Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

当前，网络空间已经成为境外间谍情报机关对我渗透窃密的重要渠道，网络间谍活动愈加活跃，技术攻击精准猛烈，窃密手法层出不穷，严重威胁我国家安全。随着我国网络技术应用快速普及深入，网络技术服务行业成为了境外间谍情报机关渗透窃密、规避我网络安全监管防护体系、实施网络间谍行为的新目标。 小王是一名从事网络技术服务的工程师，今年初，一家外国软件开发商主动联系小王，邀请小王为其数十款软件批量配置有关“数字签名证书”、“杀毒软件测试”，以便“顺利通过”我网络安全认证检测，并承诺给付高额报酬。 随着交往加深，该软件开发商进而要求小王使用指定的软件、加密链路与其联系，且说辞前后矛盾、行为举止反常。小王意识到这家外国软件开发商绝不是普通的商业机构，如果为其提供“技术服务”，将会使存在安全隐患的软件绕开我网络安全监管，进入中国应用市场。但在经济利益的诱惑驱使下，小王明知危害却心存侥幸，与该外国软件开发商建立了合作关系，为其数十款软件提供了“技术服务”。 “天网恢恢，疏而不漏”。经调查，与小王建立“合作关系”的外国软件开发商，真实身份是境外间谍情报机关。那些由小王提供“技术服务”的软件，都捆绑有特种木马病毒程序，一旦被点击运行，将会侵入、控制计算机、服务器等网络设备，并窃取文档、资料和数据。该间谍情报机关利用这些“携毒”软件，对我数十家国防军工单位、高新科技企业实施了网络攻击窃密活动。 发现并查明情况后，国家安全机关及时通报有关单位，依法开展处置工作，避免了重大危害和损失。小王也为自己的“心存侥幸”付出了代价，被国家安全机关依法给予行政处罚。 国家安全机关提示 网络空间看似无形隐匿，实则谍影重重，充满硝烟暗战。数字签名、数字证书、安全测试、网络域名、云服务器、电子邮箱等网络资产及服务，都有可能被境外间谍情报机关利用实施网络攻击窃密活动。 网络服务机构及从业人员要提高警惕、擦亮双眼，遇有可疑人员在购买技术支持服务时提出“特殊”要求，或发现网络攻击、侵入、干扰、控制、破坏等违法活动，要及时留存证据，拨打12339举报受理电话，或登录www.12339.gov.cn互联网举报受理平台，或通过国家安全部微信公众号举报受理渠道向国家安全机关进行举报。   转自国家安全局，原文链接：https://mp.weixin.qq.com/s/aYKQnxOy2MN6bAJ1UGY5xA 封面来源于网络，如有侵权请联系删除

安全公司Checkmarx报告称，自今年1月以来，共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为”pyobfgood”的工具。与之前的七个软件包一样，pyobfgood伪装成一款合法的混淆工具，开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行，它会安装一个恶意负载，使攻击者几乎完全控制开发人员的机器。 其功能包括： – 泄露详细的主机信息 – 从Chrome浏览器窃取密码 – 设置键盘记录器 – 从受害者系统下载文件 – 捕获屏幕截图，并记录屏幕和音频 – 通过增加CPU使用率、在启动目录中插入批处理脚本以关闭计算机，或者使用Python脚本强制出现BSOD错误来使计算机无法使用 – 对文件进行加密，可能用于勒索 – 禁用Windows Defender和任务管理器 – 在受感染的主机上执行任何命令 总共，pyobfgood和之前的七个工具被安装了2348次，专门针对使用Python编程语言的开发人员。作为混淆工具，这些工具针对那些有理由保密其代码的Python开发人员，因为它们具有隐藏的功能、商业机密或其他敏感功能。这些恶意负载因工具而异，但它们都以其入侵性的程度而引人注目。 Checkmarx安全研究员Yehuda Gelb在一封电子邮件中写道：”我们检查的各种软件包展示了一系列恶意行为，其中一些行为类似于’pyobfgood’软件包中发现的行为。然而，它们的功能并不完全相同。许多软件包具有相似之处，例如能够从外部源下载其他恶意软件并窃取数据。” 这八个工具都以字符串”pyobf”作为前五个字符，以模仿真正的混淆工具，例如pyobf2和pyobfuscator。其他七个软件包是： – Pyobftoexe – Pyobfusfile – Pyobfexecute – Pyobfpremium – Pyobflight – Pyobfadvance – Pyobfuse 虽然Checkmarx主要关注pyobfgood，但该公司提供了这八个工具的发布时间表。 Pyobfgood安装了一个与以下字符串相关联的Discord服务器上的机器人功能：MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo 受感染的计算机上没有任何异常迹象。然而，在幕后，恶意负载不仅侵入了开发人员最私密的时刻，还在源代码注释中默默嘲笑开发人员。Checkmarx解释道： 该Discord机器人包括一个特定的命令来控制计算机的摄像头。它通过悄悄地从远程服务器下载一个zip文件，提取其内容，并运行名为WebCamImageSave.exe的应用程序来实现这一点。这允许机器人秘密地使用摄像头拍摄照片。然后，将生成的图像发送回Discord频道，在删除下载的文件后不留下任何证据。 在这些恶意功能中，机器人通过嘲笑即将摧毁的受感染机器的消息中展现了其恶意幽默。消息中包含”Your computer is going to start burning, good luck. :)”和”Your computer is going to die now, good luck getting it back :)”。 这些消息不仅突显了恶意意图，还显示了攻击者的大胆。软件包的下载主要来自美国（62%），其次是中国（12%）和俄罗斯（6%）。Checkmarx研究人员写道：”可以推断，从事代码混淆的开发人员很可能处理有价值和敏感的信息，因此对于黑客来说，这是一个值得追求的目标。”       转自Freebuf，原文链接：https://www.freebuf.com/news/383796.html 封面来源于网络，如有侵权请联系删除

近日，马来西亚皇家警方宣布已将 BulletProftLink 网络钓鱼即服务（PhaaS）平台查封。据悉，该平台拥有数千名用户，并向用户提供约 300 多个网络钓鱼模板。 2015 年，BulletProftLink开始投入运营。2018 年开始活动越来越频繁，很多人通过付费后拿到了大量的网络钓鱼凭据，这也引起了研究人员的关注。 PhaaS 平台通过 “即用型 “工具包和模板、页面托管、定制选项、凭据收集和反向代理工具，为网络犯罪分子提供实施网络钓鱼攻击的工具和资源。 2020 年，网络安全专家 Gabor Szathmari 曾在一份公开来源情报研究中详细提到了调查该平台负责人的全过程。 2021 年 9 月，微软公司发布了一份报告警告称，该平台向买家提供的服务很可能会导致大量网络钓鱼攻击活动。同时，该服务还收集了多名用户在网络钓鱼攻击中窃取的所有凭证。 BulletProftLink 被查封 在澳大利亚联邦警察局和联邦调查局的协助下，马来西亚警方成功捣毁了该违法平台，同时关闭了其在非法商店使用的多个域名。 11 月 6 日，警方共逮捕了八人，其中也包含该行动的头目。警方在此次行动中还缴获了藏有约 21.3 万美元的加密货币钱包、服务器、电脑、珠宝、车辆和支付卡。 执法部门在没收了该平台的服务器后，可通过进一步检查确定平台用户的身份。这些用户中，有一些会每月支付 2000 美元订阅费，这样他们就可以定期访问大量的凭证日志。 网络犯罪情报公司 Intel471s 表示，截至 2023 年 4 月，BulletProftLink 共有 8138 名活跃用户，在该平台上可访问 327 个钓鱼页面模板。 BulletProftLink面板，图源：Intel471 自微软 2021 年发布报告以来，该平台的用户数量增长了 403%，这说明该平台在网络犯罪社区中很受欢迎。 Intel 471 表示，BulletProftLink 在被关闭前提供的钓鱼资源很丰富，其中包括微软 Office、DHL、韩国在线平台 Naver 以及美国运通、美国银行、消费者信用联盟和加拿大皇家银行等金融机构的登录页面。 会员可购买钓鱼网页，图源：Intel471 为了躲避电子邮件安全工具，其中一些钓鱼网页会托管在谷歌云和微软 Azure 等合法云服务上。此外，BulletProftLink 的库存还提供 Evilginx2 反向代理工具，该工具可实现中间对手 (AITM) 网络钓鱼攻击，从而绕过多因素身份验证保护。 这是专业网络犯罪分子初步访问公司系统的重要凭证来源。攻击者一旦有了公司网络作为攻击的立足点，就可以实现快速侦察，继而横向移动到主机中实施最终攻击。       转自Freebuf，原文链接：https://www.freebuf.com/news/383614.html 封面来源于网络，如有侵权请联系删除  

在新加坡，Equinix 数据中心冷却系统的技术问题给星展银行和花旗银行这两家领先银行造成了重大中断。2023 年 10 月 14 日发生的服务中断导致约 250 万笔支付和 ATM 交易无法完成，严重影响了这座严重依赖数字金融的城市。 新加坡金融管理局 (MAS) 确定，该事件是由于两家银行共享的数据中心的温度超过可接受水平造成的。造成这种情况的责任在于承包商在系统更新过程中犯了错误，导致冷却系统阀门关闭。 故障发生后，银行立即开始恢复 IT 系统和业务流程。然而，Alvin Tan 部长表示，两家银行在尝试恢复备份数据中心的系统时都面临着额外的挑战 – 星展银行在设置网络方面遇到问题，而花旗银行在连接方面遇到问题。 Tan 强调，两家银行均未达到 MAS 对于关键 IT 系统弹性的标准。根据这些标准，关键系统的停机时间一年中不应超过四个小时。在这种情况下，这个限制被大大超过了。 因此，金管局对星展银行实施了严厉制裁，包括禁止在未来六个月内减少其分行和 ATM 网络、对 IT 系统进行小幅改动以及开设新业务线。星展银行还被要求将运营资产的风险比率提高1.8倍。 安克诺斯 (Acronis) 首席信息安全官凯文·里德 (Kevin Reed) 对缺乏备用冷却系统以及银行灾难计划中的缺陷表示惊讶。他强调，通常过渡到备份系统只需几秒钟或几分钟。 里德还在 他的 LinkedIn帖子中指出，看到由第三方提供商运行的管理网上银行身份验证的关键系统很奇怪。MAS 不对银行的此类外部供应商实施控制。 数据中心过热是该国的一个主要问题，该国制定了在热带环境中运行数据中心的标准。在全球气候变化的背景下，遵守这些标准及其有效应用变得更加重要。 陈部长强调了了解与完全依赖数字系统相关的风险的重要性。他呼吁支付方式多样化，以确保经济活动的连续性，并强调尽管数字化，但必须提供替代支付方式。   转自安全客，原文链接：https://www.anquanke.com/post/id/291273 封面来源于网络，如有侵权请联系删除

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。 2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上。 此脚本的开发者和研究员Valerio Alessandroni表示：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道，该通道可直接连接到谷歌。 谷歌在第八版Threat Horizons 报告中提到，目前并未观察到该工具有在野外被使用的情况，但Mandiant威胁情报部门发现目前有几个PoC的威胁行为者有在地下论坛上分享相关内容。 谷歌方面表示：GCR 在受感染的机器上运行会定期轮询 Calendar 事件描述，然后执行获取到的新命令，输出更新事件描述。由于该工具只在合法基础设施上运行，因此防御者很难及时地发现可疑活动。 这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的。比如某伊朗民族国家行为者，就曾利用宏文档，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户，并借助电子邮件控制了C2。 谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户，在那些账户中完成解析邮件以获取命令、执行命令，最终将包含解析结果的邮件重新发回。谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户，以防止这些账户被其利用作为通道使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/383056.html 封面来源于网络，如有侵权请联系删除

名为“Socks5Systemz”的代理僵尸网络已通过“PrivateLoader”和“Amadey”恶意软件加载程序感染全球计算机，目前已统计有 10,000 台受感染设备。该恶意软件会感染计算机，并将其转变为恶意、非法或匿名流量的流量转发代理。它将这项服务出售给每天支付 1 至 140 美元加密货币的订阅者。 BitSight的一份报告详细介绍了 Socks5Systemz，该报告称代理僵尸网络至少自2016年以来就已存在，但直到最近才相对低调。 Socks5Systemz Socks5Systemz 僵尸程序由 PrivateLoader 和 Amadey 恶意软件分发，这些恶意软件通常通过网络钓鱼、漏洞利用工具包、恶意广告、从 P2P 网络下载的木马可执行文件等进行传播。 BitSight 看到的样本名为“previewer.exe”，其任务是将代理机器人注入到主机内存中，并通过名为“ContentDWSvc”的 Windows 服务为其建立持久性。 代理机器人有效负载是一个 300 KB 32 位 DLL。它使用域生成算法 (DGA) 系统与其命令和控制 (C2) 服务器连接，并发送有关受感染计算机的分析信息。 作为响应，C2 可以发送以下命令之一来执行： 空闲：不执行任何操作 connect：连接到反向连接服务器 connect：断开与反向连接服务器的连接 updips：更新授权发送流量的 IP 地址列表 upduris：尚未实施 connect 命令至关重要，它指示机器人通过端口 1074/TCP 建立反向连接服务器连接。 一旦连接到威胁行为者的基础设施，受感染的设备现在可以用作代理服务器并出售给其他威胁行为者。 连接到反向连接服务器时，它使用确定 IP 地址、代理密码、阻止端口列表等的字段。这些字段参数确保只有白名单中的机器人并具有必要的登录凭据才能与控制服务器交互，从而阻止未经授权的尝试。 法经营影响 BitSight 映射了主要位于法国和整个欧洲（荷兰、瑞典、保加利亚）的 53 个代理机器人、反向连接、DNS 和地址获取服务器的广泛控制基础设施。 自 10 月初以来，分析师通过端口 1074/TCP 记录了 10,000 次与已识别的反向连接服务器的不同通信尝试，表明受害者数量相同。 地理分布稀疏且随机，覆盖全球，但印度、美国、巴西、哥伦比亚、南非、阿根廷和尼日利亚感染人数最多。 Socks5Systemz 代理服务的访问权限分为两个订阅级别，即“标准”和“VIP”，客户通过匿名（无 KYC）支付网关“Cryptomus”进行支付。 订阅者必须声明代理流量的来源 IP 地址，才能将其添加到机器人的白名单中。 标准订阅者仅限于单个线程和代理类型，而 VIP 用户可以使用 100-5000 个线程并将代理类型设置为 SOCKS4、SOCKS5 或 HTTP。 下面列出了每项服务的价格： 住宅代理僵尸网络是一项 利润丰厚的业务 ，对互联网安全和未经授权的带宽劫持具有重大影响。 这些服务通常用于购物机器人并绕过地理限制，因此非常受欢迎。 8 月，AT&T 分析师透露了一个由超过 400,000 个节点组成的广泛代理网络，其中不知情的 Windows 和 macOS 用户充当出口节点，引导其他人的互联网流量。   转自E安全，原文链接：https://mp.weixin.qq.com/s/287AfbK4FvsjzqqTSjUqFw 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一项研究表明，苹果的“Find My”功能可能会被攻击者滥用，以隐秘传输通过安装在键盘中的键盘记录器捕获的敏感信息。 苹果的“Find My”功能旨在依靠苹果设备中众包的 GPS 和蓝牙数据，帮助用户定位丢失的苹果设备，包括 iPhone、iPad、Mac、Apple Watch、AirPods 和 Apple Tags，即便这些设备处于离线状态。 早在两年前，研究人员就曾发现滥用“Find My”来传输除设备位置之外的任意数据。虽然苹果表示已经解决了这一漏洞，但最近，研究人员仍然发现将带有 ESP32 蓝牙发射器的键盘记录器集成到 USB 键盘中，可通过“Find My”网络中继用户在键盘上输入的密码和其他敏感数据。 蓝牙传输比 WLAN 键盘记录器或 Raspberry Pi 设备隐蔽得多，在戒备森严的环境中很容易被注意到，但“Find My”可以秘密地利用无处不在的 Apple 设备进行中继。 键盘记录器不必使用 AirTag 或官方支持的芯片，因为苹果设备经过调整可以响应任何蓝牙消息。如果该消息的格式正确，接收方的苹果设备将创建位置报告并将其上传到“Find My”网络。 未知的 Apple 设备条目 攻击者需要创建许多略有不同的公共加密密钥来模拟多个 AirTags，并通过在密钥中的预定位置分配特定位来将任意数据编码到密钥中。云端检索的多个报告可以在接收端连接和解码，以检索任意数据。 对任意数据进行编码，以便通过“Find My”进行传输 在接收端拼接和解码传输 研究人员解释称，使用蓝牙版 “EvilCrow “键盘记录器和标准 USB 键盘，虹吸数据装置的总成本约为 50 美元。 PoC 攻击实现了 每秒 26 个字符的传输速率和每秒 7 个字符 的接收速率 ，延迟时间 在 1 到 60 分钟之间，具体取决于键盘记录器范围内是否存在 Apple 设备。虽然传输速率很慢，但仍不妨碍攻击者针对一些有价值的密码等敏感信息展开行动。 此外，键盘内的固定键盘记录器不会激活苹果的反跟踪保护功能，该功能会通知用户 Air 标签可能会对其进行跟踪，因此该设备仍处于隐藏状态，不太可能被发现。 BleepingComputer 已要求苹果就“Find My”的滥用行为发表声明，但到目前尚未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/382871.html 封面来源于网络，如有侵权请联系删除

美国联邦贸易委员会出台新规，非银行金融机构需在30天内向该机构报告数据泄露和安全事件。 有消息称：美国联邦贸易委员会（FTC）已批准一项新规定，将要求非银行金融机构在30天内报告数据泄露和安全事件，这将成为强制性要求。该规定是《保障规则》的修订版，适用于抵押经纪人、机动车经销商和发薪贷款机构。 联邦贸易委员会消费者保护局局长Samuel Levine说，“受托保管敏感金融信息的公司，如果该信息已被泄露，需要做到公开透明。我们将这一披露要求添加到《保障规则》，将额外激励公司对消费者数据进行保护。” 新规定将于明年4月生效。该规定要求，如果发生500名或更多客户信息遭泄漏事件，金融机构必须向联邦贸易委员会报告事件。“如果未经信息所涉及的个人授权，已获得未加密的客户信息”，相关安全漏洞必须进行报告。 新规细节 联邦贸易委员会发布一份38页的文件，解释事件报告必须包括如下内容： 1. 需给出提交报告的金融机构的名称和联系方式； 2. 需说明事件涉及的信息类型； 3. 如信息可以确定，需提供事件的日期或日期范围； 4. 需说明受影响消费者的数量； 5. 需对事件进行一般描述； 6. 如适用，需报告是否有执法官员向金融机构提供书面决定，说明将信息泄露事件通知公众会妨碍刑事调查或对国家安全造成损害，并提供联邦贸易委员会联系执法官员的方式。 通知需要通过联邦贸易委员会网站填表的形式提交。 这项修订版以3-0的投票通过，标志着两年来不断增加的报告规则尘埃落定。《保障规则》于1999年被国会制定，并于2003年生效。2021年，《保障规则》加入网络安全规定，强制非银行金融机构必须建立保护客户数据的网络安全计划。 公司被迫限制访问消费者数据的权限，通过加密手段保护数据，并解释信息共享做法。他们还必须告知联邦贸易委员会，他们计划如何访问、收集、分发、处理和存储客户信息。公司必须指定专人监督信息安全计划，并向董事会报告更新。 2021年，Samuel Levine表示，“金融机构和其他收集敏感消费者数据的实体有责任保护这些数据。” 行业反弹 各组织对联邦贸易委员会发布的修订版的反馈褒贬不一。部分组织对事件报告规则表示欢迎，部分组织则认为这与几个州级事件报告规则重复。 联邦贸易委员会称，“委员会不认为要求金融机构向我们提供通知是重复之举。” 州级法律要求组织向消费者发布通知，并“在某些情况下”通报州监管机构，但不需要通报给负责监管金融机构的联邦贸易委员会。 “向消费者或州监管机构的通知不能实现我们的目的。收到这些通知后，委员会将能够监测影响金融机构的新兴数据安全威胁，并促使对重大安全漏洞展开迅速调查响应。” 其他一些组织，如全美汽车经销商协会，认为大多数泄露不值得报告，并提出了一种只在“一系列安全事件”之后才“适用”的报告要求，因为只有多次事件才可能“表明合规失败”，而任何单一的泄露“不能表明（合规失败）”。 最近几个月，一些政府机构已经通过了事件报告规则。比如美国证券交易委员会在今年夏天推出了针对上市公司的规则。美国网络安全和基础设施安全局计划在明年为关键基础设施组织制定新的规则。   转自安全内参，原文链接：https://www.secrss.com/articles/60303 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现，网络犯罪分子正在利用Facebook广告传播恶意软件，并劫持用户的社交媒体账户。 在恶意广告活动中，黑客利用合法工具进行在线广告分发，并在广告中插入受感染的链接。据Bitdefender的网络安全研究人员称，为了吸引用户点击，该恶意活动利用了年轻女性的淫秽图片。 研究人员报告说，该活动旨在向受害者的设备发送一个新版本的NodeStealer恶意软件。广告中的一些照片似乎是经过编辑或AI生成的。 NodeStealer是一种相对较新的信息窃取工具，它允许黑客窃取受害者的浏览器cookie并接管Facebook账户。 在之前的一次活动中，研究人员观察到黑客使用NodeStealer接管Facebook的商业账户，并从加密货币钱包中窃取资金。Facebook母公司Meta的研究人员表示，他们在1月份首次发现了这种恶意软件。 在Bitdefender描述最近的行动中，网络罪犯使用了至少10个受损的企业账户来运行和管理广告，将恶意软件分发给Facebook的普通用户——主要是来自欧洲、非洲和加勒比地区的40岁及以上的男性。 每次点击广告都会立即将恶意可执行文件下载到受害者的设备上。研究人员估计，在短短10天内，就有近10万用户下载了该恶意软件。 目前还不清楚是哪个黑客组织发起了这次攻击。第一次NodeStealer攻击被认为是来自越南的攻击者，他们通过Facebook Messenger攻击企业用户。 研究人员表示，在最新的攻击活动中发现的NodeStealer变体略有更新。它有一些新功能，允许黑客访问其他平台，如Gmail和Outlook，并下载额外的恶意负载。 研究人员说，一旦网络犯罪分子利用NodeStealer的基本功能获得了用户浏览器cookie的访问权限，他们就可以接管Facebook账户并访问敏感信息。 然后，黑客可以更改密码并激活帐户上的额外安全措施，以完全拒绝合法所有者的访问，从而允许网络犯罪分子实施欺诈。 研究人员表示：“无论是窃取金钱还是通过劫持账户诈骗新的受害者，这种类型的恶意攻击都能让网络罪犯通过Meta的安全防御而不被发现。”     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene