HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用破解软件作为诱饵，传播信息窃取器，如 Lumma 和 ACR Stealer。 AhnLab 安全情报中心（ASEC）表示，自 2025 年 1 月以来，ACR Stealer 的分发量显著增加。 这种信息窃取恶意软件的一个显著特点是使用了一种称为 dead drop resolver 的技术来提取实际的命令与控制（C2）服务器。这包括依赖于合法服务，如 Steam、Telegram 的 Telegraph、Google Forms 和 Google Slides。 “威胁行为者将实际的 C2 域名以 Base64 编码的形式输入到特定页面，”ASEC 表示。“恶意软件访问该页面，解析字符串，并获取实际的 C2 域名地址以执行恶意行为。” ACR Stealer 之前通过 Hijack Loader 恶意软件分发，能够从受攻陷的系统中窃取广泛的信息，包括文件、网络浏览器数据和加密货币钱包扩展。 与此同时，ASEC 还披露了另一项活动，该活动利用扩展名为 “MSC” 的文件，这些文件可以通过 Microsoft Management Console（MMC）执行，来传递 Rhadamanthys 信息窃取器。 “有两种类型的 MSC 恶意软件：一种利用 apds.dll 的漏洞（CVE-2024-43572），另一种使用控制台任务面板执行‘命令’，”这家韩国公司表示。 “MSC 文件伪装成 MS Word 文档。当点击‘打开’按钮时，它会从外部来源下载并执行一个 PowerShell 脚本。下载的 PowerShell 脚本包含一个 EXE 文件（Rhadamanthys）。” CVE-2024-43572，也称为 GrimResource，于 2024 年 6 月首次被 Elastic 安全实验室记录为被恶意行为者利用的零日漏洞。微软在 2024 年 10 月修复了该漏洞。 此外，还观察到恶意软件活动利用聊天支持平台，如 Zendesk，伪装成客户，诱骗不知情的支持代理下载一种名为 Zhong Stealer 的信息窃取器。 根据 Hudson Rock 最近发布的一份报告，在过去的几年中，超过 3000 万台计算机被信息窃取器感染，导致企业凭据和会话 cookie 被窃取，这些凭据和会话 cookie 随后被网络犯罪分子在地下论坛上出售给其他行为者以牟利。 买家可以利用这些凭据获得的访问权限，进行自己的后续攻击行动，导致严重风险。这些发展突显了信息窃取器作为初始访问向量的作用，为敏感企业环境提供了立足点。 “网络犯罪分子可以以每台计算机（日志）10 美元的价格，从从事机密国防和军事部门工作的员工那里购买被盗数据，”Hudson Rock 表示。“信息窃取器情报不仅仅是检测谁被感染——更重要的是理解被攻陷凭据和第三方风险的整个网络。” 在过去一年中，威胁行为者还加大了通过一种称为 ClickFix 的技术传播各种恶意软件家族的努力，这通常涉及将用户重定向到假的 CAPTCHA 验证页面，指示他们复制并执行恶意的 PowerShell 命令。其中一种被投放的有效载荷是 I2PRAT，它利用 I2P 匿名网络来隐藏其最终的 C2 服务器。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一场传播 XLoader 恶意软件的恶意活动利用了与 Eclipse 基金会相关的合法应用程序，采用了 DLL 侧载技术。 “此次攻击中使用的合法应用程序 jarsigner，是在安装 Eclipse 基金会分发的 IDE 软件包过程中创建的文件，它是一种用于签署 JAR（Java 归档）文件的工具。” AhnLab 安全情报中心（ASEC）表示。 这家韩国网络安全公司指出，该恶意软件以压缩的 ZIP 压缩包形式传播，其中包含合法的可执行文件以及用于侧载以启动恶意软件的 DLL 文件： Documents2012.exe：合法的 jarsigner.exe 二进制文件的重命名版本 jli.dll：由威胁行为者修改的 DLL 文件，用于解密并注入 concrt140e.dll concrt140e.dll：XLoader 载荷 当运行 “Documents2012.exe” 时，攻击链进入恶意阶段，触发修改后的 “jli.dll” 库的执行，从而加载 XLoader 恶意软件。 “分发的 concrt140e.dll 文件是一个加密的载荷，在攻击过程中解密，并注入到合法文件 aspnet_wp.exe 中执行，” ASEC 说道。 “注入的恶意软件 XLoader 窃取用户的 PC 和浏览器信息等敏感信息，并执行下载其他恶意软件等各种活动。” 作为 Formbook 恶意软件的后续版本，XLoader 于 2020 年首次在野外被发现。它以恶意软件即服务（MaaS）模式出售给其他犯罪分子。2023 年 8 月，一种伪装成 Microsoft Office 的 macOS 版信息窃取程序和键盘记录器被发现。 Zscaler ThreatLabz 在本月发布的两部分报告中表示：“XLoader 6 和 7 版本增加了额外的混淆和加密层，旨在保护关键代码和信息，以规避基于签名的检测并增加逆向工程的难度。” 进一步分析显示，XLoader 采用了之前在 SmokeLoader 中观察到的技术，包括在运行时加密部分代码和规避 NTDLL 钩子。 对恶意软件的进一步分析还发现，它使用了硬编码的诱饵列表，将真实的命令与控制（C2）网络通信与合法网站的流量混合在一起。诱饵和真实的 C2 服务器都使用不同的密钥和算法进行了加密。 就像 Pushdo 等恶意软件家族一样，使用诱饵的目的是生成到合法域名的网络流量，以掩盖真实的 C2 流量。 DLL 侧载还被 SmartApeSG（又名 ZPHP 或 HANEYMANEY）威胁行为者滥用，通过被 JavaScript 网页注入破坏的合法网站传递 NetSupport RAT，远程访问木马作为传递 StealC 窃取器的通道。 随着 Zscaler 详细介绍了另外两个名为 NodeLoader 和 RiseLoader 的恶意软件加载器，它们被用于传播各种信息窃取程序、加密货币矿机和僵尸网络恶意软件，如 Vidar、Lumma、Phemedrone、XMRig 和 Socks5Systemz。 “RiseLoader 和 RisePro 在其网络通信协议的多个方面存在相似之处，包括消息结构、初始化过程和载荷结构，” 它指出，“这些重叠可能表明两个恶意软件家族背后是同一个威胁行为者。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自由职业软件开发者正成为一项持续活动的目标，该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族，即BeaverTail和InvisibleFerret。据《黑客新闻》报道，这一与朝鲜有关的活动被命名为“欺骗性开发”（DeceptiveDevelopment），与被追踪为“传染性面试”（Contagious Interview，又称CL-STA-0240）、DEV#POPPER、著名千里马（Famous Chollima）、PurpleBravo和坚韧的蓬山（Tenacious Pungsan）的集群有重叠。该活动自2023年底以来一直在进行。 “‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼，针对自由职业软件开发者，旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息，”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。 2024年11月，ESET向《黑客新闻》证实，“欺骗性开发”与“传染性面试”存在重叠，将其归类为一个新的拉撒路集团（Lazarus Group）活动，该活动旨在进行加密货币盗窃。 这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标，并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库，以工作面试过程为借口部署后门程序。 这些活动的后续版本已经扩展到其他求职平台，如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的，这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。 除了编码测试，这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。 “此外，他们被指示构建并执行项目以进行测试，这就是初始入侵发生的地方，”安全研究员马特耶·哈夫拉内克（Matěj Havránek）表示。“使用的代码库通常是私有的，因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限，这很可能是为了掩盖恶意活动，避免被研究人员发现。” 实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台，如MiroTalk或FreeConference。 虽然BeaverTail和InvisibleFerret都具有信息窃取功能，但前者作为后者的下载器。BeaverTail还有两种变体：一种是可嵌入特洛伊木马项目的JavaScript变体，另一种是使用Qt平台构建的本地版本，伪装成会议软件。 InvisibleFerret是一种模块化的Python恶意软件，它检索并执行三个额外的组件： pay：收集信息并充当后门，能够接受攻击者控制服务器的远程命令，记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据，以及安装AnyDesk和浏览器模块，并从浏览器扩展和密码管理器中收集信息； bow：负责窃取存储在基于Chromium的浏览器（如Chrome、Brave、Opera、Yandex和Edge）中的登录数据、自动填充数据和支付信息； adc：通过安装AnyDesk远程桌面软件作为持久化机制。 ESET表示，该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者，其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。 “攻击者不区分地理位置，旨在尽可能多地入侵受害者，以增加成功提取资金和信息的可能性。” 这也在运营商采用的明显较差的编码实践中得到体现，从未能删除开发注释到用于开发和测试的本地IP地址，表明该入侵组织并不关心隐蔽性。 值得注意的是，利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略，其中最突出的是一个长期活动，被称为“梦幻工作”（Operation Dream Job）。 此外，有证据表明，这些威胁行为者还参与了欺诈性的IT工作者计划，朝鲜国民在该计划中以虚假身份申请海外工作，以获取定期薪水，从而为政权的优先事项提供资金。 “‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一，并符合从传统货币转向加密货币的持续趋势，”ESET表示。 “在我们的研究过程中，我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件，以及更成熟的技巧来吸引受害者并部署恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet FortiGuard Labs 报告称，一种新的 Snake Keylogger 恶意软件变种正在活跃攻击中国、土耳其、印度尼西亚和西班牙的 Windows 用户。该变种自今年年初以来已导致全球超过 2.8 亿次感染尝试被阻止。 “Snake Keylogger 通常通过包含恶意附件或链接的网络钓鱼邮件传播，旨在通过记录键盘输入、捕获凭据和监控剪贴板来从流行的网络浏览器（如 Chrome、Edge 和 Firefox）中窃取敏感信息，”安全研究员 Kevin Su 表示。 该恶意软件的其他功能使其能够使用简单邮件传输协议（SMTP）和 Telegram 机器人将窃取的信息 exfiltrate 到攻击者控制的服务器，从而使威胁行为者能够访问窃取的凭据和其他敏感数据。 最新攻击的显著特点是利用 AutoIt 脚本语言来传递和执行主要负载。换句话说，包含恶意软件的可执行文件是一个 AutoIt 编译的二进制文件，从而使其能够绕过传统的检测机制。 “使用 AutoIt 不仅通过将负载嵌入编译后的脚本中使静态分析复杂化，还启用了模仿良性自动化工具的动态行为，”Su 补充道。 一旦启动，Snake Keylogger 会将自身的一个副本投放到 “%Local_AppData%\supergroup” 文件夹中的 “ageless.exe” 文件中。它还会在 Windows 启动文件夹中投放另一个名为 “ageless.vbs” 的文件，以便每次系统重启时，Visual Basic Script (VBS) 会自动启动恶意软件。 通过这种持久化机制，Snake Keylogger 能够在相关进程被终止后仍然保持对受感染系统的访问并继续其恶意活动。 攻击链的最后一步是将主要负载注入到合法的 .NET 进程（如 “regsvcs.exe”）中，使用一种称为进程空洞的技术，使恶意软件能够在受信任的进程中隐藏自身并绕过检测。 Snake Keylogger 还被发现记录键盘输入，并使用诸如 checkip.dyndns[.]org 之类的网站来检索受害者的 IP 地址和地理位置信息。 “为了捕获键盘输入，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL（标志 13），这是一个低级别的键盘钩子，用于监控键盘输入，”Su 表示。“这种技术使恶意软件能够记录敏感输入，如银行凭据。” 与此同时，CloudSEK 详细描述了一项活动，该活动利用与教育机构相关的被攻陷基础设施来分发伪装成 PDF 文档的恶意 LNK 文件，最终部署 Lumma Stealer 恶意软件。 该活动 targeting 金融、医疗保健、技术和媒体等行业，是一个多阶段攻击序列，导致密码、浏览器数据和加密货币钱包被盗。 “该活动的主要感染向量是使用恶意 LNK（快捷方式）文件，这些文件被设计成看起来像合法的 PDF 文档，”安全研究员 Mayank Sahariya 表示，并补充说这些文件托管在一个 WebDAV 服务器上，不知情的访问者在访问网站后会被重定向到该服务器。 LNK 文件本身会执行一个 PowerShell 命令，连接到远程服务器并检索下一阶段恶意软件，一个经过混淆的 JavaScript 代码，其中包含另一个 PowerShell，从同一服务器下载 Lumma Stealer 并执行它。 最近几周，还观察到通过混淆的 JavaScript 文件分发 stealer 恶意软件，以从受感染的 Windows 系统中收集广泛的敏感数据，并将其 exfiltrate 到由攻击者操作的 Telegram 机器人。 “攻击从一个混淆的 JavaScript 文件开始，该文件从开源服务获取编码字符串以执行 PowerShell 脚本，”Cyfirma 表示。 “该脚本随后从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件，两者都使用隐写技术嵌入了恶意 MZ DOS 可执行文件。一旦执行，这些负载会部署 stealer 恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的恶意软件活动利用网络注入来传播一种名为 FrigidStealer 的新型苹果 macOS 恶意软件。 这一活动被归因于一个此前未被记录的威胁行为者 TA2727，该行为者还与针对 Windows（Lumma Stealer 或 DeerStealer）和 Android（Marcher）平台的信息窃取器有关。 TA2727 是一个“使用假更新主题诱饵来分发各种恶意软件载荷的威胁行为者”，Proofpoint 威胁研究团队在一份报告中表示。 TA2727 是新近识别的威胁活动集群之一，与 TA2726 一起，后者被认为是一个恶意流量分发系统（TDS）运营商，为其他威胁行为者分发流量以传播恶意软件。这个以经济利益为动机的威胁行为者自 2022 年 9 月以来一直活跃。 TA2726 据称是 TA2727 和另一个名为 TA569 的威胁行为者的 TDS，后者负责分发一种基于 JavaScript 的加载器恶意软件 SocGholish（也称为 FakeUpdates），该软件通常在合法但已被攻陷的网站上伪装成浏览器更新。 “TA2726 以经济利益为动机，与其他以经济利益为动机的行为者如 TA569 和 TA2727 合作，”该公司指出。“也就是说，这个行为者很可能负责导致其他威胁行为者操作注入的网络服务器或网站攻陷。” TA569 和 TA2727 有一些相似之处，它们都通过恶意 JavaScript 网站注入来传播，这些注入模仿了 Google Chrome 或 Microsoft Edge 等网络浏览器的更新。TA2727 的不同之处在于使用了针对不同地理区域或设备提供不同载荷的攻击链。 如果用户在法国或英国的 Windows 计算机上访问受感染网站，他们会收到下载 MSI 安装程序文件的提示，该文件会启动 Hijack Loader（也称为 DOILoader），进而加载 Lumma Stealer。 另一方面，从 Android 设备访问相同的假更新重定向时，会导致部署一种名为 Marcher 的银行木马，该木马在野外已被检测到超过十年。 假浏览器更新 不仅如此，从 2025 年 1 月开始，该活动已更新，开始针对北美以外的 macOS 用户，将他们重定向到一个假更新页面，下载一种名为 FrigidStealer 的新型信息窃取器。 FrigidStealer 安装程序与其他 macOS 恶意软件一样，需要用户明确启动未签名应用以绕过 Gatekeeper 保护，之后会运行嵌入的 Mach-O 可执行文件来安装恶意软件。 “该可执行文件是用 Go 编写的，并进行了临时签名，”Proofpoint 表示。“该可执行文件是使用 WailsIO 项目构建的，该项目在用户的浏览器中呈现内容。这增加了对受害者的社会工程，暗示 Chrome 或 Safari 安装程序是合法的。” FrigidStealer 与其他针对 macOS 系统的窃取器家族并无二致。它利用 AppleScript 提示用户输入系统密码，从而获得提升的权限，以窃取来自网络浏览器、Apple Notes 和加密货币相关应用的文件和各种敏感信息。 “行为者正在利用网络攻陷来传播针对企业和消费者用户 的恶意软件，”该公司表示。“可以预见，这些网络注入将传播针对收件人的定制恶意软件，包括 Mac 用户，他们在企业环境中的数量仍然少于 Windows 用户。” 这一事件发生在 Denwp Research 的 Tonmoy Jitu 披露另一种完全不可检测的 macOS 后门 Tiny FUD 之后，该后门利用名称操作、动态链接守护进程（DYLD）注入和基于命令与控制（C2）的命令执行。 这也紧随新型信息窃取恶意软件 Astral Stealer 和 Flesh Stealer 的出现，它们旨在收集敏感信息、逃避检测并在受攻陷系统上保持持久性。 “Flesh Stealer 在检测虚拟机（VM）环境方面特别有效，”Flashpoint 在最近的一份报告中表示。“它会避免在 VM 上执行，以防止任何潜在的取证分析，展示了对安全研究实践的理解。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软威胁情报团队近日宣布，他们发现了一种新的 XCSSET 恶意软件变体，该变体在野外的有限攻击中被发现。 “这是自 2022 年以来已知的首个 XCSSET 变体，具有增强的混淆方法、更新的持久性机制和新的感染策略，”微软威胁情报团队在 X 上的一篇帖子中表示。 这些增强功能增加了该恶意软件家族之前已知的能力，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。 XCSSET 是一种复杂的模块化 macOS 恶意软件，已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。 随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中，这家网络安全公司指出，XCSSET 已经更新，可以从各种应用程序（如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序）中窃取数据。 Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713（一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞）作为零日漏洞，在不需要额外权限的情况下截取受害者桌面的屏幕截图。 一年多后，它再次更新，增加了对 macOS Monterey 的支持。截至目前，该恶意软件的起源仍未知。 微软的最新发现标志着自 2022 年以来的首次重大修订，采用了改进的混淆方法和持久性机制，旨在挑战分析工作，并确保每次启动新的 shell 会话时恶意软件都会被启动。 XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序，以管理 dock 项目。 “恶意软件随后创建一个假的 Launchpad 应用程序，并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目，”微软表示，“这确保了每次从 dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PirateFi的免费游戏在Steam商店中被发现向不知情的用户分发Vidar信息窃取恶意软件。 这款游戏在Steam目录中存在了近一周，从2月6日至2月12日，期间被最多1500名用户下载。分发服务已向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装Windows系统。 Steam上的恶意软件 PirateFi由Seaworth Interactive于上周在Steam上发布，并获得了正面评价。该游戏被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。 然而，Steam本周早些时候发现该游戏包含恶意软件，但未具体说明恶意软件的类型。 通知中写道：“该游戏的开发者账户上传了包含疑似恶意软件的版本。” “您在这些版本活跃期间在Steam上玩了PirateFi，因此这些恶意文件很可能已在您的电脑上运行，”服务警告称。 建议受影响用户运行全系统扫描，使用最新的杀毒软件，检查是否有不认识的新安装软件，并考虑重新格式化操作系统。 受影响用户还在PirateFi的Steam社区页面上发布了警告，告知其他用户不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获取了通过PirateFi分发的恶意软件样本，并确认其为Vidar信息窃取者的一个版本。 “如果您是下载了这款‘游戏’的玩家之一：请认为您的浏览器、电子邮件客户端、加密货币钱包等保存的凭据、会话cookie和秘密已被窃取，”SECUINFRA建议道。 建议更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。 根据动态分析和YARA签名匹配，识别为Vidar的恶意软件被隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe）与InnoSetup安装程序打包在一起。 Genheimer告诉BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭据窃取的命令与控制服务器。 研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是故意为之，旨在吸引特定的玩家群体。 Steam未公布受PirateFi恶意软件影响的用户数量，但从游戏页面的统计数据来看，最多可能有1500人受到影响。 恶意软件入侵Steam商店并不常见，但并非前所未有。 2023年2月，Steam用户曾被恶意的Dota 2游戏模式 targeting，这些模式利用Chrome n-day漏洞在玩家电脑上执行远程代码。 2023年12月，当时流行的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，注入了一个名为‘Epsilon’的信息窃取者投放器。 Steam引入了额外的措施，如基于短信的验证，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，这些措施还不够充分。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员观察，网络攻击者正在针对亚洲地区的互联网信息服务（IIS）服务器发起攻击，安装名为BadIIS的恶意软件，以实施搜索引擎优化（SEO）操纵活动。 趋势科技的研究人员泰德·李和伦纳特·贝尔梅霍在上周发布的分析报告中指出：“该活动很可能是出于经济动机，因为攻击者将用户重定向至非法赌博网站，表明他们利用BadIIS是为了谋取利润。” 此次攻击活动的目标包括印度、泰国、越南、菲律宾、新加坡、中国台湾、韩国、日本和巴西的IIS服务器，涉及政府、大学、科技公司和电信行业等多个领域。 攻击者通过向受感染服务器发送请求，可向用户推送篡改后的内容，包括将用户重定向至赌博网站，或连接到托管恶意软件或凭据收集页面的恶意服务器。 据推测，此次攻击活动可能与中国DragonRank威胁团伙有关。该团伙以使用SEO操纵手段传播BadIIS恶意软件而闻名，其活动曾在2024年被思科Talos记录。此外，DragonRank的活动还与ESET在2021年提到的“9号团伙”有关，后者利用受感染的IIS服务器提供代理服务并实施SEO欺诈。 趋势科技指出，此次检测到的恶意软件样本与“11号团伙”使用的变种存在相似之处，具有两种模式：一是通过篡改HTTP响应头信息实施SEO欺诈，二是向合法访问者的响应中注入可疑JavaScript代码。 研究人员表示：“BadIIS可以篡改来自网络服务器的HTTP响应头信息，它会检查收到的HTTP头中的‘用户代理’和‘来源’字段。如果这些字段包含特定的搜索引擎站点或关键词，BadIIS会将用户重定向至与非法在线赌博网站相关的页面，而不是合法网页。” 与此同时，Silent Push将中国Funnull内容分发网络（CDN）与一种名为“基础设施洗白”的行为联系起来。攻击者通过从亚马逊网络服务（AWS）和微软Azure等主流托管提供商处租用IP地址，用于托管犯罪网站。Funnull被指从亚马逊租用了超过1200个IP地址，从微软租用了近200个IP地址，这些恶意基础设施已被全部关停。然而，该公司表示：“Funnull每隔几周就会持续获取新的IP地址，很可能是通过欺诈或被盗账户获取这些IP地址，以映射到其CNAME。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全公司 Zimperium 发布警告称，威胁行为者利用超过 1000 款恶意应用窃取了印度数万名安卓用户的信息。 此次名为 FatBoyPanel 的恶意活动，通过使用实时电话号码进行短信重定向，而非传统的命令与控制（C&C）服务器来窃取一次性密码（OTP），这一点与典型的移动端恶意活动有所不同。据 Zimperium 称，此次攻击由单一威胁行为者发起，该行为者使用了大约 1000 个电话号码来收集用户信息。该公司还发现了大约 900 个与该活动相关的恶意软件样本，主要针对印度银行的用户。 “对收集到的样本进行分析后，我们发现这些样本具有相似的代码结构、用户界面元素和应用标识，这表明这是单一威胁行为者针对运行安卓操作系统的移动设备所进行的协调攻击，”Zimperium 在一份研究笔记中表示。 该公司表示，他们发现了 220 多个公开可访问的 Firebase 存储桶，威胁行为者在其中存储了 2.5GB 的信息，包括银行短信、银行卡和银行详细信息以及政府身份证数据，并估计有 5 万名用户受到了影响。 该活动依赖于 WhatsApp 来传播伪装成政府或银行应用的 APK 文件，但实际上这些文件会安装恶意软件，诱骗用户泄露敏感信息。“恶意软件利用短信权限拦截和窃取短信，包括一次性密码（OTP），从而实现未经授权的交易。此外，它还采用隐身技术隐藏图标并抵抗卸载，确保在受感染设备上的持久存在，”Zimperium 说。 该公司表示，恶意应用通过截获并转发短信、将窃取的短信发送到充当 C&C 服务器的 Firebase 数据库，或结合这两种技术来窃取受害者信息。 应用中嵌入了硬编码的电话号码，用于窃取一次性密码（OTP）和短信，“这表明这些号码要么直接由攻击者控制，要么属于受他们控制的被攻破的个人，”Zimperium 还发现，存储被盗信息的 Firebase 数据库缺乏身份验证机制，这意味着任何人都可以访问这些数据库，从而暴露了管理员的详细信息和用于窃取信息的电话号码。 通过访问攻击者的管理仪表板，Zimperium 发现了攻击中使用的电话号码，并得出结论，这使得多个用户可以操作该活动。Zimperium 追踪到这些硬编码的电话号码与印度的特定地区有关，如西孟加拉邦、比哈尔邦和贾坎德邦。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意软件包正悄然侵袭 Python 存储库，其目标直指那些有意向将 DeepSeek 融入自身工作流程的开发人员与工程师。 近期，DeepSeek 在人工智能领域掀起了一阵轩然大波，促使科技巨头们争先恐后地加速推进自家 AI 模型的发展进程。在这股全民热捧的浪潮之中，不法分子妄图趁虚而入，利用那些渴望将 DeepSeek 应用到自身业务中的人员。 Positive Technologies 的研究人员察觉并成功阻止了一起针对 Python 包索引（PyPI）存储库的恶意活动。 此次攻击的主要对象是开发人员、机器学习工程师以及 AI 爱好者，他们本打算借助 DeepSeek 的 AI 技术来简化项目操作流程。 经研究人员调查发现，此次攻击的发起者名为 “bvk”，该账户创建于 2023 年 6 月。值得注意的是，bvk 在此之前从未向 PyPI 存储库上传或贡献过任何内容。 然而，这一情况在 2025 年 1 月发生了转变，该用户上传了两个分别名为 “deepseeek” 和 “deepseekai” 的软件包。 “Deepseekai” 项目被宣传为 “DeepSeek AI API 的 Python 客户端 —— 可访问大型语言模型和 AI 服务”，这将使得开发人员的代码能够与 DeepSeek 的服务实现交互。 而 “deepseeek” 项目则号称是一个 “DeepSeek API 客户端”，允许开发人员在其 Python 项目中使用并部署 DeepSeek 的服务。 研究人员经核实确认，这些软件包均为非法软件，且发现它们旨在窃取用户和计算机数据以及环境变量。 环境变量通常包含运行应用程序所必需的敏感信息，例如用于安全防护的 API 密钥、数据库连接详细信息以及系统路径等。 毫不知情的用户若在命令行中运行 “deepseeek” 或 “deepseekai” 命令，可能并不会意识到，他们已经下载了正在后台悄然运行的恶意代码。 此恶意负载会暗中执行有害代码，在此情境下，它会从毫无防备的开发人员那里窃取数据。 研究人员发现的一个恶意代码的显著特点是，其作者利用 AI 来辅助编写脚本。 研究人员在察觉到这一情况后，迅速通知了管理员，相关软件包随即被删除。尽管如此，在被删除之前，这些软件包的下载量仍超过了 220 次。 近期，在 JavaScript（npm）和 Python（PyPI）等开源存储库中，发现的恶意软件包数量呈现出激增的态势。 研究人员对 700 多万个开源项目进行了分析，结果显示其中竟有 7% 的软件包包含恶意软件。 Sonatype 警告称：“仅在过去一年，就记录了超过 512,847 个恶意软件包，与上一年同期相比，增长幅度高达 156%，这一数据凸显出组织迫切需要调整其使用习惯。” 在现代软件中，高达 90% 的部分都依赖于开源组件。仅今年一年，此类软件包的下载量就已突破了 6.6 万亿次。然而，在 700 多万个可用软件包中，只有 10.5% 的开源代码在开发过程中得到了积极使用。   消息来源：Cyber News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文