雇佣间谍软件通常涉及政府和执法机构试图监视某些关键目标。苹果公司表示，攻击是“持续性的和全球性的”。 苹果公司正在向部分 iPhone 用户发出有关间谍软件攻击的另一条警告。 距离上一轮警告发布已过去三个月，此次新警报引起了安全研究人员和隐私组织的关注。间谍软件监督组织 Citizen Lab 的研究员 John Scott-Railton 在推特上写道：“认真对待这些警报，寻求专家帮助。” 据TechCrunch 报道，苹果已向 98 个国家的用户发出警告。警告内容据称是：“苹果检测到您正受到雇佣间谍软件攻击，该软件正试图远程入侵与您的 Apple ID -xxx- 关联的 iPhone。” 目前尚不清楚此次攻击涉及哪种间谍软件，以及攻击了多少部 iPhone。但雇佣间谍软件攻击通常涉及那些关键人物、社会活动人士，通常通过零点击攻击（受害者完全无法察觉）。 最臭名昭著的雇佣间谍软件之一是 Pegasus(飞马间谍软件)，它来自一家以色列公司。近年来，Pegasus 被发现出现在记者甚至英国首相办公室成员的手机上。 在一份支持文件中，苹果表示“绝大多数用户永远不会成为此类攻击的目标”，因为雇佣间谍软件通常依赖于罕见的软件漏洞，而这些漏洞的发现和开发成本可能高达数百万美元。 苹果公司表示：“尽管雇佣间谍软件攻击的对象是极少数个人——通常是记者、活动家、政客和外交官——但它们仍在持续进行，而且遍布全球。” 自 2021 年以来，苹果一直在向用户发出间谍软件警报。今年 4 月，苹果向 92 个国家的消费者发出了警报。苹果公司周三发送的警告并未透露攻击者的身份或用户收到通知的国家/地区。 为了防范间谍软件威胁，苹果为 iPhone 创建了一种锁定模式，该模式可禁用某些功能以阻止间谍软件攻击成功瞄准设备。 锁定模式时将采取的安全措施： Messages：除图片外，大多数信息附件类型均被屏蔽。部分功能（如链接预览）被禁用。 网页浏览：除非用户将受信任的站点从锁定模式中排除，否则某些复杂的网页技术（如即时 JavaScript 编译）将被禁用。 Apple 服务：如果用户之前没有向发起者发送呼叫或请求，则传入的邀请和服务请求（包括 FaceTime 呼叫）将被阻止。 FaceTime：之前没有呼叫过的人的 FaceTime 来电将被阻止。 共享相册：共享相册将从照片应用中删除，并且新的共享相册邀请将被阻止。 当 iPhone 被锁定时，与电脑或配件的有线连接将被阻止。 当锁定模式处于开启状态时，无法安装配置文件，并且设备无法注册到移动设备管理 (MDM)。 注：普通人不必启用锁定模式，锁定模式会限制大量正常功能，大多数消费者是不会喜欢的。普通人也不必担心上述间谍软件的攻击，因此类攻击所需要的的成本太高了。非关键人物不会成为此类攻击的目标。 该公司还建议用户使用最新软件版本更新他们的 Apple 设备，并在他们的帐户中使用多因素身份验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hd5dm71j4x9pFHQbbzsHLQ 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，一家未具名的韩国企业资源规划（ERP）供应商服务器被发现遭到入侵，从而传播了一个名为Xctdoor的基于Go的后门程序。 AhnLab安全情报中心（ASEC）于2024年5月发现了这一攻击，指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式，利用ERP解决方案传播HotCroissant等恶意软件。 在ASEC最近分析的事件中，攻击者通过可执行文件被篡改，使用regsvr32.exe进程从特定路径执行一个DLL文件，该文件能够窃取系统信息，包括击键、屏幕截图和剪贴板内容，并执行攻击者发出的命令。 ASEC 表示，Xctdoor 使用 HTTP 协议与命令与控制服务器通信，而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件，这是一个注入器恶意软件，负责将 Xctdoor 注入合法进程（如 “explorer.exe”）。 ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门，该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件，文件包含一个混淆的JavaScript或dropper，通过regsvr32.exe执行DLL文件，执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信，便于窃取信息、下载/上传文件，以及更新和终止自身活动。 安全研究员伊丹-塔拉布（Idan Tarab）表示，这也是继Konni网络间谍组织（又名Opal Sleet、Osmium或TA406）之后又一起针对韩国策划的 “大规模 “恶意软件传播活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405396.html 封面来源于网络，如有侵权请联系删除

Polyfill供应链攻击事件曝光已经过去一周，但仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站，其中不乏财富500强和政府网站。 2024年6月25日，Sansec安全研究团队披露了一起严重的网络安全事件：知名的Polyfill开源库的CDN分发站点polyfill.io（以及GitHub账户）自今年2月卖给了一家中国企业之后，开始嵌入恶意程序，以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计，超过10万个网站受到了这次攻击的影响，包括很多知名上市公司。Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能，当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时，网站即可导入该函数库来实现相同的功能。 Sansec的报告发布两天后，业界纷纷采取措施缓解Polyfill.io的风险：域名注册商 Namecheap暂停了域名（Polyfill.io），此举有效地阻止了恶意代码在访客设备上运行。随后，Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。 Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io，或是改用由Fastly或Cloudflare所提供的Polyfill方案。 虽然业界集体行动暂时缓解了polyfill供应链攻击威胁，但是，据安全公司Censys的最新报告，截至本周二，仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关，包括： 华纳兄弟（www.warnerbros.com） Hulu（www.hulu.com） 梅赛德斯-奔驰（shop.mercedes-benz.com） 培生（digital-library-qa.pearson.com、digital-library-stg.pearson.com） ns-static-assets.s3.amazonaws.com amazonaws.com是仍链接到polyfill站点的网站中最常用的域名，这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。 Censys还发现182个以.gov结尾的域名，可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。 上述调查结果再次证明了软件供应链攻击的巨大杀伤半径，同时也意味着危险并未真正解除，因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点，这个定时炸弹随时有可能再次被引爆。 值得警惕的是，Censys扫描互联网还发现，有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名（bootcdn[.]net、staticfile[.]net和staticfile[.]org）还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aqOw6LtpiCsDxAoAJbcaKg 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，一起来自多国执法机构组成的联合行动成功关闭了 593 台运行未经授权版本的 Cobalt Strike 的流氓服务器，这些服务启经常被网络犯罪分子滥用。 这项为期一周的行动于 2024 年 6 月 24 日开始，代号为“墨菲斯行动”，由英国国家犯罪局（NCA）牵头，由欧洲刑警组织协调。参与的机构包括联邦调查局、澳大利亚联邦警察和加拿大皇家骑警，针对 27 个国家和地区的 129 家互联网服务提供商的 690 个恶意 Cobalt Strike 软件实例。 行动结束时，通过向互联网服务提供商发送服务器下线和滥用通知，提醒他们注意网络上的恶意软件，其中 593 个实例已被清除。该行动还利用恶意软件信息共享平台共享实时威胁情报，帮助识别了近 120 万个危害指标。 Cobalt Strike是一种合法的网络安全工具，专为渗透测试和红队行动而设计，能帮助安全专业人员模拟网络攻击，以识别和缓解网络中的漏洞。然而，强大的功能使其成为网络犯罪分子的最爱，利用它们进行真实攻击，包括勒索软件和数据盗窃。 被这次行动关闭的服务器预计将极大地破坏依赖 “Cobalt Strike “进行攻击的网络犯罪行动。不过专家提醒，这可能只是暂时的。 取缔Cobalt Strike 非法行为是一项多方面的工作，涉及实时威胁情报共享、网络扫描、主动探测、与互联网服务提供商合作以及国际协调。但网络犯罪分子通常具有较快的应变与适应能力，往往在服务器被攻陷后不久就会建立新的基础设施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405155.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对以色列各实体的攻击活动，该攻击使用了 Donut 和 Sliver 等公开可用的框架。 HarfangLab 在上周的一份报告中表示，此次攻击活动被认为具有高度针对性，“利用针对特定目标的基础设施和定制的 WordPress 网站作为有效载荷传送机制，但影响到不相关垂直领域的各种实体，并依赖于知名的开源恶意软件”。 这家法国公司正在以 Supposed Grasshopper 为名跟踪该活动。它指的是攻击者控制的服务器（“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”），第一阶段下载程序会连接到该服务器。 这个用 Nim 编写的下载器很初级，其任务是从暂存服务器下载第二阶段恶意软件。它通过虚拟硬盘 (VHD) 文件进行传输，该文件被怀疑是通过自定义 WordPress 网站传播的，属于驱动下载计划的一部分。 从服务器检索的第二阶段有效载荷是Donut ，一个 shellcode 生成框架，它作为部署名为Sliver的开源Cobalt Strike替代品的管道。 研究人员表示：“运营商还付出了巨大努力，获取专用基础设施并部署真实的 WordPress 网站来投递有效载荷。总的来说，这次活动感觉像是一支小团队的杰作。” 该活动的最终目标目前尚不清楚，但 HarfangLab 推测它也可能与合法的渗透测试操作有关，这种可能性引发了一系列有关透明度和冒充以色列政府机构的必要性的问题。此次披露之际，SonicWall Capture Labs 威胁研究团队详细介绍了一条感染链，该链使用设有陷阱的 Excel 电子表格作为起点，投放一种名为 Orcinius 的木马。 该公司表示：“这是一个多阶段木马，它使用 Dropbox 和 Google Docs 下载第二阶段的有效载荷并保持更新。它包含一个模糊的 VBA 宏，可以挂接到 Windows 中以监视正在运行的窗口和击键，并使用注册表项创建持久性。”   转自e安全，原文链接：https://mp.weixin.qq.com/s/VcX4C1TZ2vGijCMIWP-TbQ 封面来源于网络，如有侵权请联系删除

据观察，未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具，主要针对加拿大、印度、波兰和美国目标。 Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份报告中表示：“MerkSpy 旨在秘密监视用户活动，获取敏感信息并在受感染系统上建立持久性。” 攻击链的起点是一个 Microsoft Word 文档，其中表面上包含软件工程师职位的描述。 诱饵文档 但打开该文件会触发CVE-2021-40444漏洞利用，这是 MSHTML 中的一个高严重性漏洞，可能导致远程代码执行而无需任何用户交互。微软已在 2021 年 9 月发布的补丁更新中解决了该问题。 在这种情况下，它为从远程服务器下载 HTML 文件（“olerender.html”）铺平了道路，然后在检查操作系统版本后启动嵌入式 shellcode 的执行。 林解释说，“Olerender.html”利用“VirtualProtect”修改内存权限，从而允许将解码后的 shellcode 安全地写入内存”。 “随后，‘CreateThread’ 执行注入的 shellcode，为从攻击者的服务器下载和执行下一个负载做好准备。此过程确保恶意代码无缝运行，从而促进进一步的利用。” 该 shellcode 充当一个文件下载器，该文件的标题看似是“GoogleUpdate”，但实际上却包含一个注入器负载，负责逃避安全软件的检测并将 MerkSpy 加载到内存中。 攻击链 该间谍软件通过更改 Windows 注册表在主机上建立持久性，以便在系统启动时自动启动。它还具有秘密捕获敏感信息、监视用户活动以及将数据泄露到黑客控制的外部服务器的功能。 其中包括屏幕截图、按键、存储在 Google Chrome 中的登录凭据以及来自 MetaMask 浏览器扩展程序的数据。所有这些信息都传输到 URL“45.89.53[.]46/google/update[.]php”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-JhoU2lIZtocBR9Fg0z4cw 封面来源于网络，如有侵权请联系删除

“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。 SentinelOne 安全研究员 Alex Delamotte在一篇报告中表示：“这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势，新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。” 该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。 透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。 “本报告中重点介绍的活动表明，这种技术仍在继续使用，社会工程学借口不断更新，并努力最大限度地提高间谍软件与旧版本 Android 操作系统的兼容性，同时扩大攻击面以包括支持最新 Android 版本。”Delamotte 解释道。 SentinelOne 识别出的新恶意 APK 文件列表如下： 疯狂游戏（com.maeps.crygms.tktols） 性感视频（com.nobra.crygms.tktols） TikTok（com.maeps.vdosa.tktols） 武器（com.maeps.vdosa.tktols） CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL，同时在后台滥用其权限访问位置、短信、联系人和通话记录；拨打电话；截屏；或录制音频和视频。 假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView 该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限，这表明攻击者旨在将其用作监视工具而不是后门。 Delamotte 说：“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少，但表明开发人员专注于使该工具更加可靠和稳定。” “决定使用较新版本的 Android 操作系统是合乎逻辑的，并且可能与该组织持续针对印度政府或军事领域的个人的目标一致，这些人不太可能使用运行旧版本 Android 的设备，例如 8 年前发布的 Lollipop。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IESzCr121X58ch9kQ3oLVw 封面来源于网络，如有侵权请联系删除

虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。 这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。 具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。 在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。 安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 – ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。 “安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。 Windows 更新中的 0x80070643 事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。 这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。 虚假 IT 网站宣传 PowerShell 修复程序 据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。 eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。” “当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。” 研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。 就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。 YouTube 上宣传的虚假 IT 支持网站 这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。 伪装成 Windows 错误修复程序的恶意 PowerShell 脚本 该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。 混淆的 Windows 注册表文件 但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。 未混淆的 Windows 注册表文件 使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。 虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。 您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。 至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCN4EZMLj7Hhlszvau0xdA 封面来源于网络，如有侵权请联系删除

WordPress、Magento 和 OpenCart 等多个内容管理系统 (CMS) 平台已成为一种名为 Caesar Cipher Skimmer 的新型信用卡网络盗刷软件的攻击目标。 网络盗刷是指为了窃取财务和支付信息而将恶意软件注入电子商务网站的行为。 据 Sucuri 称，最新的攻击活动恶意修改了与 WordPress 的 WooCommerce 插件相关的结账流程 PHP 文件（”form-checkout.php”），从而窃取了信用卡信息。 安全研究员 Ben Martin 说：”在过去的几个月里，这些注入文件被修改得不再像可疑的长混淆脚本。”他指出，该恶意软件试图伪装成谷歌分析和谷歌标签管理器。 具体来说，恶意软件利用凯撒密码中使用的相同替换机制，将恶意代码编码成乱码字符串，并隐藏用于托管有效载荷的外部域。 据推测，所有网站都曾通过其他手段被入侵过，最终安装了名为 “style.css “和 “css.php “的 PHP 脚本，目的显然是为了模仿 HTML 样式表并逃避检测。 这些脚本反过来被设计用来加载另一个混淆的JavaScript代码，该代码会创建一个WebSocket并连接到另一台服务器，以便获取实际的恶意负载。 Martin 指出：“脚本会发送当前网页的 URL，这样攻击者就可以为每个受感染的网站发送定制的响应。有些版本的第二层脚本甚至会检查是否由登录的 WordPress 用户加载，并为他们修改响应。” 有些版本的脚本还用俄语写了程序员可读的注释，这表明幕后的黑客是讲俄语的。 WooCommerce中的form-checkout.php文件并不是用来部署窃取程序的唯一方法，攻击者还会滥用合法的WPCode插件并将其注入网站数据库。 在使用 Magento 的网站上，JavaScript 注入是在 core_config_data 等数据库表上执行的。目前还不知道 OpenCart 网站是如何做到这一点的。 由于WordPress及其庞大的插件生态系统被广泛用作网站的基础，它们已成为黑客有利可图的攻击目标，让黑客能够轻松访问广阔的攻击面。 网站所有者必须持续更新内容管理系统软件和插件，同时确保密码安全，并定期审查是否存在可疑的管理员账户。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌DeepMind部门近日开展了业界首个针对AI技术恶意用途的研究，发现人工智能生成的“深度伪造”在模仿政治人物和名人方面远比用于网络攻击的AI应用更为普遍。 研究指出，生成逼真的伪造人物图像、视频和音频的行为几乎是利用基于文本的工具（如聊天机器人）生成并在线发布虚假信息的两倍。 DeepMind与谷歌研发部门Jigsaw共同进行的分析显示（下图），滥用生成式AI的最常见目的是塑造或影响公众舆论，占所有滥用行为的27%。这加剧了人们对深度伪造可能在今年全球选举中影响选民的担忧。 最常见的AI恶意应用数据 来源：Deepmind 最近几个月，英国首相里希·苏纳克以及其他全球领导人的深度伪造视频已在TikTok、X和Instagram上出现。下周，英国选民将进行大选投票。 尽管社交媒体平台努力标记或删除此类内容，但人们担心观众可能无法识别这些内容是伪造的，其传播可能会影响选民的决定。 艾伦图灵研究所的研究员阿尔迪·简杰瓦表示，研究发现，AI生成内容污染公共信息，可能“扭曲人们对社会政治现实的集体理解，且这种扭曲在短期内可能难以察觉，会对我们的民主构成长期风险。” 是谷歌AI部门DeepMind由德米斯·哈萨比斯爵士领导的首次此类研究，旨在量化生成式AI工具的使用风险。全球最大的科技公司正在争相向公众推出这些工具，以追求巨额利润。 随着OpenAI的ChatGPT和谷歌的Gemini等生成产品的广泛应用，AI公司开始监控由其工具创建的大量错误信息和其他潜在有害或不道德的内容。 今年5月，OpenAI发布研究，宣称与俄罗斯、伊朗和以色列等国相关的黑客行动正操作使用其工具创建并传播虚假信息。 谷歌DeepMind和Jigsaw的研究人员分析了2023年1月至2024年3月间观察到的大约200起滥用事件，这些事件来自X和Reddit等社交媒体平台，以及在线博客和媒体报道。 研究发现，滥用生成式AI的第二大动机是赚钱，无论是提供生成深度伪造服务，包括生成真实人物的裸照，还是使用生成式AI创建大量内容，如虚假新闻文章。 研究发现，大多数事件使用了易于访问的工具，“仅需最低限度的技术专长”，极低的使用门槛意味着更多的恶意行为者可以滥用生成式AI。 谷歌DeepMind的研究将影响其如何改进评估，以测试模型的安全性，并希望这也将影响其竞争对手和其他利益相关者对“危害显现”方式的看法。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aBSTfriqMDVFxrgl4_7tPg 封面来源于网络，如有侵权请联系删除