HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部对12名嫌疑人提出指控，称其涉嫌参与一系列加密货币盗窃及后续洗钱活动，涉案金额达数亿美元。指控包括用于打击有组织犯罪的RICO共谋罪、电汇欺诈共谋、洗钱和妨碍司法公正。案件中的两名新增嫌疑人——20岁的Malone Lam和21岁的Jeandiel Serrano——于2024年9月被捕，被控通过社会工程攻击从华盛顿特区一名受害者处窃取约2.45亿美元。 司法部表示，该团伙成员最初通过在线游戏平台结识。自2023年10月起，他们利用窃取数据库中的信息锁定持有大量加密货币的潜在目标。据称部分嫌疑人“主动致电受害者，通过社会工程手段说服他们其账户正遭受网络攻击，而团伙成员试图帮助保护账户”。 检方指控该团伙通过多种骗局获利，包括一笔1400万美元和另一笔290万美元的盗窃。2024年7月，Lam入侵某受害者的iCloud账户以监控其位置。随后19岁的Marlon Ferro闯入该目标位于新墨西哥州的住宅，窃取与其加密账户关联的硬件设备。 2024年8月，据加密货币调查员ZachXBT（自称协助执法部门研究此案）透露，Lam和四名未具名嫌疑人瞄准加密借贷平台Genesis的债权人。他们冒充加密货币交易所Gemini的客服人员，谎称受害者账户被黑，指示其重置多因素认证并将资金转入被控钱包，同时诱骗受害者使用AnyDesk共享屏幕导致私钥泄露。 ZachXBT发布的视频据称记录了该团伙盗取资金时的实时反应，视频中有人反复高喊“我们搞定了！”。 检方称，该团伙成员利用非法所得过着奢侈生活，使用伪造文件在佛罗里达和加州租赁豪宅，乘坐私人飞机前往汉普顿，并购买多辆豪车。在为期三周的时间内，他们涉嫌在洛杉矶夜店挥霍400万美元。 嫌疑人Kunal Mehta、Hamza Doost、Joel Cortez和Evan Tangeman被控参与洗钱活动。据称担任数据库黑客兼团伙组织者的Conor Flansburg曾对Lam发出疑问：“我们怎么都比别人强这么多……我们怎么在几个月内就超越了那些混了八年圈子的人？” 起诉书显示，2024年9月18日，一名休班执法人员告知Lam警方正在逼近。在警察抵达其迈阿密住所实施逮捕前，Lam走向屋后通往比斯坎湾的码头，将手机扔入水中。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所Coinbase（用户超1亿）披露称，与恶意客服人员勾结的网络犯罪团伙窃取了客户数据，并索要2000万美元赎金以阻止公开泄露信息。该公司表示拒绝支付赎金，但将设立2000万美元悬赏基金用于征集攻击者线索。 此次披露源于攻击者在5月11日向Coinbase发送的勒索邮件，其威胁若未收到2000万美元将公开部分客户账户数据及内部文件。据调查，攻击者通过收买海外客服承包商或支持人员非法访问内部系统窃取数据。Coinbase在发现这些内部人员未经授权访问系统后将其解雇，但此时数据已遭窃取。 尽管攻击者窃取了约1%客户（约100万人）的个人身份信息组合，但未能获取用户私钥、密码，也未侵入Coinbase Prime账户以及客户或交易所的热钱包/冷钱包。根据提交给美国证券交易委员会（SEC）的文件，泄露数据包括： 姓名、地址、电话及邮箱； 部分隐藏的社会保险号（仅显示末四位）； 部分隐藏的银行账号及账户标识符； 政府身份证件图像（如驾照、护照）； 账户数据（余额快照与交易记录）； 有限的企业数据（客服可访问的文档、培训材料及通信记录）。 “网络犯罪分子贿赂并招募海外恶意客服人员窃取数据，以实施社会工程攻击。这些内鬼滥用客服系统权限窃取了少量客户账户数据。”Coinbase在周四的博客声明中表示，“所有密码、私钥及资金均未泄露，Coinbase Prime账户未受影响。我们将赔偿因受骗向攻击者转账的客户。” 尽管财务影响仍在评估中，且Coinbase未透露受后续社会工程攻击影响的客户数量，但公司预计事件相关补救及赔偿费用将达1.8亿至4亿美元。为此，Coinbase将在美国新建客服中心，加强内部威胁检测、安全威胁模拟及自动化响应投入，并赔偿因社会工程攻击受骗转账的客户。 Coinbase建议客户警惕冒充其员工的诈骗行为，强调绝不会通过电话索要账户信息或要求转账。用户应启用双因素认证及提款白名单功能以确保交易安全。Coinbase表示：“对于受影响客户，我们对此事件造成的担忧与不便深表歉意。我们将持续解决问题并投资世界级防御体系——这正是我们保护客户、维护加密经济安全的承诺。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种由虚假网站网络构成的复杂钓鱼计划多年来持续针对Web3项目并大规模清空加密货币钱包。该计划最初于2024年4月被Validin检测为简单的加密钓鱼网站网络，但很快显现出更高复杂性和更大规模。这促使互联网情报平台提供商与SentinelOne的研究团队SentinelLabs合作开展进一步调查。 这项被研究人员命名为FreeDrain的计划，未依赖钓鱼邮件、短信（短信钓鱼）、社交媒体帖子和博客评论垃圾信息等常见传播手段，而是通过SEO操纵、免费层级网络服务和分层重定向技术瞄准加密货币钱包。该行动可能由位于印度（或可能斯里兰卡）的团队实施，至少自2022年起持续活跃。 Validin和SentinelLabs于2025年5月7日至9日在马拉加举行的威胁情报大会PIVOTcon 2025上公布了其发现。 2024年4月，Validin发布了一份记录系列加密窃取钓鱼页面的报告。该报告引起一名人士的注意，其联系Validin称损失了8枚比特币（当时价值约50万美元）。SentinelLabs和Validin研究人员在5月8日的联合报告中解释称：“受害者在点击高排名搜索引擎结果后，试图检查钱包余额时，无意间将钱包助记词提交至钓鱼网站。” 助记词（又称恢复短语或助记种子）是用于恢复加密货币钱包并访问相关资金的单词列表。可信的加密货币追踪分析师确认，用于接收受害者资金的目标钱包为一次性地址。他们表示，被盗资产迅速通过加密货币混币器转移——这是一种通过多笔交易分割和洗钱的混淆方法，使得追踪和追回几乎不可能。 研究人员报告称，尽管无法协助追回损失资产，但此次接触表明钓鱼攻击属于更广泛的大规模行动的一部分。进一步调查后，SentinelLabs和Validin研究人员识别出38,048个托管诱饵页面的FreeDrain子域名。这些子域名托管在亚马逊S3和微软Azure Web Apps等云基础设施上，模仿合法的加密货币钱包界面。 为使钓鱼网站网络更具吸引力，黑客综合运用SEO操纵技术、免费层级网络托管服务（如GitHub.io、WordPress.com、GoDaddySites、Gitbook）、域名抢注技术、熟悉视觉元素和分层重定向技术，诱使受害者误认为网站合法。 “我们对所有主流搜索引擎顶部结果中出现的大量诱饵页面感到震惊。”研究人员表示。“多数页面仅包含一张大图（通常是合法加密钱包界面的静态截图）和几行看似提供帮助说明的文字——讽刺的是，部分页面甚至声称要教育用户如何防范钓鱼攻击。”尽管看似基础，这些网页直接回答了搜索引擎用户可能输入的问题。此类页面已知会受到搜索引擎算法的推荐，尤其是当托管在高声誉平台时。 此外，FreeDrain运营者通过在维护不善的网站上进行大规模评论灌水，通过搜索引擎索引提升其诱饵页面的可见度——这种技术被称为“垃圾索引”。研究人员写道：“该技术使FreeDrain能绕过钓鱼邮件或恶意广告等传统传播途径，直接在用户最信任的搜索引擎顶部接触目标。”调查人员发现，许多诱饵页面的文字存在由大语言模型生成的证据。 他们指出，发现的复制粘贴痕迹揭示了具体使用工具，包括“4o mini”等字符串——可能指向OpenAI的GPT-4o mini模型。调查人员表示，这些迹象表明FreeDrain运营者正在利用生成式AI创建可扩展内容，但有时操作粗心。SentinelLabs和Validin研究人员梳理出最终导向钓鱼网站的逐步流程： 在主流搜索引擎搜索钱包相关查询（如“Trezor钱包余额”）。 点击高排名结果（通常托管在gitbook.io或webflow.io等看似可信的平台）。 进入显示可点击大图（通常是合法钱包界面静态截图）的页面。 点击图片，跳转至钓鱼页面或重定向至中间网站。 抵达最终钓鱼网站（与真实钱包服务近乎完美的克隆），诱导用户输入助记词。 一旦提交助记词，攻击者的自动化基础设施将在数分钟内清空资金。 调查人员最终表示，由于FreeDrain使用临时基础设施和共享免费服务，溯源行动具有挑战性。然而，通过分析仓库元数据、行为信号和时间痕迹，他们成功获取了运营者特征的重要线索，包括其可能位置、工作模式和协作水平。研究人员称，调查揭示了多项关键发现。他们分析了与FreeDrain关联的GitHub仓库，发现提交记录中的电子邮件地址唯一且关联独立GitHub账户，多数来自免费邮箱提供商。 此外，提交时间戳主要集中于UTC+05:30时区（对应印度标准时间IST），表明与印度（或可能斯里兰卡）存在强烈地理关联。该发现通过分析Webflow等其他服务的元数据得到佐证——日志显示IST时区清晰的工作日9点至17点工作模式。研究人员总结称，综合证据表明FreeDrain行动极可能由印度境内人员在标准工作日时段实施。他们还指出，该活动至少自2022年活跃，2024年中活动量显著增加，且报告发布时仍在持续。 针对FreeDrain活动暴露的问题，调查人员建议免费内容平台采取措施防止滥用并改进对恶意活动的响应： 改进滥用报告机制：允许直接从已发布内容页面举报滥用行为，并与可信威胁情报分析师和研究人员建立直接沟通渠道。 投资基础防滥用工具：监测批量账户创建、相似域名结构和外部钓鱼工具包重复托管等滥用模式。 增强检测能力：识别协同滥用行为，例如重复命名模式和跨子域名复用的相同模板。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦刑事警察局（BKA）以涉嫌洗钱和运营犯罪交易平台为由，查封了加密货币交易所eXch的线上基础设施并关闭其服务。 当局称，此次行动于2025年4月30日开展，并查获了8TB数据以及价值3400万欧元（约合3825万美元）的加密货币资产，包括比特币、以太币、莱特币和达世币。 据BKA披露，eXch[.]cx自2014年运营至今，提供加密货币兑换服务，用户可通过该平台交易数字资产。该平台同时存在于明网（clearnet）和暗网（dark web）。 BKA在一份声明中表示，eXch“在犯罪地下经济（UE）平台中公开宣称不实施任何反洗钱措施”，且“用户无需向服务提供身份信息，平台也不会存储用户数据。因此，通过eXch进行的加密货币兑换尤其适合掩盖资金流向”。 自平台上线以来，估计有价值19亿美元的加密货币资产通过其完成转移，其中包括朝鲜黑客组织今年早些时候入侵Bybit后获得的部分非法收益。 值得注意的是，eXch曾于4月17日宣布计划于本月停止运营，此举促使当局提前行动以获取“大量证据和线索”。 在BitcoinTalk论坛的一则帖子中，eXch声称关闭服务的理由是“已确认平台成为一项跨大西洋执法行动的目标，旨在强制关闭我们的项目并以‘洗钱和恐怖主义’罪名起诉我们”。其辩称：“我们从未想过支持洗钱或恐怖主义等非法活动，也绝无动机运营一个被视为犯罪的项目。这毫无意义。” 区块链情报公司TRM Labs在5月2日发布的报告中指出，eXch的链上活动与儿童性虐待材料（CSAM）犯罪组织有关，且该平台直接经手超过30万美元的CSAM相关资金。报告称：“尽管eXch以隐私保护型交易所自居，但其以阻碍生态问责而闻名，例如拒绝协助Bybit冻结可能与其黑客事件相关的资金。” 在平台被取缔后，荷兰财政情报和调查局（FIOD）表示“正积极调查通过该兑换服务参与洗钱及其他非法活动的个人”，并强调：“此次行动并非对隐私权的攻击。我们尊重隐私权，但也将在服务被滥用于犯罪时采取行动。请相关人士立即停止违法行为——问题不在隐私，而在犯罪滥用。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家指出，《纽约邮报》（New York Post）经过认证的X平台（原Twitter）账户疑似遭劫持，并被用于针对加密货币爱好者。2025年5月3日，Kerberus创始人兼CEO Alex Katz在X平台分享诈骗活动截图，显示@nypost认证账户被用于发送欺诈私信。 诈骗者冒充《纽约邮报》调查记者，以邀请嘉宾参与播客录制为名发送私信：“我们正在为新一期播客招募嘉宾，诚邀您参与录制。” 收到私信的用户若回复，会立即被对方在X平台拉黑，并被要求通过Telegram联系——此举疑似为避免触发《纽约邮报》团队警报，同时将受害者诱骗至Telegram实施加密货币诈骗。 网络安全公司Drew Security创始人、NFT收藏家Drew进一步分析称，此新型骗局利用用户对过往对话的信任，通过私信而非公开推送欺诈广告或恶意链接实施攻击。部分专家推测，攻击者可能试图利用Zoom等流行平台的安全漏洞安装恶意软件。 目前尚不清楚黑客如何获得账户权限及具体联系人数。《纽约邮报》尚未发布官方声明，Cybernews已联系该媒体寻求置评并将更新回应内容。 安全专家建议用户谨慎处理私信，尤其是要求切换至其他平台的请求——即使信息来自可信账户（因任何账户均可能被入侵）。截至发稿，@nypost账户仍可正常访问，但相关欺诈私信已被删除。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，追踪编号为Storm-1977的威胁行为者在过去一年中对教育行业的云租户实施了密码喷洒攻击。微软威胁情报团队在分析中表示：“此次攻击使用了AzureChecker.exe——一个被多种威胁行为者广泛使用的命令行接口（CLI）工具。” 这家科技巨头指出，他们观察到该二进制文件会连接到名为“sac-auth.nodefunction[.]vip”的外部服务器，以获取包含密码喷洒目标列表的AES加密数据。该工具还接受名为“accounts.txt”的文本文件作为输入，该文件包含用于执行密码喷洒攻击的用户名和密码组合。 微软表示：“威胁行为者随后使用来自这两个文件的信息，将凭证提交到目标租户进行验证。” 在雷德蒙德（微软总部所在地）观察到的一起成功账户入侵案例中，该威胁行为者利用来宾账户在被入侵的订阅中创建了一个资源组。攻击者随后在该资源组内创建了200多个容器，最终目的是进行非法加密货币挖矿。 微软称，诸如Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击，包括利用以下途径： 被入侵的云凭证来接管集群 存在漏洞和错误配置的容器镜像执行恶意操作 错误配置的管理接口访问Kubernetes API并部署恶意容器或劫持整个集群 运行存在漏洞代码或软件的节点 为缓解此类恶意活动，建议组织采取以下措施：确保容器部署和运行时的安全性，监控异常的Kubernetes API请求，配置策略阻止从未受信任的注册表部署容器，并确保容器中部署的镜像不存在漏洞。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜（朝鲜民主主义人民共和国，DPRK）存在关联的多个威胁活动集群被确认针对Web3及加密货币领域的机构与个人实施攻击。 谷歌旗下Mandiant公司在提供给《The Hacker News》的《2025 M-Trends报告》中指出：“朝鲜因遭受严厉国际制裁，其针对Web3与加密货币的攻击主要出于经济动机。这些活动旨在获取资金，据信用于支持朝鲜大规模杀伤性武器（WMD）计划及其他战略资产。” Mandiant表示，朝鲜相关攻击者已开发使用Golang、C++和Rust等多种语言编写的定制工具，具备感染Windows、Linux和macOS操作系统的能力。 追踪编号为UNC1069、UNC4899和UNC5342的三个威胁集群被发现重点攻击加密货币与区块链开发群体，主要渗透从事Web3项目的开发人员以非法获取加密货币钱包权限及其所属机构访问权限。各集群特征如下： UNC1069（活跃至少自2018年4月）：通过Telegram发送虚假会议邀请并伪装知名企业投资者身份，针对多行业实施社会工程攻击以窃取数字资产与加密货币 UNC4899（活跃自2022年）：以招聘测试为名分发恶意代码实施供应链攻击（与Jade Sleet、PUKCHONG、TraderTraitor等组织存在技术重叠） UNC5342（活跃自2024年1月）：使用含恶意代码的编程任务诱骗开发人员运行（与Contagious Interview、DEV#POPPER等组织存在技术重叠） 另一朝鲜攻击者UNC4736通过植入后门的交易软件渗透区块链行业，被指与2023年初3CX供应链攻击存在关联。Mandiant公司还发现独立集群UNC3782实施针对加密货币行业的大规模钓鱼攻击，2023年针对TRON用户实施钓鱼攻击，单日转移价值超1.37亿美元资产，2024年转向攻击Solana用户诱导其访问含加密货币流失器的页面。 朝鲜通过派遣数千名IT人员（主要居住在中国与俄罗斯）渗透欧美亚企业远程岗位，这些人员大多隶属负责核计划的313总局。他们使用盗用身份与完全虚构身份，在面试阶段运用Deepfake技术创建逼真合成身份。 单操作员可使用多个合成身份应聘同一职位，长期潜伏企业虚拟桌面、网络与服务器实施数据窃取与网络攻击。 Palo Alto Networks Unit 42研究员Evan Gordenker指出该策略使朝鲜IT人员可规避安全公告通缉，显著降低检测概率。谷歌威胁情报组（GTIG）报告显示渗透人员还通过勒索雇主、薪资回流平壤等方式支持朝鲜战略目标。 2024年某朝鲜IT人员使用至少12个虚构身份应聘欧美岗位，某美国公司同一岗位出现两名朝鲜渗透人员竞争，其中一人成功入职，另有机构12个月内雇佣四名朝鲜IT渗透人员。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动，该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析，此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源，转向新型Web3基础设施攻击。 该恶意程序部署于名为Teneo的去中心化物理基础设施网络（DePIN）节点。Teneo允许用户通过运行社区节点（Community Node）将社交媒体数据货币化，用户可获得Teneo积分（Teneo Points），并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫，从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。 从蜜罐中收集的工件的分析表明，攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传，迄今已被下载325次。 容器映像旨在运行一个嵌入式Python脚本，该脚本被严重混淆，需要63次迭代才能解压缩实际代码，从而建立与teneo[.]pro的连接。 Darktrace在与The Hacker News分享的一份报告中表示：“恶意软件脚本只是连接到WebSocket并发送保活ping，以便从Teneo获得更多积分，而不会进行任何实际的抓取。”。“根据该网站，大多数奖励都是根据心跳次数来决定的，这可能就是这种方法奏效的原因。” 此次攻击与另一起恶意活动存在相似性：后者通过感染配置错误的Docker实例植入9Hits Viewer软件，通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持（proxyjacking）等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。 Darktrace强调：“传统加密货币劫持依赖XMRig矿工程序，但因其高检测率，攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。” 此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK（CVE-2022-26210与CVE-2022-26187）及DrayTek（CVE-2024-12987）设备漏洞传播，主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。 安全研究员Vincent Li指出：“物联网与网络设备普遍存在防护薄弱问题，成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险，遏制此类恶意软件活动。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜加密货币窃贼正悄然利用鲜为人知的Zoom远程协作功能，在加密货币交易员与风险投资人士的工作站植入信息窃取恶意软件。非营利性安全联盟（SEAL）与网络安全研究公司Trail of Bits的独立报告显示，伪装成风投机构的平壤黑客通过Calendly链接发送Zoom会议钓鱼诱饵。 该行动被SEAL追踪为“Elusive Comet”，始于标准公关推介或直接邀请目标参与Aureon Capital旗下播客节目。若受害者接受邀请，黑客将安排Zoom通话以获取更多信息，常刻意延迟发送会议细节以制造紧迫感。 SEAL警告称：“受害者加入通话后会被要求共享屏幕进行演示。此时黑客通过Zoom请求控制受害者计算机。若受害者疏忽，可能误授远程权限，使Elusive Comet得以部署恶意软件。”该恶意软件兼具即时窃密与潜伏型远程访问木马（RAT）双重功能。 Zoom远程控制功能需用户明确授权方可实施。在已观测攻击中，黑客将显示名称改为“Zoom”，将权限请求伪装成系统弹窗。用户一旦误点批准，攻击者即获得完整键鼠控制权，随后投放恶意程序（含数据窃取模块与全功能RAT），全面扫描浏览器会话、密码管理器及加密种子短语。 SEAL事件日志显示该行动已造成数百万美元损失，并列出近30个傀儡社交媒体账户与多个伪造的Aureon Capital企业网站。Trail of Bits透露，其首席执行官曾遭遇冒充彭博制片人的X平台账号邀约“加密专题”采访，攻击者拒绝转用邮件沟通、临时发送会议链接，且提供的Zoom账户属于消费级而非企业账户。 该公司技术博客指出，攻击成功依赖macOS“辅助功能”权限与四步社会工程策略： 1、安排看似合法的商务通话 2、屏幕共享时请求远程控制 3、将显示名改为“Zoom”伪装系统通知 4、获取权限后实施恶意操作 Zoom官方文档明确声明，远程控制功能“绝非用于非受控管理”，而是作为“会议内”便利功能存在，任何会议主持人可在账户/群组/用户层级禁用该功能。管理员还可锁定该设置并移除攻击者用于跨设备传输私钥的剪贴板共享选项。 然而实际应用中，该功能默认保持开启状态于多数企业租户账户，且权限请求对话框未提供任何视觉提示以区分常规Zoom流程与异常请求。 Trail of Bits指出这种界面模糊性正是攻击的真正威力所在：面对传统远程桌面提示会警觉的专业安全人员，却很少对熟悉的协作工具产生戒心。该公司警告称：“此攻击的致命之处在于权限对话框与其他无害Zoom通知高度相似。习惯性点击‘批准’按钮的用户可能在无意识中授予计算机完全控制权。” Trail of Bits表示，观测到的攻击手法与2024年2月Bybit遭窃15亿美元事件的技术原理如出一辙——攻击者均通过操控合法工作流而非利用代码漏洞实施攻击。该公司补充道：“这印证了我们的观点：区块链行业已进入‘操作安全失效’时代，人为因素威胁现已超越技术漏洞风险。” Trail of Bits安全团队已将Zoom远程控制功能标记为“非必要风险”，并在其计算机系统部署技术控制措施禁用该功能。公司声明：“通过精准限制实现远程控制的辅助功能权限，我们既阻断了Elusive Comet的攻击载体，又确保合法视频会议功能不受影响。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文