统，只需诱导员工点击恶意邮件即可得手。 网络安全公司Dojo对2000名英国员工和高管的调研揭示令人警醒的事实：56%的参与者无法辨别真实邮件与钓鱼诈骗，尽管他们普遍对自身识别能力高度自信。这种现象不仅存在于基层员工——高管群体同样容易中招，尤其面对人工智能生成的钓鱼攻击时。2025年英国企业遭遇钓鱼攻击的比例已达85%（较去年上升2%），但仍有27%的企业高层将网络安全视为次要事务。 核心数据披露 识别能力缺陷：53%受访者未能识别测试中的钓鱼邮件；仅38%能准确挑出测试组中两封真实邮件 高管表现矛盾：识别商业通讯工具(Slack)和密码管理应用(Dashlane)真实邮件的正确率达58%（远超普通员工的36%），但66%高管未能识破AI生成的钓鱼邮件（尽管90%自称有信心） 经典诈骗漏洞：47%未发现虚假Google警报邮件的危险信号；57%误信伪造的Google表格邀请；48%未察觉伪造Dropbox消息的虚假网址 AI诈骗成功率：64%普通员工和66%高管被AI生成的诈骗邮件欺骗 测试方法 研究团队向2000名参与者（含高管与普通员工）发送六封邮件：三封为通用内容，三封针对不同职级定制，并额外加入AI生成的钓鱼邮件进行测试。 AI诈骗技术升级 测试采用ChatGPT生成的钓鱼邮件，模仿Google警报风格并植入虚假网址（如no-reply@google-alerts.com），制造紧迫感诱导下载文件。这类邮件成功欺骗了64%普通员工。经典CEO诈骗手段同样有效：64%员工未识破伪造高管邮件，其中应届毕业生受骗率高达68%。诈骗话术强调“加急签署”“今日截止”等时间压力，刻意阻止收件人通过电话核实真伪。 高管群体漏洞 创始人群体表现最差，73%被AI生成的诈骗邮件欺骗。Dojo首席信息安全官纳维德·伊斯兰指出：“56%英国工作者无法区分钓鱼邮件，仅半数能正确定义‘钓鱼攻击’概念，这暴露了认知鸿沟。若不优先保护数据资产，企业投资将面临重大风险。” 人为因素成最大弱点 伦敦市警察局网络保护官丹尼尔·霍顿强调：“影视剧中黑客疯狂打键盘的画面纯属虚构——罪犯极少强攻系统，而是通过钓鱼攻击和社会工程学针对人。”他指出高达88%的安全漏洞源于人为失误：“无论是弱密码、不良数字习惯或误点邮件链接，网络安全始终始于人也终于人。” 企业防护建议 强化培训：超越年度安全视频形式，实施逼真钓鱼演练，培训员工查验邮件信头而非仅依赖拼写错误识别 警惕AI威胁：勿轻信“能识别深度伪造”的自信，需默认所有收件箱均为威胁载体 锁定邮件协议：采用基于域名的认证机制(DMARC, SPF, DKIM)，确保内部通讯工具无法被仿冒 重点防护前线：为频繁接触诈骗尝试的行政、接待及财务人员提供专项支持       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户向政府提交虚假退税申请，导致4700万英镑（约合6400万美元）资金被非法提取。HMRC首席执行官约翰-保罗·马克斯6月4日向议会财政委员会表示，该事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。 受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，所有受影响的纳税人不会因此承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。 HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测这可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。 税务部门发言人重申，此次事件属于“利用外部获取的个人信息实施欺诈”，并非针对HMRC系统的网络攻击。该机构正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌警告称，专业从事语音钓鱼（vishing）攻击的黑客组织UNC6040正针对Salesforce客户发起大规模数据窃取与勒索活动。该组织通过电话伪装成IT支持人员，诱骗目标企业员工授权恶意应用访问其Salesforce门户。 攻击过程中，UNC6040引导受害者访问Salesforce连接应用设置页面，诱导其批准经恶意篡改的Data Loader应用（Salesforce官方数据导入工具）的未授权版本。一旦获得访问权限，攻击者即可窃取企业Salesforce环境中的敏感信息，并利用这些数据实施勒索——部分案例中勒索行为发生在入侵数月后。 谷歌强调：“此类访问权限不仅直接导致数据外泄，更常成为横向渗透的跳板，使攻击者得以入侵其他云服务及企业内部网络。” 观测发现UNC6040利用Data Loader工具窃取数据后，已横向移动至Microsoft 365、Okta及Workplace等平台。 谷歌指出，所有案例中UNC6040仅依赖社会工程学实现初始入侵，未利用Salesforce平台漏洞（Salesforce数月前已预警此类攻击）。本次持续数月的攻击已波及美洲和欧洲约20家机构，涵盖教育、酒店、零售等多领域，具有明显的投机性特征。 该组织声称与臭名昭著的ShinyHunters黑客团伙存在关联（谷歌推测实为虚张声势），试图借此向受害者施压。其攻击基础设施同时托管用于钓鱼Okta凭证的欺诈面板，通话中还会索要用户密码及多因素认证码。 谷歌溯源发现，UNC6040的攻击策略与黑客团体“The Com”（Scattered Spider隶属该组织）高度重合，包括：通过IT支持实施社会工程、窃取Okta凭证、重点针对跨国企业英语用户等。这反映出威胁行为体正将IT支持人员作为入侵企业数据的核心突破口，凸显出日益严峻的安全趋势。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业，攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统，诱导受害者在Windows设备上运行恶意脚本。 该攻击活动自2024年11月活跃至今，在2025年3月达到高峰，占其总攻击量的47%。攻击者发送冒充Booking.com的邮件，要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面，触发恶意软件下载流程。 ClickFix页面提示用户完成“验证步骤”，要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马（RAT）或信息窃取程序。据监测数据显示，53%的攻击载荷为XWorm远程木马，其余主要为Pure Logs窃密程序与DanaBot恶意软件。 近期攻击邮件呈现新特征： 以酒店声誉受损为威胁，设置24小时紧急处理期限 伪造客户预订需求，要求提前入住或特殊设施安排 发送虚假确认函，诱导员工点击恶意链接响应 部分变种甚至模仿Cookie同意弹窗，用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体，此类手法目前仍属少数。 该技术标志着钓鱼方法的转变：用户并非直接下载文件，而是在三步骤中无意执行恶意脚本： 验证码页面将隐藏脚本植入剪贴板 诱导受害者打开Windows运行命令框 粘贴并执行脚本以激活恶意程序 部分脚本末端伪装成验证码，进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识，但也观察到模仿Cloudflare等服务的变种。 该攻击活动的持续演进和高成功率，正使住宿与餐饮服务行业面临日益严峻的安全挑战。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一场新的鱼叉式钓鱼攻击活动正在利用名为 Netbird 的合法远程访问工具，针对欧洲、非洲、加拿大、中东和南亚地区的银行、能源公司、保险公司和投资公司的首席财务官（CFO）和财务高管。 “这似乎是一场多阶段的钓鱼行动，攻击者的目标是在受害者的计算机上部署 NetBird，一种基于 WireGuard 的合法远程访问工具，” Trellix 研究员 Srini Seethapathy 在一份分析报告中表示。该活动由该网络安全公司于 2025 年 5 月中旬首次发现，尚未归因于任何已知的威胁行为者或组织。 攻击的起点是一封冒充 Rothschild & Co 公司招聘人员的钓鱼邮件，声称提供该公司的“战略机会”。该邮件旨在诱使收件人打开一个声称是 PDF 附件的内容，实际上这是一个钓鱼链接，会将他们重定向到一个托管在 Firebase 应用上的 URL。 此次感染的一个显著特点是，真正的重定向 URL 以加密形式存储在页面中，只有在受害者通过验证码（CAPTCHA）验证检查后才能访问，最终导致下载一个 ZIP 压缩包。 “解决验证码谜题会执行一个 [JavaScript] 函数，该函数使用硬编码密钥对其进行解密，并将用户重定向到解密后的链接，” Seethapathy 说。“攻击者越来越依赖这些自定义的验证码关卡，希望能绕过那些已经标记了受 Cloudflare Turnstile 或 Google reCAPTCHA 保护的钓鱼网站的防御系统。” 压缩包中包含一个 Visual Basic 脚本（VBScript），负责从外部服务器检索下一阶段的 VBScript 并通过 “wscript.exe” 启动它。这个第二阶段的 VBScript 下载器随后从同一服务器获取另一个有效载荷，将其重命名为 “trm.zip”，并从中提取两个 MSI 文件：NetBird 和 OpenSSH。 最后阶段涉及在受感染主机上安装这两个程序、创建一个隐藏的本地账户、启用远程桌面访问，并通过计划任务（例如在系统重启时自动启动）使 NetBird 持久化。该恶意软件还会删除任何 NetBird 桌面快捷方式，以确保受害者无法发现入侵。 Trellix 表示，他们还识别出另一个活跃了近一年的重定向 URL，提供相同的 VBScript 有效载荷，表明该活动可能已存在一段时间。 这些发现再次表明，对手越来越依赖合法的远程访问应用程序（如 ConnectWise ScreenConnect、Atera、Splashtop、FleetDeck 和 LogMeIn Resolve）来建立持久性，并利用其深入受害者网络，同时规避检测。 “这次攻击并非典型的钓鱼骗局，” Seethapathy 说。“它精心设计、目标明确、手法隐蔽，旨在绕过技术和人员的防御。这是一个多阶段的攻击，对手利用社会工程学和防御规避技术来创建并维持对受害者系统的持久访问。” 该披露恰逢在野发现各种基于电子邮件的社交工程活动： 滥用与知名日本互联网服务提供商 (ISP) 关联的可信域名发送钓鱼邮件，邮件地址为 “company@nifty[.]com”，试图绕过电子邮件身份验证检查并窃取凭证。 滥用 Google Apps Script 开发平台托管看似合法的钓鱼页面，通过发票主题的邮件诱饵窃取 Microsoft 登录凭证。 模仿 Apple Pay 发票窃取敏感用户数据，包括信用卡详情和 Yahoo Mail 账户信息。 滥用 Notion 工作区托管钓鱼页面，诱使用户点击链接，在查看共享文档的幌子下将受害者带到虚假的 Microsoft 登录页面，并通过 Telegram 机器人窃取凭证。 利用 Microsoft Office 中一个存在多年的安全漏洞 (CVE-2017-11882) 来投递隐藏在虚假 PNG 文件中的 Formbook 恶意软件变种，并从受感染主机窃取敏感数据。 这些发现也出现在 Trustwave 详细说明 Tycoon 和 DadSec（又名 Phoenix）钓鱼工具包之间运营联系之际，强调了它们的基础设施重叠以及集中式钓鱼基础设施的使用。DadSec 是由 Microsoft 以代号 Storm-1575 追踪的威胁行为者的作品。 “DadSec 使用的基础设施也与一个利用 ‘Tycoon 2FA’ 钓鱼即服务 (PhaaS) 平台的新活动相关联，” Trustwave 研究人员 Cris Tomboc 和 King Orande 说。“对 Tycoon2FA 钓鱼工具包的调查揭示了对手如何在钓鱼即服务 (PhaaS) 生态系统中持续完善和扩展其策略。” PhaaS 服务日益普及的证据是，出现了一个名为 Haozi 的新“即插即用”中文工具包。据估计，该工具包在过去五个月中通过向第三方服务销售广告，促成了价值超过 28 万美元的犯罪交易。它以每年 2000 美元的订阅费运营。 “与需要攻击者手动配置脚本或基础设施的传统钓鱼工具包不同，Haozi 提供了一个简洁的公共网络面板，” Netcraft 说。“一旦攻击者购买服务器并将其凭据输入面板，钓鱼软件就会自动设置，无需运行任何命令。” “这种无摩擦的设置与其他 PhaaS 工具（如支持 AI 的 Darcula 套件）形成对比，后者仍需少量命令行操作。” 除了支持管理员面板（用户可以在一个地方管理所有活动）外，Haozi 还被发现提供广告位，充当中间人连接钓鱼工具包买家与第三方服务（例如与短信供应商相关的服务）。 Haozi 区别于其他工具包的另一个方面是，它有一个专门的售后 Telegram 频道 (@yuanbaoaichiyu)，帮助客户调试问题和优化活动，这使其成为那些没有技术专长的网络犯罪新手的诱人选择。 “随着企业安全团队在检测和应对入侵尝试方面变得更加有效，攻击者正在部署社会工程学和钓鱼诈骗等策略，这些策略不需要突破加固的边界，” Netcraft 研究员 Harry Everett 说。 “PhaaS 产品通过自动化和社区支持降低了技能门槛并扩大了活动规模。这些新模式运作起来更像是 SaaS 企业而非黑市黑客组织，拥有订阅定价、客户服务和产品更新等全套服务。” Microsoft 在上周发布的一份公告中进一步揭示了随着多因素身份验证 (MFA) 的普及，PhaaS 平台如何日益推动中间人攻击 (AiTM) 凭证钓鱼。 其他一些技术包括设备代码钓鱼；OAuth 同意钓鱼（威胁行为者利用开放授权 (OAuth) 协议发送包含第三方应用程序恶意同意链接的电子邮件）；设备加入钓鱼（威胁行为者使用钓鱼链接诱骗目标授权其控制的设备加入域）。 这家 Windows 制造商表示，观察到疑似与俄罗斯有关的威胁行为者使用第三方应用程序消息或提及即将举行的会议邀请的电子邮件来投递包含有效授权码的恶意链接。设备加入钓鱼技术由 Volexity 在 2025 年 4 月首次记录。 “虽然最终用户和自动化安全措施在识别恶意钓鱼附件和链接方面都变得更有能力，但动机明确的威胁行为者继续依赖利用人类行为进行有说服力的诱骗，” Microsoft 身份部门企业副总裁兼副首席信息安全官 Igor Sakhnov 表示，“由于这些攻击依赖于欺骗用户，用户培训和了解常见的社会工程学技术是防御它们的关键。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，仿冒杀毒软件厂商Bitdefender的钓鱼网站正被用于分发VenomRAT远程控制木马及两款恶意工具，形成三重攻击链。该仿冒网站界面高度还原官方下载页面，但用户点击“DOWNLOAD FOR WINDOWS”按钮后，实际下载的是托管在Bitbucket与Amazon S3平台的恶意安装包。 安装包内含名为StoreInstaller.exe的可执行文件，经分析发现其捆绑了VenomRAT、StormKitty和SilentTrinity三个恶意家族的代码模块。DomainTools研究团队指出，攻击者通过模块化组合实现多重渗透： VenomRAT：基于开源项目Quasar RAT改造，具备键盘记录、凭证窃取与远程命令执行能力，建立持久控制通道 StormKitty：专门窃取加密货币钱包数据及系统登录凭证 SilentTrinity：采用隐蔽通信协议实施数据外泄，维持长期潜伏 技术溯源显示，相关恶意样本均配置相同C2服务器（67.217.228[.]160:4449与157.20.182[.]72:4449），且部分样本共享远程桌面协议（RDP）配置参数，证实攻击活动由同一组织操控。攻击者还注册多个仿冒银行与IT服务登录页的钓鱼域名，包括仿造亚美尼亚IDBank的idram-secure[.]live、伪装加拿大皇家银行的royalbanksecure[.]online，以及假冒微软门户的dataops-tracxn[.]com，域名注册时间与基础设施存在关联性。 此次攻击凸显开源恶意工具的低门槛化趋势，攻击者通过组合现有框架快速构建攻击套件。研究人员强调，虽然开源特征有助于防御方识别攻击模式，但也显著提升了攻击效率与规模。建议用户从官方渠道验证下载文件，避免在可疑页面提交敏感信息，并对邮件附件与链接保持警惕。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起新型恶意活动，攻击者利用仿冒Bitdefender的虚假杀毒软件下载网站，诱导用户下载名为VenomRAT的远程访问木马。此次攻击的仿冒网站“bitdefender-download[.]com”宣称提供Windows版杀毒软件下载，用户点击页面显眼的“Download for Windows”按钮后，会触发从Bitbucket仓库重定向至亚马逊S3存储桶的文件下载流程。目前该Bitbucket账户现已被封禁。 下载的ZIP压缩包（BitDefender.zip）包含名为StoreInstaller.exe的可执行文件，经分析发现其整合了VenomRAT木马配置、开源后期利用框架SilentTrinity以及StormKitty信息窃取器。VenomRAT作为Quasar RAT的变种，具备数据收集与持久化远程控制能力。DomainTools情报团队指出，该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名存在关联，这些域名此前已被用于窃取登录凭证的钓鱼活动。 攻击技术链显示，VenomRAT负责建立隐蔽通道，StormKitty窃取密码与数字钱包信息，SilentTrinity则确保攻击者维持控制权。研究人员强调：“该活动采用模块化开源组件构建的恶意软件体系，这种’自组装’策略显著提升了攻击效率与隐蔽性。” 同期曝光的另一起ClickFix式攻击活动中，攻击者伪造谷歌Meet页面，利用虚假的“麦克风权限被拒绝”错误提示诱导用户执行特定PowerShell命令，从而部署名为noanti-vm.bat的混淆批处理脚本实现远程控制。此外，针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台绕过SPF、DKIM等邮件安全协议，通过动态生成唯一案例ID规避传统检测系统。钓鱼邮件伪装成Facebook支持团队，以24小时内提交申诉为由诱骗用户点击链接，跳转至中间人钓鱼页面窃取双因素认证代码。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： npm软件包注册表中发现多达60个恶意软件包，这些软件包具有收集主机名、IP地址、DNS服务器和用户目录至Discord控制端点的恶意功能。软件供应链安全公司Socket的研究员基里尔·博伊琴科在上周发布的报告中表示，这些由三个不同账户发布的软件包包含在npm安装期间触发的安装时脚本。这些库已被累计下载超过3,000次。 该公司表示：“该脚本针对Windows、macOS或Linux系统，并包含基本的沙箱逃逸检查，使得每个受感染的工作站或持续集成节点都成为有价值侦察信息的潜在来源。”三个账户的名称如下，每个账户在11天内发布了20个软件包，这些账户现已不存在于npm上： bbbb335656 cdsfdfafd1232436437 sdsds656565 根据Socket的说法，该恶意代码明确设计用于对每台安装该软件包的机器进行指纹识别，同时在检测到运行于与亚马逊、谷歌等相关的虚拟化环境时中止执行。收集的信息（包括主机详细信息、系统DNS服务器、网络接口卡（NIC）信息以及内部和外部IP地址）随后被传输至Discord网络钩子。 “通过收集内部和外部IP地址、DNS服务器、用户名和项目路径，它使威胁行为者能够绘制网络图并识别未来活动的高价值目标，”博伊琴科表示。 该披露紧随另一组八个npm软件包之后，这些软件包伪装成React、Vue.js、Vite、Node.js和开源Quill Editor等广泛使用的JavaScript框架的辅助库，但在安装后部署破坏性有效载荷。它们已被下载超过6,200次，目前仍可从仓库下载： vite-plugin-vue-extend quill-image-downloader js-hood js-bomb vue-plugin-bomb vite-plugin-bomb vite-plugin-bomb-extend vite-plugin-react-extend “这些软件包伪装成合法插件和实用程序，同时秘密包含旨在破坏数据、删除关键文件和崩溃系统的破坏性有效载荷，却未被检测到，”Socket安全研究员库什·潘迪亚表示。已发现部分软件包在开发人员于项目中调用时会自动执行，实现与Vue.js、React和Vite相关文件的递归删除。其他软件包则设计用于破坏基本JavaScript方法或篡改localStorage、sessionStorage和cookie等浏览器存储机制。 值得注意的另一个软件包是js-bomb，它不仅删除Vue.js框架文件，还会根据执行时的当前时间发起系统关机。该活动被追踪至名为xuxingfeng的威胁行为者，其还发布了五个正常运行的合法非恶意软件包。部分恶意软件包发布于2023年。“这种同时发布有害和有益软件包的双重策略营造了合法性表象，使得恶意软件包更可能被信任和安装，”潘迪亚表示。 这些发现还紧随一项新型攻击活动的披露，该活动将传统电子邮件钓鱼与作为恶意npm软件包（伪装成良性开源库）组成部分的JavaScript代码相结合。“一旦建立通信，该软件包就会加载并交付第二阶段脚本，该脚本使用受害者的电子邮件地址定制钓鱼链接，将其引导至旨在窃取其凭证的伪造Office 365登录页面，”Fortra研究员伊斯雷尔·塞尔达表示。 攻击的起点是包含恶意.HTM文件的钓鱼邮件，该文件包含托管在jsDelivr并与现已删除的名为citiycar8的npm软件包相关联的加密JavaScript代码。安装后，嵌入在软件包中的JavaScript有效载荷被用于发起URL重定向链，最终将用户引导至旨在捕获其凭证的虚假登录页面。 “这次钓鱼攻击展现了高度复杂性，威胁行为者将AES加密、通过CDN交付的npm软件包和多次重定向等技术相链接以掩盖其恶意意图，”塞尔达表示。“此次攻击不仅说明了攻击者试图逃避检测的创造性方式，还突显了在不断演变的网络安全威胁环境中保持警惕的重要性。” 滥用开源存储库进行恶意软件分发已成为大规模实施供应链攻击的成熟方法。最近几周，微软Visual Studio Code（VS Code）市场中也发现了恶意数据窃取扩展程序，这些扩展程序旨在通过针对Windows上的Solidity开发者来窃取加密货币钱包凭证。 Datadog安全研究团队将该活动归因于其追踪为MUT-9332的威胁行为者。扩展程序名称如下： solaibot among-eth blankebesxstnion “这些扩展程序伪装成合法程序，在真实功能中隐藏有害代码，并使用与Solidity相关且通常不会被标记为恶意的命令控制域，”Datadog研究人员表示。“所有三个扩展程序都采用了涉及多阶段混淆恶意软件的复杂感染链，其中一个扩展程序使用了隐藏在互联网档案馆托管图像文件中的有效载荷。” 具体而言，这些扩展程序被宣传为Solidity开发者提供语法扫描和漏洞检测功能。虽然它们提供真实功能，但这些扩展程序也设计用于交付窃取受害者Windows系统加密货币钱包凭证的恶意有效载荷。这三个扩展程序现已被下架。 VS Code扩展程序的最终目标是植入基于Chromium的恶意浏览器扩展程序，该扩展程序能够掠夺以太坊钱包并将其泄露至命令与控制（C2）端点。它还被配置为安装单独的可执行文件，该文件可禁用Windows Defender扫描、扫描Discord、基于Chromium的浏览器、加密货币钱包和Electron应用的应用程序数据目录，并从远程服务器检索和执行额外有效载荷。 MUT-9332还被评估为最近披露活动的幕后黑手，该活动涉及使用10个恶意VS Code扩展程序（通过伪装成编码或人工智能工具）安装XMRig加密货币挖矿程序。“此次活动展示了MUT-9332在隐藏恶意意图方面令人惊讶的创造性手段，”Datadog表示。“这些有效载荷更新表明该活动可能会持续进行，而首批恶意VS Code扩展程序的检测和删除可能促使MUT-9332在后续活动中改变策略。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。 网络安全公司DomainTools调查发现，攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站，诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限，可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码，甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略（CSP）。 部分恶意扩展被检测到与超过100个仿冒网站相关联，其中一些网站嵌入了Facebook追踪ID，暗示攻击者可能通过Meta平台（如群组、广告）进行传播。用户安装后，扩展会窃取浏览器Cookie、建立WebSocket代理通道，并操控流量实现重定向攻击。 尽管Google已下架相关扩展，但安全专家指出，攻击者通过在应用商店和常规搜索结果中同时存在虚假页面，大幅提升用户中招概率。更隐蔽的是，部分扩展（如仿冒DeepSeek的案例）将低分评价用户重定向至私人反馈表单，而高分评价则正常显示在官方页面，以此伪造虚假好评。 DomainTools建议用户仅从认证开发者处下载扩展，安装前仔细审查权限请求，警惕名称相似的仿冒应用。同时提醒，评分系统可能被恶意过滤负面评价所操控，需结合多方信息综合判断。目前尚未明确攻击者身份，相关调查仍在进行中。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文