HackerNews 编译，转载请注明出处： 被称为 Bloody Wolf 的威胁行为者被确认参与了一场针对乌兹别克斯坦和俄罗斯的攻击行动，旨在使用名为 NetSupport RAT 的远程访问木马感染系统。 网络安全供应商 Kaspersky 以 Stan Ghouls 为代号追踪此次活动。据知，该威胁行为者至少自 2023 年以来一直活跃，针对俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦的制造业、金融业和 IT 行业组织鱼叉式钓鱼攻击。 据估计，此次行动已导致乌兹别克斯坦约 50 名受害者受损，俄罗斯也有 10 台设备受到影响。在哈萨克斯坦、土耳其、塞尔维亚和白俄罗斯也发现了其他感染案例，但程度较轻。政府组织、物流公司、医疗机构和教育机构的设备上也记录到了感染企图。 Kaspersky 指出：“鉴于 Stan Ghouls 以金融机构为目标，我们认为其主要动机是经济利益。也就是说，他们大量使用远程访问木马也可能暗示其进行网络间谍活动。” 滥用 NetSupport（一款合法的远程管理工具）对该威胁行为者而言是一种转变，其先前在攻击中利用的是 STRRAT（又名 Strigoi Master）。2025年11月，Group-IB 记录了针对吉尔吉斯斯坦实体以分发该工具的钓鱼攻击。 攻击链相当直接，即使用携带恶意 PDF 附件的钓鱼邮件作为触发感染的跳板。PDF 文档中嵌有链接，点击后会下载一个执行多项任务的恶意加载器： ·     显示虚假错误信息，让受害者误以为应用程序无法在其计算机上运行。 ·     检查此前的远程访问木马安装尝试次数是否少于三次。 ·     若次数达到或超过限制，加载器会抛出错误信息：“尝试次数已达上限。请尝试另一台计算机。” ·     从多个外部域名之一下载 NetSupport 远程访问木马并启动它。 ·     通过以下方式确保 NetSupport 远程访问木马的持久性：在启动文件夹中配置自启动脚本，在注册表的自启动项中添加 NetSupport 启动脚本 (“run.bat”)，并创建一个计划任务来触发执行同一个批处理脚本。 Kaspersky 表示，还在与 Bloody Wolf 相关的基础设施上发现了暂存的 Mirai 僵尸网络载荷，这增加了该威胁行为者可能已扩展其恶意软件库以针对物联网设备的可能性。 该公司总结道：“此次行动已攻击超过 60 个目标，对于一个复杂的定向攻击活动而言，数量非常庞大。这表明这些行为者愿意为其行动投入大量资源。” 此次披露恰逢多起针对俄罗斯组织的网络攻击活动，其中包括 ExCobalt 发起的攻击。ExCobalt 利用已知的安全漏洞和从承包商处窃取的凭证来获取对目标网络的初始访问权限。Positive Technologies 将该对手描述为攻击俄罗斯实体的“最危险组织”之一。 这些攻击的特点是使用各种工具，并试图从受感染的主机窃取 Telegram 凭证和消息历史记录，以及通过向登录页面注入恶意代码来窃取 Outlook Web Access 凭证： ·     CobInt，该组织使用的已知后门。 ·     勒索软件，如 Babuk 和 LockBit。 ·     PUMAKIT，一个用于提升权限、隐藏文件和目录、以及隐藏自身不被系统工具发现的内核级 Rootkit，其早期版本包括 Facefish（2021年2月）、Kitsune（2022年2月）和 Megatsune（2023年11月）。BI.ZONE 将 Kitsune 的使用与一个被称为 Sneaky Wolf（又名 Sneaking Leprechaun）的威胁集群联系起来。 ·     Octopus，一个基于 Rust 的工具包，用于在受感染的 Linux 系统中提升权限。 Positive Technologies 表示：“该组织改变了初始访问的策略，将关注重点从利用互联网上可访问的企业服务（例如 Microsoft Exchange）中的 1-day 漏洞，转移到通过承包商渗透主要目标的基础设施。” 俄罗斯的国家机构、科学企业和 IT 组织也成为了一个此前未知的、被称为 Punishing Owl 的威胁行为者的目标，该组织采取窃取数据并在暗网上泄露的手段。该组织疑似具有政治动机的黑客行动主义实体，自 2025 年 12 月以来一直活跃，其一个社交媒体账户由来自哈萨克斯坦的管理员操作。 攻击使用带有密码保护 ZIP 压缩包的钓鱼邮件，打开后内含一个伪装成 PDF 文档的 Windows 快捷方式（LNK）文件。打开 LNK 文件会导致执行 PowerShell 命令，从远程服务器下载一个名为 ZipWhisper 的窃密程序，以收集敏感数据并将其上传到同一服务器。 另一个将目标对准俄罗斯和白俄罗斯的威胁集群是 Vortex Werewolf。攻击的最终目标是部署 Tor 和 OpenSSH，以便于实现持久的远程访问。该活动此前于 2025 年 11 月由 Cyble 和 Seqrite Labs 曝光，后者称此活动为 Operation SkyCloak。 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一起新型攻击活动的细节：攻击者以 WhatsApp 为传播载体，向巴西用户投放一款名为 Astaroth 的 Windows 银行木马。 该攻击活动被安克诺斯威胁研究团队命名为 “粉红河豚”。 这家网络安全公司在提交给thehackernews的一份报告中指出：“该恶意软件会获取受害者的 WhatsApp 联系人列表，并自动向每位联系人发送恶意消息，以此扩大感染范围。 报告还提到：“Astaroth 木马的核心程序仍由德尔福语言编写，安装程序则依托 VB 脚本运行；而此次新增的 WhatsApp 蠕虫模块，完全采用 Python 语言开发。这一特征凸显出威胁攻击者正越来越多地使用多语言模块化组件。” Astaroth 木马又名 “吉尔达马”，自 2015 年起便在网络环境中被发现，其攻击目标主要集中在拉美地区，尤其是巴西，攻击目的是窃取用户数据。2024 年，安全人员监测到多个威胁集群（代号分别为 “菠萝” 和 “水玛卡拉”）通过钓鱼邮件传播该木马。 对巴西用户而言，利用 WhatsApp 传播银行木马是一种新兴攻击手段，其兴起的原因在于这款即时通讯软件在巴西的极高普及率。就在上月，趋势科技曾披露另一威胁集群 “水萨西”，同样借助 WhatsApp 传播 “特立独行” 木马和 “卡斯巴内罗” 木马变种。 2025 年 11 月，赛门铁克发布的一份报告显示，该机构正在追踪一个名为 “STAC3150” 的多阶段恶意软件传播活动。该活动同样以巴西的 WhatsApp 用户为目标，传播 Astaroth 木马。受影响的设备中，超过 95% 位于巴西，另有少量分布在美国和奥地利。 这项攻击活动至少从 2025 年 9 月 24 日起就已活跃。攻击者通过发送包含下载器脚本的 ZIP 压缩包发起攻击：该脚本会获取 PowerShell 或 Python 脚本，用于收集 WhatsApp 用户数据以进一步传播；同时，压缩包内还包含一个 MSI 格式的安装程序，负责部署木马。安克诺斯此次的发现，正是这一攻击趋势的延续 —— 以 WhatsApp 消息分发 ZIP 文件，作为恶意软件感染的切入点。 安克诺斯公司介绍：“当受害者解压并打开该压缩包时，会看到一个伪装成正常文件的 VB 脚本。一旦执行该脚本，就会触发下一阶段恶意组件的下载流程，标志着设备入侵正式开始。” 恶意软件核心模块 该恶意软件包含两大核心功能模块： Python 传播模块：收集受害者的 WhatsApp 联系人信息，并自动向每位联系人转发恶意 ZIP 文件，以蠕虫传播的方式扩大感染范围。 银行木马模块：在设备后台持续运行，实时监控受害者的网页浏览行为；一旦检测到用户访问银行相关网址，便会立即激活，窃取用户登录凭证，帮助攻击者实现经济牟利。 安克诺斯公司还指出：“恶意软件的开发者还内置了一套实时追踪和上报传播数据的机制。该程序会定期记录传播统计数据，包括成功发送的恶意消息数量、发送失败次数，以及以‘每分钟发送条数’为单位的传播速率。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 绰号为银狐的威胁行为者将攻击目标转向印度，在钓鱼攻击活动中利用个人所得税相关诱饵，分发一款名为谷鼠远程控制木马（又名 “温诺斯 4.0”）的模块化远程控制木马。 CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出：“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链，以此确保恶意程序能够长期驻留目标设备。” 银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号，该组织是一个源自中国的激进网络犯罪团伙，自 2022 年起便持续活跃。 该组织实施的攻击活动类型多样，动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面，是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。 银狐的攻击目标最初以中文用户及相关机构为主，如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式，投放谷鼠远程控制木马、幽灵变种木马、牵手木马（又名 “幽灵文件木马”）等多款幽灵远程控制木马变种。 云安科梳理的攻击感染链条显示，攻击者会发送伪装成印度所得税部门的钓鱼邮件，邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF，就会被引导至 “ggwk [.] cc” 恶意域名，进而下载一个名为 “税务事宜.zip” 的压缩包。 该压缩包内包含一个同名的 Nullsoft 脚本安装程序（“税务事宜.exe”），该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件，以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。 这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作，确保恶意软件能在受感染主机上不受阻碍地运行，随后会关闭 Windows 更新服务，并充当 “甜甜圈加载器” 的载体，最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。 谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令，其采用插件化架构，能够灵活扩展功能，支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。 云安科表示：“常驻于注册表的插件与延迟信标机制，使这款远程控制木马在设备重启后仍能存活，同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值，开展针对性的凭据窃取与监视活动。” 与此同时，英国国家计算机应急响应小组指出，他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板（“ssl3 [.] space”）。该面板针对多款常用软件（包括微软团队办公软件）的恶意安装程序进行下载量统计，具体包含以下信息： 托管后门安装程序的恶意网页 钓鱼网站下载按钮的日点击量 下载按钮自上线以来的累计点击量 调查发现，银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示，至少有 217 次点击来自中国，其次为美国（39 次）、中国香港（29 次）、中国台湾（11 次）以及澳大利亚（7 次）。 该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示：“银狐借助搜索引擎优化投毒手段，分发了至少 20 款常用应用的后门安装程序，涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构，攻击最早可追溯至 2025 年 7 月，同时在亚太、欧洲、北美等地区也造成了额外的受害案例。” 通过这些虚假网站分发的压缩包内，包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表，通过计划任务实现恶意程序持久化，随后连接远程服务器获取谷鼠远程控制木马的有效载荷。 值得注意的是，瑞利奎斯特公司近期发布的一份报告指出，银狐黑客组织在针对中国境内机构发起攻击时，曾仿冒俄罗斯威胁行为者的攻击特征，并使用与微软团队相关的钓鱼诱饵网站，试图混淆攻击溯源方向。 英国国家计算机应急响应小组强调：“该管理面板的数据显示，来自中国内地的点击量达数百次，且受害者遍布亚太、欧洲、北美等多个地区，这印证了此次攻击活动的波及范围之广，以及其针对中文用户的精准战略定位。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款名为MacSync的新型 macOS 窃密木马变种，该木马通过一款经过数字签名与公证的 Swift 应用传播，此应用伪装成即时通讯软件安装程序，以此绕过苹果的 Gatekeeper 安全验证机制。 “不同于早期主要依赖‘拖拽至终端’或‘一键修复’类技术的 MacSync 窃密木马变种，该样本采用了更具欺骗性、无需用户手动操作的攻击手段。”Jamf 公司安全研究员泰斯・哈夫莱尔表示。 这家苹果设备管理与安全企业指出，该最新变种以经过代码签名和公证的 Swift 应用形式，封装在名为zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像文件中，文件托管于恶意域名zkcall[.]net/download。 由于这款应用经过签名和公证，它可以在苹果设备上运行，且不会被 Gatekeeper、XProtect 等系统内置安全工具拦截或标记。即便如此，研究人员发现该安装程序仍会显示引导用户右键打开应用的说明 —— 这是一种绕开系统安全防护的常用手段。目前苹果已吊销了该程序对应的代码签名证书。 这款基于 Swift 语言开发的释放器，在通过辅助组件下载并执行编码脚本前，会执行一系列前置检查操作，包括验证网络连接状态、设置约 3600 秒的最小执行间隔以限制运行频率、移除文件的隔离属性，以及在执行前对文件进行有效性验证。 “值得注意的是，该变种用于获取载荷的 curl 命令，与早期版本存在明显差异。” 哈夫莱尔解释道，“它没有使用常见的-fsSL参数组合，而是拆分为-fL和-sS两个参数，同时新增了--noproxy等额外选项。” “这些改动，再加上动态填充变量的使用，表明攻击者在载荷的获取与验证方式上进行了刻意调整，其目的很可能是提升攻击可靠性或规避检测。” 该攻击活动还采用了另一种规避手段：制作异常大容量的磁盘镜像文件。通过嵌入无关的 PDF 文档，将镜像文件的大小扩充至 25.5MB。 经解析，这款经 Base64 编码的恶意载荷正是 MacSync 窃密木马，它是 2025 年 4 月首次出现的 Mac.c 木马的更名版本。据 MacPaw 公司月锁实验室分析，MacSync 内置了功能完备的 Go 语言代理程序，其功能已不局限于简单的数据窃取，还可实现远程控制操作。 值得一提的是，研究人员还发现攻击者曾使用伪装成谷歌会议（Google Meet）、带代码签名的恶意磁盘镜像文件，传播奥德赛（Odyssey）等其他 macOS 窃密木马。不过就在上个月，威胁攻击者仍在通过未签名的磁盘镜像文件传播数字窃密木马（DigitStealer）。 Jamf 公司指出：“这种传播方式的转变，折射出 macOS 恶意软件领域的一个普遍趋势 —— 攻击者正越来越多地尝试将恶意程序植入经过签名和公证的可执行文件中，使其外观更接近合法应用。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子想出了一个狡猾的办法，他们将恶意文件伪装成正规招聘文件，以此向求职者的电脑植入恶意程序。 这场名为 “ValleyRAT” 的新型攻击活动，主要通过发送包含虚假工作机会和公司资料的邮件，针对正在积极求职的人群发起攻击。 攻击借助压缩文件传播，这些文件的命名刻意营造专业感，例如 “岗位职责概述.zip” 或 “求职者技能评估测试.rar” 等。毫无防备的求职者一旦打开这类文件，就会在不知情的情况下，让一款危险的远程控制木马侵入自己的电脑。 该攻击活动的核心手段是利用广受欢迎的福昕 PDF 阅读器发起攻击。每个恶意压缩包内都藏有一个伪装后的可执行文件，这个文件不仅冒充正版福昕应用程序，还配有该软件辨识度极高的专属图标。用户看到熟悉的 PDF 图标，便会误以为只是打开一份普通文档，丝毫没有察觉文件中藏有企图控制自己电脑的恶意程序。 除了这一初始伪装手段外，网络犯罪分子还运用了一种名为 “动态链接库侧加载” 的技术来激活恶意负载，整个过程不会触发任何安全警报。 趋势科技的安全研究人员发现，10 月下旬峡谷远程控制木马的检测量出现大幅激增，随后经深入调查锁定了这场技术高超的攻击活动。该恶意程序之所以能成功实施攻击，是因为它整合了多种攻击技术，且这些技术的协同运作堪称天衣无缝。 攻击者还借助社会工程学手段趁虚而入 —— 他们精准抓住求职者的求职焦虑心理，降低了目标人群对下载文件的警惕性。同时，攻击者还设置了虚假文件夹结构和隐藏目录来混淆视听，进一步助力恶意程序躲避安全检测。一旦恶意程序被激活，用户屏幕上会显示一份足以以假乱真的招聘启事，而恶意程序则在后台悄然运行。 攻击链解析 该恶意程序的入侵流程经过精心设计，具体步骤如下： 当用户点击那个伪装成福昕软件的可执行文件时，Windows 系统的文件搜索机制会自动加载一个名为 “msimg32.dll” 的恶意动态链接库文件； 这一操作会触发一个批处理脚本，该脚本会从看似无害的文档文件中解压出隐藏的 Python 运行环境； 随后，Python 解释器会下载并执行一个包含壳代码的恶意脚本，最终完成峡谷远程控制木马的完整植入； 该恶意程序还会创建注册表项来实现持久化驻留，确保电脑重启后仍能正常运行。 ValleyRAT一旦成功植入，攻击者就能全面掌控受感染的设备。这款木马不仅能监控用户的操作行为、窃取网页浏览器中存储的敏感信息，还能从受感染系统中提取各类重要数据。有证据表明，它会专门窃取主流浏览器中存储的密码信息和登录凭证。这一行为不仅严重威胁用户的个人财产安全，还会对个人身份信息造成极大风险。 目前，求职者和人力资源从业者仍是该攻击活动的主要攻击目标。不过，这场攻击活动的攻击范围还在持续扩大，未来可能会波及更多人群。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为Sturnus的新型安卓银行木马具备完全控制设备的能力，其攻击目标覆盖了WhatsApp、Telegram和Signal等安全通讯软件的信息。它通过捕获屏幕内容来绕过加密通讯，能够窃取银行凭证、远程控制设备，并向用户隐藏欺诈行为。 ThreatFabric的分析显示，Sturnus恶意软件仍处于开发阶段，或目前正处于有限的测试期。然而，该木马已将中南欧的金融机构列为目标，预示着攻击者正在为更广泛的攻击活动做准备。该恶意软件功能完备，并在通信协议和设备支持方面超越了已有的木马家族。有证据表明，攻击者开展了短暂、间歇性的活动，重点针对WhatsApp、Telegram和Signal等加密通讯应用，并使用了针对特定地区的攻击模板。操作者正在积极优化其工具以捕获敏感通信，为未来更协同、大规模的攻击行动做准备。 ThreatFabric在报告中指出：”Sturnus除了针对银行应用外，还会监控前台应用。一旦受害者打开如WhatsApp、Signal或Telegram等加密通讯服务，它会自动激活其UI树收集功能。” 该恶意代码的通信模式模仿了紫翅椋鸟杂乱无章的鸣叫，会在明文、RSA和AES消息之间不可预测地切换。它通过HTTP POST请求注册设备，接收一个UUID和RSA公钥，随后生成本地AES-256密钥，用RSA公钥加密后以Base64格式存储。密钥交换完成后，它使用AES/CBC/PKCS5Padding加密所有消息，在数据前附加一个随机的初始向量，并将数据封装在自定义结构中。 Sturnus通过两个相互关联的机制窃取数据：HTML覆盖层和基于无障碍服务的键盘记录。它存储针对特定银行应用的网络钓鱼模板，并通过一个WebView显示这些模板，该WebView会捕获所有输入并将其发送到命令与控制服务器。数据外泄后，它会禁用已使用的覆盖层以避免检测。它还可以使用全屏遮挡覆盖层来隐藏其活动。 其无障碍服务会记录文本变化、点击事件、焦点切换以及完整的UI树更新，即使屏幕捕获被阻止，攻击者也能据此重构用户操作。这些功能还使该恶意软件能够提取用于解锁设备的PIN码和密码。 报告进一步说明：”由于它依赖于无障碍服务日志记录而非网络拦截，该恶意软件可以读取屏幕上出现的所有内容——包括联系人、完整的对话线程以及收发消息的内容——而且是实时进行。这使得该功能尤其危险：它通过在被合法应用解密后访问信息，完全绕开了端到端加密，让攻击者能够直接查看本应私密的对话。” Sturnus通过两种互补的捕获方法，实现了对受感染设备的完全远程控制：一是通过安卓的显示捕获框架进行实时屏幕镜像；二是在标准捕获失败时，通过无障碍事件构建屏幕截图的备用系统。随后，一个原生库通过VNC RFB协议管理会话。该恶意软件还会发送所有屏幕元素的结构化映射，跟踪点击、文本输入、滚动和应用启动，而无需使用图像。这种方法占用带宽更少，能避免屏幕捕获警报，并且即使对隐藏或受保护的元素也有效。 Sturnus通过获取设备管理员权限来增强其持久性，它会监控解锁事件、阻止用户尝试撤销其权限，并防止自身被卸载。一个庞大的监控子系统负责追踪系统变更、网络连接状态、电源状态、SIM卡更换、应用安装、root迹象以及开发者选项。Sturnus还会分析传感器、硬件和网络信息，以调整其策略、规避分析，并保持对设备的长期控制。 报告总结道：”Sturnus代表了一种复杂且全面的威胁，它实现了多种攻击向量，使攻击者能够近乎完全地控制受感染设备。基于覆盖层的凭证窃取、消息监控、广泛的键盘记录、实时屏幕流传输、远程控制、设备管理员权限滥用以及全面的环境监控相结合，对受害者的财务安全和隐私构成了极其危险的威胁。”     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 “Fantasy Hub” 的新型安卓远程访问木马（RAT）。该恶意软件以 “恶意软件即服务（MaaS）” 模式，在俄语 Telegram 频道上售卖。 据卖家介绍，这款恶意软件可实现设备控制与窃密功能，能让威胁者收集短信、联系人、通话记录、图片和视频，还可拦截、回复及删除 incoming 通知。 Zimperium 研究员维什努・普拉塔帕吉里在上周的报告中表示：“它是一款配备卖家文档、视频教程和机器人驱动订阅模式的 MaaS 产品，降低了入门门槛，方便新手攻击者使用。” “由于它瞄准金融操作流程（伪造银行弹窗）并滥用短信处理权限（拦截双因素认证短信），因此对采用自带设备办公（BYOD）的企业客户，以及员工依赖移动银行或敏感移动应用的任何组织，都构成直接威胁。” 该威胁者在 Fantasy Hub 的广告中，将受害者称为 “猛犸象”—— 这一术语常被俄语区 Telegram 网络犯罪分子使用。 这款网络犯罪工具的买家会收到相关指导，包括创建用于分发的伪造谷歌应用商店（Google Play Store）落地页，以及绕过限制的步骤。潜在买家可自定义图标、名称和页面内容，获得外观精美的伪装页面。 管理付费订阅和生成器访问权限的机器人，还支持威胁者上传任意 APK 文件，随后返回嵌入恶意有效载荷的篡改版本。该服务的订阅方案为：单用户（即一个活跃会话）每周 200 美元、每月 500 美元，也可选择每年 4500 美元的年度订阅。 与该恶意软件关联的命令与控制（C2）面板，会显示受攻陷设备的详细信息及订阅状态，还能让攻击者下发指令收集各类数据。 Zimperium 指出：“卖家指导买家创建机器人、获取聊天 ID 并配置令牌，将普通警报和高优先级警报路由至不同聊天窗口。这种设计与上月披露的安卓 RAT‘HyperRat’高度相似。” 这款恶意软件借鉴了 ClayRAT 的手法，滥用默认短信权限获取短信、联系人、相机和文件访问权。它会诱导用户将其设为默认短信处理应用，从而一次性获取多项高级权限，无需在运行时逐一申请。 已发现的投放程序（dropper app）会伪装成谷歌应用商店更新，以营造合法性，诱骗用户授予必要权限。除了通过伪造弹窗窃取阿尔法银行（Alfa）、PSB 银行、T 银行（T-Bank）和俄罗斯联邦储蓄银行（Sberbank）等俄罗斯金融机构的银行凭证外，这款间谍软件还借助开源项目，通过 WebRTC 实时流式传输摄像头和麦克风内容。 普拉塔帕吉里表示：“Fantasy Hub 这类 MaaS 服务的快速崛起，表明攻击者能轻易利用安卓合法组件实现设备完全攻陷。与仅依赖弹窗的老式银行木马不同，Fantasy Hub 整合了原生投放程序、基于 WebRTC 的实时流传输和短信处理权限滥用功能，可实时窃取数据并伪装成合法应用。” 与此同时，Zscaler ThreatLabz 披露，受精密间谍软件和银行木马推动，安卓恶意软件交易同比增长 67%。2024 年 6 月至 2025 年 5 月期间，谷歌应用商店已标记出 239 款恶意应用，总下载量达 4200 万次。 同期观测到的知名安卓恶意软件家族包括 Anatsa（又称 TeaBot、Toddler）、Void（又称 Vo1d），以及一款名为 Xnotice 的新型安卓 RAT。该木马伪装成招聘应用，通过虚假招聘网站分发，专门针对中东和北非地区石油天然气行业的求职者。 这些恶意软件安装后，会通过弹窗窃取银行凭证，并收集多因素认证（MFA）码、短信和截图等其他敏感数据。 Zscaler 表示：“威胁者部署了 Anatsa、ERMAC 和 TrickMo 等精密银行木马，这些木马常伪装成合法工具或办公应用，出现在官方应用商店和第三方应用商店中。安装后，它们会采用高度欺骗性技术，窃取交易授权所需的用户名、密码乃至双因素认证（2FA）码。” 此前，波兰计算机应急响应小组（CERT Polska）也曾发布预警，提醒一款名为 NGate（又称 NFSkate）的安卓恶意软件新样本。该木马针对波兰银行用户，通过近场通信（NFC）中继攻击窃取银行卡信息。恶意应用链接通过钓鱼邮件或短信分发，这些信息伪称来自银行，以 “技术问题” 或 “安全事件” 为由，诱导用户安装应用。 受害者启动该应用后，会被要求将支付卡贴近安卓设备背面，在应用内直接验证。而这一操作会导致应用秘密捕获银行卡的 NFC 数据，并将其窃取至攻击者控制的服务器，或直接发送至攻击者安装的配套应用，以便在 ATM 机取现。 该机构表示：“此次攻击活动旨在利用受害者自身的支付卡，在 ATM 机进行未授权取现。犯罪分子无需物理盗取银行卡，只需将受害者安卓手机中的 NFC 流量，中继至攻击者在 ATM 机旁控制的设备即可。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西，专门实施设备接管攻击。 荷兰安全公司ThreatFabric在报告中指出：”Herodotus木马在执行设备接管攻击时，首次尝试模拟人类操作行为以绕过行为生物特征识别检测。”该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广，声称支持Android 9至16系统。 技术特征与传播手段 分析显示，虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来，但确实借鉴了其部分技术特征，包括相似的混淆技术，代码中甚至直接出现”BRKWL_JAVA”等Brokewell相关标识。 与其他安卓恶意软件一样，Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段，伪装成谷歌浏览器应用进行传播。一旦安装，便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动，并在金融应用上层显示虚假登录界面窃取凭证。 此外，该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案，并远程安装APK文件。 独特攻击手法：模拟人类行为 该木马的突出特点在于其人性化欺诈能力。具体而言，它能在执行远程操作时引入随机延迟，例如在设备上输入文本时。ThreatFabric解释称：”延迟时间设定在300-3000毫秒之间，这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟，攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。” 研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面，表明其运营者正积极扩展攻击范围。 ThreatFabric强调：”该恶意软件处于活跃开发阶段，借鉴了Brokewell银行木马的长期技术积累，其设计初衷显然是为了在活跃会话中持续驻留，而非简单地窃取静态凭证实施账户接管。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提请关注一场新型攻击活动：该活动传播的 Astaroth银行木马，将 GitHub 用作其运营的核心基础设施，即便自身基础设施遭下架，仍能保持 “抗打击能力”。 “攻击者不再单纯依赖易被下架的传统命令与控制（C2）服务器，而是利用 GitHub 仓库托管恶意软件配置文件，” 迈克菲实验室（McAfee Labs）研究人员哈希尔・帕特尔与普拉布德・查克拉沃蒂在一份报告中表示，“当执法部门或安全研究人员关停其 C2 基础设施时，Astaroth只需从 GitHub 获取新的配置文件，就能继续运行。” 据这家网络安全公司透露，当前攻击活动主要集中在巴西；不过已知该银行木马还会针对拉丁美洲多个国家，包括墨西哥、乌拉圭、阿根廷、巴拉圭、智利、玻利维亚、秘鲁、厄瓜多尔、哥伦比亚、委内瑞拉和巴拿马。 Astaroth针对巴西发起攻击并非首次。2024 年 7 月和 10 月，谷歌与趋势科技曾先后发出警告，提及两个名为 “PINEAPPLE”（菠萝）和 “Water Makara”（水摩伽罗）的威胁团伙，它们通过钓鱼邮件传播该恶意软件。 最新的攻击链流程与此类似：同样以 “DocuSign（电子签名平台）” 为主题的钓鱼邮件为起点，邮件中包含一个链接，点击后会下载一个压缩的 Windows 快捷方式（.lnk 文件）；打开该文件后，阿斯塔罗斯木马便会安装到受感染的主机中。 该.lnk 文件内嵌经过混淆处理的 JavaScript 代码，其作用是从外部服务器获取额外的 JavaScript 脚本。而新获取的 JavaScript 代码则会从多个预先硬编码的服务器中随机选择一个，下载多个文件。 这其中包括一个 AutoIt 脚本，该脚本由 JavaScript 有效载荷执行；随后脚本会加载并运行一段外壳代码，这段外壳代码再加载一个基于 Delphi 语言编写的动态链接库，最终解密 Astaroth恶意软件，并将其注入到新创建的 “RegSvc.exe” 进程中。 Astaroth是一款基于 Delphi 语言开发的恶意软件，其设计目的是监控受害者访问的银行或加密货币网站，并通过键盘记录窃取用户凭据。捕获到的信息会通过 Ngrok 反向代理传输给攻击者。 该木马的具体运作方式为：每秒检查一次当前活跃的浏览器程序窗口，判断是否打开了与银行相关的网站。若满足上述条件，恶意软件便会 “挂钩”（hook）键盘事件，记录用户的按键操作。以下是部分被针对的网站： caixa.gov [.] br（巴西联邦储蓄银行官网） safra.com[.] br（巴西萨夫拉银行官网） itau.com[.] br（巴西伊塔乌联合银行官网） bancooriginal.com[.] br（巴西奥里金纳银行官网） santandernet.com[.] br（巴西桑坦德银行官网） btgpactual [.] com（巴西 BTG 百利宫投资银行官网） etherscan [.] io（以太坊区块链浏览器） binance [.] com（币安加密货币交易所） bitcointrade.com[.] br（巴西比特币交易平台） metamask [.] io（MetaMask 加密货币钱包） foxbit.com[.] br（巴西 Foxbit 加密货币交易所） localbitcoins [.] com（本地比特币交易平台） Astaroth还具备反分析能力：若检测到模拟器、调试器及各类分析工具（如 QEMU 客户机代理、HookExplorer 调试工具、IDA Pro 反编译工具、ImmunityDebugger 调试器、PE Tools 可执行文件分析工具、WinDbg 调试器、Wireshark 抓包工具等），便会自动停止运行。 该恶意软件通过在 Windows “启动” 文件夹中放置一个.lnk 文件来实现主机持久化 —— 系统重启时，该.lnk 文件会运行 AutoIt 脚本，自动启动恶意软件。此外，不仅.lnk 文件中 JavaScript 访问的初始 URL 设有地理围栏（仅特定地区可访问），恶意软件还会检查目标设备的系统区域设置，确保其不为英语或美国区域。 迈克菲指出：“当 C2 服务器无法访问时，Astaroth会利用 GitHub 更新配置 —— 它将配置信息隐藏在 GitHub 上托管的图片中，通过隐写术实现‘明处藏秘’。” 通过这种方式，恶意软件借助合法平台（GitHub）托管配置文件，并在主 C2 服务器失效时，将其转化为具备抗打击能力的备用基础设施。迈克菲表示，已与微软旗下的 GitHub 合作移除了相关仓库，暂时遏制了该恶意软件的运营活动。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，Android恶意软件领域出现新趋势：传统上用于投放银行木马的“投放器应用”（dropper apps），如今也开始传播短信窃取器和基础间谍软件等更简单的恶意软件。 荷兰移动安全公司ThreatFabric在上周的报告中表示，这些攻击活动通过伪装成印度等亚洲地区政府或银行应用的投放器应用进行传播。 该公司认为，这一转变源于谷歌最近在新加坡、泰国、巴西和印度等特定市场试行的安全保护措施。这些措施会阻止用户侧载（sideloading）那些请求敏感权限（如短信和无障碍服务）的可疑应用，而无障碍服务是Android设备上常被滥用以执行恶意操作的设置。 ThreatFabric解释道：“Google Play Protect的防御机制，尤其是定向试点计划，能越来越有效地在风险应用运行前将其拦截。其次，攻击者希望其操作能适应未来。” “即便将基础有效负载封装在投放器中，攻击者也能获得一个保护壳，既能规避当前的检查，又能保持足够灵活性，以便日后更换负载和调整攻击活动。” ThreatFabric称，尽管谷歌的策略通过甚至在用户与恶意应用交互前就阻止其安装，提高了门槛，但攻击者正在尝试新的方法来规避这些保护措施——这显示出安全领域永无休止的“打地鼠”游戏。 这包括在设计投放器时考虑谷歌的试点计划，使其不申请高风险权限，仅显示一个无害的“更新”屏幕，从而在这些地区绕过扫描。 然而，只有当用户点击“更新”按钮时，真正的有效负载才会从外部服务器获取或解包，随后便开始申请实现其目标所需的权限。 “作为另一项扫描的一部分，Play Protect可能会显示风险警报，但只要用户接受这些警报，应用就会被安装，有效负载也就成功投递。”ThreatFabric指出，“这揭示了一个关键漏洞：如果用户坚持点击安装，Play Protect仍会允许风险应用通过，恶意软件也就依然能绕过试点计划。” RewardDropMiner就是这样一个投放器，它曾被发现在传播间谍软件负载的同时，还会分发一个可远程激活的门罗币加密货币挖矿程序。不过，该工具的最新变种已不再包含挖矿功能。 通过RewardDropMiner投递的一些恶意应用（均针对印度用户）列举如下： PM YOJANA 2025 (com.fluvdp.hrzmkgi) °RTO Challan (com.epr.fnroyex) SBI Online (com.qmwownic.eqmff) Axis Card (com.tolqppj.yqmrlytfzrxa) 其他可避免触发Play Protect或试点计划的投放器变种包括SecuriDropper、Zombinder、BrokewellDropper、HiddenCatDropper和TiramisuDropper。 谷歌在回应The Hacker News的置评请求时表示，尚未在Play商店中发现任何使用这些技术分发应用的情况，并称正在持续增加新的保护措施。 一位发言人表示：“无论应用来自何处——即使是由‘投放器’应用安装——Google Play Protect都会通过自动检查威胁来帮助保护用户安全。” “在本报告发布之前，Google Play Protect已针对这些已识别的恶意软件版本提供了保护。根据我们当前的检测，Google Play上未发现包含这些版本恶意软件的应用。我们正在不断强化保护措施，帮助用户免受恶意行为者的侵害。” CIS构建工具包 与此同时，Bitdefender实验室警告称，一场新的恶意广告活动正在利用Facebook广告，以提供免费的Android版TradingView应用高级版本为诱饵，最终部署改进版的Brokewell银行木马，用以监控、控制受害设备并窃取敏感信息。 自2025年7月22日起，已运行不少于75条恶意广告，仅在欧洲联盟就覆盖了数万名用户。这场针对Android的攻击浪潮只是一个更大规模恶意广告操作的一部分，该操作还滥用Facebook广告，伪装成各种金融和加密货币应用来针对Windows桌面用户。 这家罗马尼亚网络安全公司表示：“这次活动展示了网络犯罪分子如何精细调整策略以适应用户行为。通过针对移动用户并将恶意软件伪装成受信任的交易工具，攻击者希望从人们对加密应用和金融平台日益增长的依赖中获利。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文