HackerNews 编译，转载请注明出处： 微软近日披露了一场持续进行的恶意广告活动，该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。 该活动最早于2024年10月被发现，通过伪装成币安（Binance）或TradingView等合法软件的欺诈网站，以加密货币交易为诱饵，诱骗用户安装恶意安装程序。 下载的安装程序内嵌动态链接库（“CustomActions.dll”），其功能包括通过Windows管理规范（WMI）收集基础系统信息，并通过计划任务在受感染主机上实现持久化驻留。 为维持伪装，该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口，显示合法的加密货币交易网站。值得注意的是，“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。 与此同时，计划任务被配置为运行PowerShell命令，从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外，以此规避检测。 设置排除项后，系统会执行一条经过混淆的PowerShell命令，从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。 所有窃取的数据均被转换为JSON格式，并通过HTTPS POST请求发送至命令与控制（C2）服务器。 攻击链随后进入下一阶段：另一条PowerShell脚本被启动，从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译（JSC）文件的压缩包。Node.js可执行文件触发JSC文件的运行，该文件会建立网络连接并可能窃取浏览器敏感信息。 微软观察到的另一感染链中，攻击者采用“ClickFix”策略实现内联JavaScript执行，即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码（而非从文件加载）。 内联JavaScript执行的操作包括：通过网络探测识别高价值资产，将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。 微软表示：“Node.js是一个开源、跨平台的JavaScript运行时环境，允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用，受到广泛信任。然而，攻击者正利用Node.js的特性，试图将恶意软件与合法应用混淆，绕过传统安全防护机制，并长期潜伏在目标环境中。” 此次披露之际，CloudSEK发现一个仿冒PDF Candy（域名为candyxpdf[.]com或candyconverterpdf[.]com）的虚假PDF转DOCX网站，利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令，最终部署SectopRAT（又名ArechClient2）木马。 安全研究员Varun Ajmera在本周发布的报告中指出：“攻击者精心复制了真实平台的用户界面，并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族，以从受感染系统窃取敏感数据著称。” 此外，钓鱼活动还被发现使用基于PHP的工具包，以人力资源（HR）主题骗局针对企业员工，未经授权访问薪资门户并修改受害者银行账户信息，将资金转移至攻击者控制的账户。 部分活动被归因于名为“薪资海盗”（Payroll Pirates）的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告，仿冒人力资源页面，诱骗受害者提交账户凭证及双因素认证（2FA）代码。     消息来源：thehackernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被观察到通过 SourceForge（一个流行的软件托管服务）分发恶意载荷，如加密货币矿工和剪贴板恶意软件，这些恶意软件伪装成合法应用程序（如 Microsoft Office）的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害，它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件，”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名，但这家俄罗斯网络安全公司发现，officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接（俄语）。 此外，将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL：“loading.sourceforge[.]io/download，给人一种下载链接与 SourceForge 相关联的印象。然而，点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面，该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮，他们将收到一个 7 MB 的 ZIP 压缩包（“vinstaller.zip”），打开后包含一个受密码保护的第二个压缩包（“installer.zip”）和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序，该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic（VB）脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件，”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本，其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本，然后对 RAR 归档文件的内容进行操作，最终启动矿工和剪贴板恶意软件（即 ClipBanker）载荷。 此外，还会投放 netcat 可执行文件（“ShellExperienceHost.exe”），该文件与远程服务器建立加密连接。不仅如此，confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件，其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面，表明其专注于俄语用户。遥测数据显示，90% 的潜在受害者在俄罗斯，从 1 月初到 3 月下旬，共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中，因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式，攻击者提供了他们自己的，”卡巴斯基表示。“虽然此次攻击主要针对加密货币，通过部署矿工和 ClipBanker，但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能（AI）聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站，据 Malwarebytes 称，用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本，这些脚本通过 SSH 为受感染的主机提供远程访问，并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上，”卡巴斯基表示。“简单来说，攻击者将一个恶意库放在 TeamViewer 的同一文件夹中，这改变了软件的默认行为和设置，使其对用户隐藏，并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools（一个流行的 VMware 工具）的恶意 Google 广告，以投放一个名为 ThunderShell（又名 SMOKEDHAM）的修改版本，这是一个基于 PowerShell 的远程访问工具（RAT），强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell，有时也被称为 SmokedHam，是一个公开可用的后利用框架，专为红队行动和渗透测试而设计，”Field Effect 表示。“它提供了一个命令和控制（C2）环境，使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被称为 PoisonSeed 的恶意活动正在利用与客户关系管理（CRM）工具和批量邮件服务相关的泄露凭据，发送包含加密货币种子短语的垃圾邮件，试图清空受害者的数字钱包。 “批量垃圾邮件的接收者成为了加密货币种子短语投毒攻击的目标，”Silent Push 在分析中表示。“作为攻击的一部分，PoisonSeed 提供安全种子短语，诱使潜在受害者将其复制粘贴到新的加密货币钱包中，以便日后进行攻击。” PoisonSeed 的目标包括企业组织和加密货币行业外的个人。像 Coinbase 和 Ledger 这样的加密货币公司，以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等批量邮件服务提供商均在目标之列。 该活动被认为与两个 loosely aligned 的威胁行为者 Scattered Spider 和 CryptoChameleon 不同，两者都是更广泛的网络犯罪生态系统“Com”的一部分。该活动的一些方面之前由安全研究员 Troy Hunt 和 Bleeping Computer 于上个月披露。 这些攻击涉及威胁行为者为知名的 CRM 和批量邮件公司设置假冒的网络钓鱼页面，目的是诱骗高价值目标提供他们的凭据。一旦获得凭据，对手就会创建一个 API 密钥，以确保即使被盗密码被所有者重置，也能保持持久访问。 在下一阶段，操作者可能会使用自动化工具导出邮件列表，并从这些被攻陷的账户发送垃圾邮件。CRM 被攻陷后的供应链垃圾邮件通知用户，他们需要使用嵌入在电子邮件中的种子短语设置新的 Coinbase 钱包。 攻击的最终目标是使用相同的恢复短语劫持账户并从这些钱包中转移资金。与 Scattered Spider 和 CryptoChameleon 的关联源于使用了一个之前被识别为前者使用的域名（“mailchimp-sso[.]com”），以及 CryptoChameleon 历史上针对 Coinbase 和 Ledger 的攻击。 尽管如此，PoisonSeed 使用的网络钓鱼工具包与这两个威胁集群使用的没有任何相似之处，这表明它要么是 CryptoChameleon 的一个全新的网络钓鱼工具包，要么是一个不同的威胁行为者，只是碰巧使用了类似的战术。 这一进展发生在一个俄语系威胁行为者被观察到使用托管在 Cloudflare Pages.Dev 和 Workers.Dev 上的网络钓鱼页面来分发可以远程控制受感染 Windows 主机的恶意软件之后。该活动的早期版本也被发现分发了 StealC 信息窃取器。 “这一最新活动利用了围绕 DMCA（数字千年版权法案）下架通知的 Cloudflare 品牌网络钓鱼页面，这些通知跨越多个域名，”Hunt.io 表示。 “诱饵滥用 ms-search 协议通过双扩展名下载一个伪装成 PDF 的恶意 LNK 文件。一旦执行，恶意软件会与攻击者操作的 Telegram 机器人检查，发送受害者的 IP 地址，然后过渡到 Pyramid C2 来控制受感染的主机。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马，其主要攻击目标是西班牙和土耳其的用户。 据ThreatFabric称，Crocodilus甫一登场便是一个成熟的威胁，具备现代技术，如远程控制、黑屏覆盖以及通过辅助功能记录数据等。 与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。对源代码和调试消息的分析显示，该恶意软件的作者使用的是土耳其语。 荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器（软件包名称为“quizzical.washbowl.calamity”），充当一个能够绕过Android 13及以上版本限制的下载程序。 安装并启动后，该应用会请求访问Android辅助功能服务，随后与远程服务器建立联系，以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。 Crocodilus还能够针对加密货币钱包发起攻击，其覆盖层不是提供一个虚假的登录页面来捕获登录信息，而是显示一条警告信息，敦促受害者在12小时内备份他们的种子短语，否则可能会失去对钱包的访问权限。 这种社会工程技巧不过是威胁行为者的一种手段，目的是引导受害者访问其种子短语，然后通过滥用辅助功能服务来收集这些短语，从而让他们能够完全控制钱包并转移资产。 “它持续运行，监控应用启动并显示覆盖层以拦截凭证，”ThreatFabric说，“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。” 这使得恶意软件能够记录受害人在屏幕上执行的所有操作，以及触发对Google Authenticator应用内容的屏幕截图。 Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为，同时静音声音，从而确保这些行为不被受害者发现。 该恶意软件支持的一些重要功能如下： 启动指定的应用程序 从设备上自我删除 发送推送通知 向所有/选定联系人发送短信 获取联系人列表 获取已安装的应用程序列表 获取短信 请求设备管理权限 启用黑屏覆盖层 更新C2服务器设置 启用/禁用声音 启用/禁用键盘记录使自己成为默认的短信管理器 “Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级，”ThreatFabric说，“凭借其先进的设备接管能力、远程控制功能，以及从最早版本就开始部署的黑屏覆盖层攻击，Crocodilus展现出了在新发现的威胁中不常见的成熟度。” 与此同时，Forcepoint披露了一项网络钓鱼活动的细节，该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，其传播手段是一种经过混淆处理的Visual Basic脚本。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据CyberArk的研究发现，一款名为MassJacker的新型剪贴板恶意软件正在威胁使用盗版软件的用户，该恶意软件通过替换用户复制的加密货币钱包地址，将资金引流向攻击者控制的钱包，进而窃取加密货币。 剪贴板恶意软件是一种专门设计用于拦截和操纵剪贴板数据的恶意软件，通常用于窃取加密货币。当受害者复制一个加密货币钱包地址时，该恶意软件会将其替换为攻击者控制的地址，从而将资金转至黑客而非预期接收者。 “感染链始于一个名为pesktop[.]com的网站，该网站以提供盗版软件为幌子，同时试图让人们下载各种恶意软件。”安全研究员阿里·诺维克在本周早些时候发布的一份分析报告中表示。 最初的可执行文件充当了一个通道，用于运行一个PowerShell脚本，该脚本会交付一个名为Amadey的僵尸网络恶意软件，以及两个分别针对32位和64位架构的.NET可执行文件。 名为PackerE的二进制文件负责下载一个加密的DLL，该文件随后加载第二个DLL文件，通过将其注入名为“InstalUtil.exe”的合法Windows进程中来启动MassJacker的有效载荷。 加密的DLL具备多种增强其规避和反分析能力的功能，包括即时（JIT）挂钩、元数据令牌映射以隐藏函数调用，以及一个自定义虚拟机来解释命令，而非运行常规的.NET代码。 MassJacker自身带有反调试检查和一个配置文件，用于检索所有用于标记剪贴板中加密货币钱包地址的正则表达式模式。它还会联系远程服务器以下载包含攻击者控制的钱包列表的文件。 “MassJacker创建了一个事件处理程序，每当受害者复制任何内容时都会运行。”诺维克表示。“该处理程序会检查正则表达式模式，如果找到匹配项，就会将复制的内容替换为从下载列表中获取的属于威胁行为者的钱包地址。” CyberArk表示，他们识别出超过778,531个属于攻击者的唯一地址，其中只有423个地址包含总计约95,300美元的资金。但在这些钱包的资金被转出之前，所有钱包中持有的数字资产总额约为336,700美元。 此外，价值约87,000美元（600 SOL）的加密货币被发现存放在一个单一钱包中，有超过350笔交易将资金从不同地址转入该钱包。 目前尚不清楚MassJacker背后的攻击者身份，尽管对源代码的深入检查发现其与另一种名为MassLogger的恶意软件存在重叠，后者也利用了JIT挂钩技术以抵抗分析。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部正式指控俄罗斯加密货币交易所 Garantex 的管理员协助犯罪组织进行洗钱，并违反制裁规定。   涉案人员包括 46 岁的立陶宛籍俄罗斯居民 Aleksej Besciokov 和 40 岁的俄罗斯籍阿联酋居民 Aleksandr Mira Serda。两人自 2019 年至 2025 年间控制 Garantex，现被指控共谋洗钱，最高可判 20 年监禁。   此外，Besciokov 还被指控共谋经营未经许可的资金传输业务（最高可判 5 年监禁）以及违反《国际紧急经济权力法》（最高可判 20 年监禁）。   美国司法部今日表示，自 2019 年 4 月以来，Garantex 至少处理了 960 亿美元的加密货币交易。   Mira Serda 担任 Garantex 的联合创始人兼首席商务官，而 Besciokov 则是技术管理员，负责维护 Garantex 的关键基础设施，并审核、批准交易。   司法部指出，两人明知 Garantex 被用于洗白数亿美元的犯罪所得，并助长黑客攻击、勒索软件、毒品交易及恐怖活动，仍采取措施隐瞒交易所的非法行为。   本周，美国司法部联合德国和芬兰执法机构，查封了 Garantex 的域名（Garantex[.]org、Garantex[.]io、Garantex[.]academy）及其运营服务器。   此外，美国当局还掌握了此前的服务器副本，包括账目记录及客户数据库，并冻结了超过 2600 万美元的洗钱资金。   由于 Garantex 遭到欧盟第 16 轮对俄制裁，稳定币发行商 Tether 已封锁其数字钱包，迫使 Garantex 于周四暂停服务。本轮制裁针对 542 名个人及实体。   Garantex 团队在周四的 Telegram 公告中表示：“我们有坏消息。Tether 参与了针对俄罗斯加密市场的战争，冻结了我们价值超过 25 亿卢布的钱包。”   “我们暂时中止所有服务，包括加密货币提取。目前整个团队正全力解决此问题。我们在战斗，不会放弃！请注意，所有俄罗斯钱包中的 USDT 现已面临风险。”   2022 年 4 月，美国财政部外国资产控制办公室（OFAC）对 Garantex 进行制裁，原因是该交易所涉及超过 1 亿美元的暗网市场及网络犯罪交易，其中包括臭名昭著的 Conti 勒索软件团伙和 Hydra 暗网市场。   此外，2022 年 2 月，爱沙尼亚金融情报部门撤销了 Garantex 的虚拟货币服务许可证，理由是该交易所未能遵守反洗钱和反恐融资（AML/CFT）政策，并与犯罪资金相关的钱包存在关联。   OFAC 当时表示：“尽管失去了爱沙尼亚的许可证，Garantex 仍通过不正当手段向客户提供服务。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局已追回超过 2300 万美元的加密货币，这些加密货币与 2024 年 1 月从瑞波（Ripple）加密钱包中窃取的 1.5 亿美元有关。调查人员相信，2022 年入侵 LastPass 的黑客是此次攻击的幕后黑手。 尽管威胁行为者试图掩盖行踪，但执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到价值 23,604,815.09 美元的被盗数字资产，并将其与以下加密货币交易所关联：OKX、Payward Interactive, Inc.（即 Kraken）、WhiteBIT、AscendEX Technology SRL、Ftrader Ltd（即 FixedFloat）、SwapSpace LLC 和 Rabbit Finance LLC（即 CoinRabbit）。 美国司法部昨日解封的一份没收投诉书显示，美国特勤局的调查人员在采访受害者后认为，攻击者只能通过破解受害者密码库中存储的私钥来窃取加密货币，而这些私钥是在 2022 年在线密码管理器数据泄露事件中被盗取的。 他们发现，存储在多个受害者密码管理器账户中的被盗数据和密码被攻击者用来访问“他们的电子账户并窃取信息、加密货币和其他数据”。 他们还发现，没有证据表明受害者的设备被入侵，这表明攻击者是通过解密被盗的在线密码管理器数据来获取用于入侵受害者加密钱包的密钥。 “盗窃规模和资金迅速流失的情况表明，这需要多个恶意行为者的努力，并且与在线密码管理器数据泄露和其他类似情况受害者的加密货币盗窃案一致。” 尽管调查人员未明确指出受害者身份，但这些细节与 2024 年 1 月 31 日披露的瑞波联合创始人兼执行主席克里斯·拉森（Chris Larsen）钱包遭黑客攻击、价值 1.5 亿美元的加密货币被盗事件相符。 加密货币欺诈调查员扎克 XBT（ZachXBT）首先将本周追回的 2300 万美元加密货币与拉森的 XRP 钱包遭黑客攻击事件联系起来。 “美国执法部门昨日提交的没收投诉书揭示了 2024 年 1 月瑞波联合创始人克里斯·拉森钱包遭袭的 1.5 亿美元（2.83 亿 XRP）的原因，即私钥存储在 LastPass（2022 年遭黑客攻击的密码管理器）中，”他今日在 Telegram 消息中表示。 3 月 7 日 14:40 东岸时间：LastPass 在发布后发表以下声明： “自 2022 年我们首次披露这一事件以来，LastPass 一直与执法部门的多位代表密切合作。到目前为止，我们的执法合作伙伴尚未向我们提供任何确凿证据，将任何加密货币盗窃与我们的事件联系起来。在此期间，我们一直在大力投资加强安全措施，并将继续这样做。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局与司法部刑事司、联邦调查局、欧洲刑警组织以及荷兰国家警察、德国联邦刑事警察局、法兰克福总检察院、爱沙尼亚国家刑事警察和芬兰国家调查局等其他执法部门合作，查封了俄罗斯加密货币交易所 Garantex 的网站域名 。 据两位知情人士透露，Garantex 涉嫌协助勒索软件团伙和暗网市场转移资金，其域名已被美国特勤局根据弗吉尼亚州东区美国检察官办公室的搜查令查封并控制。Garantex 的官方网站已被替换为一个通知，上面写着：“根据搜查令，Garantex 的域名已被美国特勤局查封。” 此外，据知情人士表示，Garantex 的主要运营地点包括莫斯科的联邦大厦和圣彼得堡，其他被制裁的虚拟货币交易所也在这些地方运营。此外，Garantex 在 2022 年 2 月失去了在爱沙尼亚提供虚拟货币服务的执照，因为爱沙尼亚金融情报局发现了其与犯罪活动钱包的关联，以及反洗钱和反恐融资政策的严重合规问题。 美国财政部外国资产控制办公室（OFAC）于 2022 年 4 月对 Garantex 实施了制裁，原因是其与俄罗斯勒索软件团伙和暗网市场 Hydra 有关联，这两者也都遭到制裁。此后，OFAC 又对 Cryptex 和 PM2BTC 等加密货币交易所实施了制裁，原因是它们为俄罗斯勒索软件团伙和其他网络犯罪组织洗钱。 然而，尽管面临多方制裁，Garantex 仍在寻找机会继续运营。该交易所周四在其电报频道表示：“尽管困难重重，我们仍在坚持，并努力解决这些问题。我们不会放弃，所有在俄罗斯钱包中的 Tether（USDT）目前都面临风险。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文