HackerNews 编译，转载请注明出处： 新型安卓恶意软件“Godfather”通过虚拟环境窃取银行数据。该恶意软件利用嵌入虚拟化框架的APK文件，整合开源工具VirtualApp引擎和Xposed框架创建隔离环境。当用户设备安装目标银行应用时，恶意程序将其置入虚拟容器，通过“桩活动”(StubActivity)在宿主应用中启动。此举欺骗安卓系统使其误判为合法应用运行，实则拦截并操控所有操作。 核心欺骗技术 意图劫持：利用无障碍服务权限拦截银行应用启动指令，将其重定向至虚拟容器内的桩活动 视觉伪装：用户所见界面与真实银行应用完全一致，但所有交互数据（账号、密码、PIN码、触屏操作）均通过API钩子技术被窃取 场景欺骗：在关键操作节点弹出虚假锁屏界面诱骗输入密码，执行交易时显示伪装更新/黑屏界面掩盖后台操作 相比2022年Group-IB分析的版本（仅覆盖400个应用、16国），新版具备三大突破： 攻击范围：目标应用扩展至全球500余个银行/加密货币/电商平台 虚拟化深度：构建完整虚拟文件系统，伪造虚拟进程ID，实现更彻底的运行环境隔离 设备兼容：通过桩活动声明机制规避安卓系统对未注册活动的检测 威胁演变轨迹 2021年3月：由ThreatFabric首次发现，初代版本基于银行木马Anubis代码改造 2022年12月：进化至采用HTML覆盖攻击界面，移除GPS跟踪等冗余功能 2024年6月：Zimperium捕获最新变种，确认其具备虚拟环境操控能力，当前主要针对土耳其银行，但底层框架支持全球多区域攻击 防御建议 仅通过Google Play或可信渠道安装应用 启用Play Protect防护功能并定期更新系统 警惕应用索取的权限请求，特别是无障碍服务权限 该攻击模式与2023年末出现的FjordPhantom恶意软件类似，均通过虚拟化技术绕过检测。但Godfather的攻击广度与技术复杂度显著提升，标志着移动银行威胁进入新阶段。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Barracuda与哥伦比亚大学、芝加哥大学研究人员合作进行的一项研究，目前有超过半数（51%）的恶意和垃圾邮件是使用AI工具生成的。 该研究团队分析了Barracuda在2022年2月至2025年4月期间检测到的垃圾邮件数据集。他们使用训练有素的检测器，自动识别恶意或未经请求的电子邮件是否由AI生成。 该过程发现，从2022年11月到2024年初，由AI生成的垃圾邮件比例呈稳步上升趋势。2022年11月，全球首个公开可用的大型语言模型（LLM）ChatGPT正式发布。 2024年3月，AI生成的诈骗邮件比例出现大幅激增。此后该比例出现波动，最终在2025年4月达到峰值51%。 哥伦比亚大学电气工程与计算机科学副教授阿萨夫·西顿（Asaf Cidon）在接受采访时表示，目前尚无法确定这一突然激增的明确原因。他解释道：“很难确切知道原因，但这可能由多种因素导致：例如，攻击者使用了新发布的AI模型，或者攻击者发送的垃圾邮件类型发生了变化，从而提高了AI生成邮件的比例。” 研究人员还观察到，在商业邮件诈骗（BEC）中，AI生成内容的使用比例增长要缓慢得多，在2025年4月仅占所有尝试的14%。这很可能是因为此类攻击（即冒充组织中特定高管要求电汇或金融交易）的精准性要求较高，而AI目前在这方面的效果可能还不够理想。 然而，西顿预计，随着AI技术的进步，它在BEC诈骗尝试中的使用比例将会上升。“特别是考虑到近期非常有效且廉价的语音克隆模型兴起，我们认为攻击者会将深度伪造语音融入BEC攻击中，以便更好地冒充特定人物，例如CEO。”他说道。 研究人员发现，攻击者使用AI主要有两个原因：规避邮件检测系统，以及让恶意信息对收件人显得更可信。 分析显示，与人工撰写的邮件相比，AI生成的邮件通常行文更正式、语法错误更少、语言复杂度更高。这使得它们更有可能绕过检测，并且在收件人看来显得更专业。研究人员在6月18日发布的报告中指出：“当攻击者的母语与其目标不同时，这点尤其有帮助。在Barracuda的数据集中，大多数收件人位于广泛使用英语的国家。” 研究人员还观察到攻击者使用AI测试不同的措辞变体，以找出哪些能更有效地绕过防御。他们表示，这个过程类似于传统营销中的A/B测试。 研究发现，在传达紧迫感方面，LLM生成的邮件与人工生成的邮件并无显著差异。紧迫感是网络钓鱼攻击中的常见策略，旨在迫使收件人快速做出情绪化反应。这表明，AI主要用于提高邮件的渗透率和可信度，而非促成策略的改变。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯网络安全研究人员发现首例本土化数据窃取攻击，攻击者使用经篡改的近场通信（NFC）合法软件进行作案，这似乎是更广泛攻击活动的测试阶段。 该报告涉及恶意软件SuperCard——此前已知的合法软件NFCGate的变种。NFCGate原设计用于在邻近设备间中继传输NFC数据，而网络犯罪分子长期滥用NFC技术盗取受害者银行资金。在先前针对欧洲银行的SuperCard攻击中，黑客通过被入侵的安卓手机，将受害者实体支付卡数据中继传输至攻击者控制的设备，随后利用窃取的数据实施ATM交易。若该方法失败，攻击者则直接将受害者账户资金转移至其他账户。 莫斯科网络安全公司F6在6月17日发布的报告中指出，SuperCard于2025年5月首次在俄罗斯境内针对安卓用户部署，而该恶意软件最初于同年4月在意大利被发现。意大利安全公司Cleafy曾披露，该工具以恶意软件即服务（MaaS）形式分发，由“中文使用者”操作。攻击者采用社会工程手段诱骗受害者下载伪装成合法应用的SuperCard。一旦安装，该恶意软件能识别受害者使用的支付系统（Visa、Mastercard、American Express、UnionPay或JCB），进而支持犯罪分子实施欺诈交易。 研究人员强调，SuperCard区别于以往基于NFCGate的恶意软件之处在于其商业化分发策略：首次通过Telegram中文频道公开推广，采用订阅制销售并提供客户支持。F6发现其广告宣称可针对美国、澳大利亚及欧洲主要银行的客户。F6早于2025年1月就在俄罗斯观察到基于NFCGate的攻击（早于SuperCard扩散）。此后攻击工具经多次篡改升级。据F6统计，2025年第一季度俄罗斯因NFCGate变种造成的总损失达4.32亿卢布（约合550万美元），超17.5万台安卓设备被感染。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 邮轮旺季正式到来，不法分子正虎视眈眈地瞄准粗心游客展开诈骗。如果您计划今年或明年夏季乘坐邮轮，务必警惕诈骗者的新伎俩，避免假期被毁。 诈骗者近期频繁针对预订热门目的地（如美国、英国、巴哈马群岛）邮轮行程的游客。为此，三大邮轮巨头——嘉年华邮轮、皇家加勒比邮轮和挪威邮轮——联合发布旅行警报，提醒乘客防范欺诈陷阱。 骗子手段多样。例如，他们伪造看似正规的预订网站，以“难以置信的优惠”为饵，诱骗计划预订酒店、机票或邮轮的网民。此外，当旅客尝试联系邮轮公司、酒店或航司咨询已有预订时，诈骗者会通过谷歌搜索结果中的恶意广告（Malvertising）劫持通话。一旦受害者使用该渠道联系，电话将被转接至冒充邮轮公司客服的骗子，进而兜售听似诱人实则欺诈的“优惠方案”。 一位嘉年华邮轮乘客在Reddit分享亲身经历：她在处理常规登船问题时，通过谷歌搜索拨打了虚假客服电话。对方声称提供“限时促销”，要求她立即重新预订即可享受1000美元折扣。心生疑虑的她挂断电话后直接联系嘉年华官方，证实遭遇诈骗，邮轮公司随即冻结其账户防止资金损失。 皇家加勒比和挪威邮轮乘客也报告类似事件。诈骗者常伪装成邮轮公司代理，以“限时优惠”为由催促交易，或要求重新确认个人信息及支付凭证。 邮轮公司敦促旅客：通过官网核实联系方式，避免使用第三方渠道，全程保持警惕。谷歌信任与安全团队在夏季旅行预警中指出：“虚假旅游网站常以‘过于优惠’的价格、体验或折扣诱骗用户。这些欺诈网站通常模仿知名酒店或伪装成正规旅行社，在节假日等预订高峰期尤其活跃，并通过即时通讯软件或电话实施诈骗。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布其企业环境专用密码共享功能安全密码部署(Secure Password Deployment)全面上市。该功能本周起向Microsoft Edge企业版用户开放，通过加密凭证分发机制降低非授权访问风险，确保员工不会意外泄露密码至非目标接收方。 该功能适用于Microsoft 365商业高级版、E3及E5订阅版本，且需具备Edge管理员或全局管理员角色权限。 微软表示：“当今许多企业中，员工常通过便签或电子邮件共享密码。这不仅会向非目标接收方暴露敏感凭证，还增加密码被转发或滥用的风险。安全密码部署允许管理员向组织内特定用户组分发加密共享密码。用户将在设备上接收密码，并实现无缝网站登录。” 该功能集成于Microsoft 365管理中心内的Edge管理服务，管理员可通过策略配置浏览器设置，向特定用户组分发加密密码。此功能扩展了内置自动填充体验，通过直观界面支持管理员添加、更新及撤销凭证。 管理员部署密码后，密码将自动出现在受管Windows设备的Edge工作配置文件中，在对应网站实现自动填充，提供安全登录体验。尽管密码可在Edge中访问，但用户无法查看、编辑、删除（网站特殊权限除外）或从密码管理器导出密码。 虽然通过浏览器开发者工具仍可能获取密码，但管理员可通过开发者工具可用性策略(DeveloperToolsAvailability policy)限制访问。密码经Microsoft信息保护SDK加密，并与Entra身份绑定，确保基于组织策略自动执行访问控制，无需手动密钥管理。 微软补充说明：“此集成将微软数据保护平台能力直接融入Edge管理体验，为管理员提供符合零信任原则与合规要求的凭证安全分发方案。通过将保护SDK直接嵌入Edge企业版，我们将数据保护能力延伸至终端——确保敏感信息从配置到使用的全流程安全。” 启用安全密码部署需首先访问Microsoft 365管理中心的Edge管理服务，选择现有配置策略或创建新策略。选定策略后，点击“自定义设置”标签页，进入安全密码部署页面。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列研究人员近日发现一种名为“SmartAttack”的新型数据窃取技术，该技术利用智能手表作为隐蔽的超声波信号接收装置，从物理隔离的气隙系统中窃取数据。气隙系统广泛应用于政府设施、武器平台和核电站等关键任务环境，通过物理隔绝外部网络来防范恶意软件感染和数据窃取。尽管如此，系统仍面临内部人员威胁（如恶意员工使用USB设备）或国家级供应链攻击的渗透风险。 攻击流程分为三个阶段： 系统渗透 攻击者首先需通过U盘植入等方式使气隙系统感染恶意软件，该程序可窃取键盘记录、加密密钥等敏感信息。 超声波信号传输 恶意软件通过计算机内置扬声器发射18.5kHz（代表“0”）和19.5kHz（代表“1”）的超声波信号，采用二进制频移键控（B-FSK）技术将数据编码为声波。此频率超出人耳听觉范围，但可被附近人员佩戴的智能手表麦克风捕获。 数据外泄 智能手表上的监听程序通过信号处理技术解调声波频率，将二进制数据还原。窃取的信息最终通过手表蓝牙、Wi-Fi或蜂窝网络传输至外部攻击者。攻击可能由恶意员工主动配合实施，也可能在用户不知情时通过感染手表完成。 攻击性能与局限 传输距离：受限于智能手表麦克风的低信噪比特性，有效传输距离为6-9米（20-30英尺），且手表需与计算机扬声器保持视线无障碍 传输速率：实际速率仅5-50比特/秒，速率提升或距离增加将显著降低可靠性 环境干扰：键盘敲击等背景噪音会影响信号接收（参见图示） 防御建议 设备管控：在安全敏感区域全面禁用智能手表 硬件改造：移除气隙系统内置扬声器，彻底消除声学攻击面 技术防护：采用超声波干扰（发射宽带噪声）、软件防火墙或音频隔离技术作为补充方案 该研究由以色列本·古里安大学的Mordechai Guri教授团队主导。Guri此前还开发过利用屏幕噪声、内存调制、LED信号、USB射频等物理介质的数据窃取技术。尽管此类攻击在实施层面存在较高难度，但其创新性揭示了物理隔离系统的潜在脆弱性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全威胁组织FIN6近期采用新型社交工程攻击手段，通过伪装求职者身份瞄准招聘人员。该组织（又名“Skeleton Spider”）早期以攻陷POS系统窃取信用卡信息著称，2019年起拓展勒索软件攻击业务，近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。 DomainTools最新报告显示，FIN6颠覆传统招聘诈骗模式，以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系，继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL（如bobbyweisman[.]com等匿名注册域名），攻击者使用AWS云服务托管规避安全工具检测。 攻击链包含精密规避机制： 实施环境指纹识别，拦截VPN/云连接及Linux/macOS访问者，仅向目标展示无害内容。 通过验证的受害者会遭遇虚假验证码环节，随后下载伪装成简历的ZIP压缩包。 压缩包内藏Windows快捷方式（LNK）文件，执行脚本下载“More_eggs”后门。 该后门由威胁组织“Venom Spider”开发，具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求，企业应通过独立渠道核实求职者背景信息。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 密尔沃基工具箱或勃肯凉鞋半价促销？研究人员发现涉及数十个知名品牌仿冒、涵盖超4000个域名的庞大虚假市场诈骗网络。诈骗者正在社交媒体大量投放广告。 威胁分析机构Silent Push发现了一个名为“幽灵供应商”（GhostVendors）的巨型虚假市场网络。该网络包含超过4000个仿冒亚马逊、Argos、开市客、诺德斯特龙、劳力士、勃肯等品牌的诈骗网站。 这些网站通过Facebook Marketplace广告推广，广告痕迹在活动结束后自动消失。研究人员警告称，诈骗者利用现有Meta政策隐藏行踪：通过欺诈广告侵害各大品牌权益后彻底删除广告内容。报告指出：“威胁团伙投放恶意广告数日后便停止活动，导致所有广告痕迹从Meta广告库中清除。Meta政策规定，仅当广告处于活动状态时才会保留记录。” 与其他类似骗局相同，网络罪犯以超低价商品诱骗消费者。某案例中，诈骗者用“Millaeke”名称仿冒密尔沃基工具品牌，广告展示正品工具箱图片并标注129美元价格，推广域名wuurkf[.]com。其他广告则使用“清仓”“节日促销”等话术，诱导用户访问恶意网站。该团伙常克隆网站模板批量生成仿冒站点。 Silent Push警告称，黑客利用这些欺诈网站实施多种财务诈骗：“通过不发货或窃取支付信息达成欺诈目的”。但报告重点指出，因Meta宽松的广告数据留存规则，防御者追踪此类活动面临巨大挑战——诈骗者采用闪电式启动-停止策略逃避监测。研究人员强调：“目前无法在该网络实现恶意广告的全面追踪。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文