HackerNews 编译，转载请注明出处： 网络安全研究人员已对官方扩展应用市场中一款新的恶意Microsoft Visual Studio Code（VS Code）扩展发出警示，该扩展针对Moltbot（原名Clawdbot），自称是免费的人工智能编码助手，却会在受感染主机上暗中植入恶意载荷。 该扩展名为“ClawdBot Agent – AI Coding Assistant”（标识符为“clawdbot.clawdbot-agent”），现已被微软下架。它由用户“clawdbot”于2026年1月27日发布。 Moltbot近期大受欢迎，截至本文撰写时，其在GitHub平台的标星量已超过8.5万。这一开源项目由奥地利开发者Peter Steinberger创建，支持用户在自有设备本地运行基于大语言模型（LLM）驱动的个人人工智能助手，并可通过WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams和WebChat等主流通信平台与其交互。 关键点在于，Moltbot本身并未提供官方的VS Code扩展，这意味着此次活动的幕后黑手利用该工具日益增长的热度，诱骗毫无戒心的开发者安装恶意扩展。 该恶意扩展被设计为在每次启动集成开发环境（IDE）时自动执行，它会暗中从外部服务器（“clawdbot.getintwopc[.]site”）获取名为“config.json”的文件，进而执行一个名为“Code.exe”的二进制程序，该程序会部署ConnectWise ScreenConnect 等合规远程桌面程序。 随后，该应用会连接至URL“meeting.bulletmailer[.]net:8041”，使攻击者获得对受感染主机的持续性远程访问权限。 “攻击者搭建了自己的ScreenConnect中继服务器，生成了预配置的客户端安装程序，并通过VS Code扩展进行分发，”Aikido研究员Charlie Eriksen表示。“受害者安装该扩展后，会获得一个功能完整的ScreenConnect客户端，并立即主动连接至攻击者的基础设施。” 此外，该扩展还包含一个后备机制：从“config.json”文件中列出的DLL获取数据，并通过侧载方式从Dropbox获取相同有效载荷。这个用Rust编写的DLL（“DWrite.dll”）确保即使命令与控制（C2）基础设施无法访问，ScreenConnect客户端仍能成功部署。 这并非该扩展内置的唯一恶意载荷投递备份机制。该伪造的Moltbot扩展还嵌入了硬编码URL，用于获取可执行文件及待侧加载的DLL。第二种替代方法则是通过批处理脚本从另一个域名（“darkgptprivate[.]com”）获取恶意载荷。   Moltbot的安全隐患 此次披露的背景是，安全研究员、Dvuln 公司创始人Jamieson O’Reilly发现网络上存在数百个未认证的 Moltbot 实例，导致配置数据、应用程序编程接口（API）密钥、开放授权（OAuth）凭证及私人聊天记录泄露给未授权主体。 “真正的问题在于Clawdbot代理拥有高度自主权，”O’Reilly解释道。“它们能以用户身份在Telegram、Slack、Discord、Signal和WhatsApp上发送消息，并能执行工具和运行命令。” 这进而可能导致攻击者冒充用户联系其通讯录好友、在持续对话中插入恶意消息、篡改代理回复内容，并在用户不知情下窃取敏感数据。更严重的是，攻击者可能通过MoltHub（原ClawdHub）分发植入后门的 Moltbot “技能组件”，从而发起供应链攻击并窃取敏感数据。 安全公司Intruder在同类分析中指出，已观察到大量配置不当案例，导致凭证泄露、提示注入漏洞以及跨多家云服务商的实例遭入侵。 “核心问题在于架构设计：Clawdbot将部署便捷性置于默认安全配置之上，”Intruder安全工程师Benjamin Marr在声明中表示。“非技术用户可快速部署实例并集成敏感服务，全程无需通过任何安全验证或障碍。系统未强制要求防火墙设置、未进行凭证验证，也未对不可信插件实施沙箱隔离。” 建议使用默认配置运行Clawdbot的用户尽快审计配置、撤销所有已集成的服务连接、检查已暴露的凭证、实施网络控制措施，并持续监控系统是否出现异常迹象。       消息来源: thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026年1月20日，安全研究人员确认了一起针对MicroWorld Technologies公司eScan杀毒产品的严重供应链攻击事件。黑客疑似利用厂商合法的更新通道，向用户推送了恶意更新。 根据Morphisec威胁实验室今日发布的研究报告，此次事件导致多阶段恶意软件被分发给全球范围内的企业和个人用户终端。 据悉，这些恶意更新包使用了被盗的eScan代码签名证书进行数字签名，这使得它们看起来合法，轻易绕过了系统常规的信任验证机制。恶意软件一旦成功部署，便会建立持久化驻留，开启远程访问功能，并会主动阻止受感染主机接收任何后续的更新。 多阶段恶意软件内置反清除机制 整个攻击链始于一个被植入了木马的32位eScan程序，该程序在软件更新过程中替换了原有的正常组件。此初始载荷会释放更多恶意模块，包括一个下载器和一个能为攻击者提供受感染系统完全控制权的64位后门。本次攻击活动一个至关重要的特征是恶意软件内置了反清除机制。它通过修改Windows系统的hosts文件并篡改eScan相关注册表项，阻断了终端与eScan官方更新服务器的连接。这使得受感染的设备无法自动获取修复补丁。 恶意软件通过创建伪装成Windows磁盘碎片整理任务的计划任务，以及使用随机生成的GUID名称的注册表项来实现持久化。同时，下载器模块还会尝试与外部命令与控制（C2）服务器通信以获取更多攻击载荷，不过这些C2服务器的当前状态尚未明确。 检测、响应与处置建议 Morphisec称，其在恶意软件开始分发后的数小时内，就在部署了其防护方案的客户系统上检测并拦截了相关恶意活动。 据称，Morphisec在事发当日便联系了MicroWorld Technologies。eScan方面则表示，其通过内部监控发现了异常，在一小时内隔离了受影响的基础设施，并将全球更新系统离线了超过八小时以进行处理。 然而，Morphisec指出，尽管厂商声称已通过电话直接通知客户，但其客户仍需主动联系eScan技术支持才能获得具体的修复方案。 Infosecurity网站已就此事联系eScan寻求置评，但截至发稿前未获回复。Morphisec建议所有使用eScan产品的组织立即采取以下应对措施： ·在终端上搜索已知的恶意文件哈希值。 ·检查Windows\Defrag\目录下的计划任务，排查可疑项。 ·审查注册表中那些包含编码数据、以GUID格式命名的键值。 ·封锁已识别的C2域名。 ·立即吊销对涉事被盗eScan代码签名证书的信任。 对于未部署有效防护的系统，建议直接假定其已遭入侵，立即隔离受感染设备并进行全面的取证分析。截至本文发布，eScan官方尚未就此事件发布公开安全公告，相关调查据称仍在进行中。 消息来源:infosecurity-magazine.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Varonis报告称，一个地下网络犯罪论坛上出现的新型恶意软件工具包，可以在提供钓鱼页面时保持浏览器地址栏不被修改。 这款被称为Stanley的恶意软件即服务工具包，定价在2000至6000美元之间，首次于1月12日被发现，其发布帖子声称它可以创建绕过谷歌商店审核的扩展程序。 Varonis发现，其顶级的定价为威胁行为者提供了定制选项、一个管理面板，并保证能在Chrome网上应用商店上架。 这家网络安全公司指出：“这个保证是此次商业活动的核心：它将分发风险从买家身上转移，并暗示卖家拥有一种可重复通过谷歌审核流程的方法。” 一个基于网络的管理界面为不法分子提供了受感染主机的视图，显示诸如IP地址（用作标识符）、在线状态、浏览器历史状态以及最后活动时间戳等信息。 它还允许操作者选择单个目标并为其配置特定的URL劫持规则，这些规则包括源/合法URL和目标/钓鱼URL。 Varonis解释道：“每条规则可按感染实例激活或停用，使操作者能够分阶段部署攻击并按需触发。” 更重要的是，受害者会在浏览器的地址栏中看到他们试图访问的合法网址，而实际上却在与攻击者控制的内容进行交互。 Varonis解释道：“除了被动劫持，操作者还可以通过实时投递通知，主动引诱用户访问目标页面。这些通知来自Chrome浏览器本身，而非网站，因此它们承载着更多隐含的信任。” 对使用Stanley构建的极简笔记和书签扩展程序Notely的分析显示，其创建者在其中打包了合法功能，但也将其设计为请求必要的权限，以完全控制用户访问的网站。 该扩展包含一个持久的轮询机制，不断与其命令与控制服务器进行校验，实现了备用域名轮换，并拦截网站访问以覆盖一个包含钓鱼页面的全屏iframe。 Varonis解释道：“浏览器的地址栏继续显示合法域名（例如binance.com），而受害者看到并与之交互的却是攻击者的钓鱼页面。” 这家网络安全公司指出，Stanley的价格区间使其能够被广泛的网络犯罪分子获取，而潜入Chrome网上应用店的恶意扩展程序可能会活跃数月，悄无声息地窃取凭证。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec与Carbon Black的研究人员发现了一种名为Osiris的新型勒索软件变种，该变种于2025年11月被用于攻击一家东南亚大型食品服务特许经营商。 根据Symantec和VMware Carbon Black威胁猎手的分析，攻击者部署了一个名为POORTRY的恶意驱动程序，用自带漏洞驱动技术来禁用安全软件。 目前对Osiris的开发者，或其是否以勒索软件提供服务知之甚少，但有证据表明其与INC勒索软件存在关联。 Symantec与Carbon Black发布的报告中指出：“虽然这款Osiris勒索软件与2016年出现的同名勒索软件家族（Locky勒索软件的一个变种）重名，但没有迹象表明这两个家族之间存在任何关联。” Osiris似乎是一种新型勒索软件变种，与2016年基于Locky的同名变种无关。其开发者及任何RaaS模式仍属未知，但博通研究人员发现了攻击者与INC勒索软件团伙有相关联的迹象。 Osiris是一款功能齐全的勒索软件，能够停止服务和进程、选择要加密的文件和文件夹，并投放勒索信。研究人员报告称，该软件支持多种命令选项来定义目标、设置日志记录、选择加密模式以及Hyper-V等相关操作。这个新的勒索软件家族会跳过特定文件类型和系统文件夹，为加密文件附加.Osiris扩展名，删除VSS快照，并终止数据库、备份和生产力相关进程。该恶意软件使用混合ECC和AES-128-CTR加密，每个文件使用唯一密钥，通过完成端口管理异步输入/输出操作，并留下一份名为Osiris-MESSAGE.txt的勒索信，并在勒索信中提及敲诈细节和谈判链接。攻击链在勒索软件部署的数天前便已启动，攻击者当时使用Rclone工具悄悄窃取数据，并将其上传到Wasabi云存储桶中。这种方法，连同重用的工具（如名为kaz.exe的Mimikatz变体），都与过去Inc勒索软件的操作手法如出一辙，表明这可能是模仿或由前Inc附属组织参与的行动。 报告继续指出：“攻击者还部署了Netscan、Netexec和MeshAgent等其他具有双重用途的工具。他们还使用了定制版的Rustdesk远程监控和管理工具，该工具被修改以伪装其功能，并加入了‘WinZip远程桌面’的文件描述和WinZip图标，企图隐藏其真实用途。” 攻击者使用常见的双重用途工具进行网络探测和访问，外加一个伪装成“WinZip远程桌面”的修改版RustDesk远程工具以隐藏其目的。为了瘫痪防御系统，他们在一次自带漏洞驱动攻击中，部署了伪装成Malwarebytes组件的Poortry驱动程序，用以关闭安全软件。KillAV也为了达成目的而被使用。最后，在启动勒索软件之前，他们启用了RDP以维持远程访问。 Osiris是技术娴熟的威胁行为者使用的一款能力强大的新型勒索软件。研究人员强调，工具的重复使用和战术表明其可能与Inc附属组织及Medusa活动存在潜在联系，尽管这样的关联尚不明确。 报告总结道：“勒索软件领域的形势不断变化，新勒索软件家族的出现始终值得密切关注。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰上诉法院判处一名44岁黑客7年监禁，罪名是通过入侵欧洲物流枢纽的港口系统，协助可卡因走私进入荷兰。上诉法院将刑期从10年减至7年，理由是该上诉审理过程拖延超过21个月。 检方称，该犯罪团伙通过此手法从鹿特丹港走私进口了210公斤可卡因。该黑客贿赂了一名安特卫普港工作人员，使其插入感染恶意软件的U盘，从而创建了一个后门，远程访问了集装箱、闸门和门禁控制系统。 阿姆斯特丹上诉法院裁定：”被告被判处七年监禁。他犯有协助计算机入侵罪。此举的目的是获取港口系统访问权限，以便在无人察觉的情况下进口毒品，从而为毒品贩运提供便利。被告还犯有协助向荷兰进口210公斤可卡因罪。此外，他犯有企图勒索罪。关于获取和使用SkyECC消息作为证据的辩护被驳回。支持受害方的索赔请求，并判令被告支付连带法律费用。” 根据法庭文件，被告说服了安特卫普一个集装箱码头的一名港口员工，将载有恶意软件的U盘插入工作电脑。该恶意软件创建了一个数字后门，使黑客能够远程访问用于管理集装箱、闸门和人员进出的内部港口系统。 这款恶意软件使该犯罪集团能够秘密远程监控集装箱、操纵闸门并发放准入凭证，该后门在系统中存留数月，期间持续尝试获取管理员权限。调查人员严重依赖从Sky ECC截获的消息，被告在这些消息中详细描述了他对港口系统的控制，并指导同伙进行黑客攻击。 调查人员发现恶意软件在港口系统中隐藏了数月，并反复尝试获取管理员权限。攻击者声称拥有完全控制权，包括准入通行证和闸门。 法院文件指出：”2020年9月18日，在系统AV150081C上安装了一个潜在后门。2020年9月19日至27日期间，攻击者使用了各种权限提升工具，试图控制[受影响方]环境中的一个管理员账户。攻击者使用多种漏洞利用工具进行了多次尝试，这表明他们可能未能成功提升权限。此外，没有证据表明攻击者能够接管具有管理员权限的账户。(…) 此外，有证据表明，2020年9月18日安装的后门至少在2021年4月24日之前一直处于活跃状态。(…) 在2020年9月21日至2020年10月19日期间，威胁行为者多次访问了AV150081C上的Solvo集装箱管理应用程序。” 该团伙窃取并共享了摄像头位置、员工照片和布局图等敏感数据。法官表示，此次黑客攻击旨在支持毒品贩运，严重危及港口安全。 法院认定该男子犯有伪造运输文件和Portbase记录以运送可卡因的罪行。法官还判定该男子犯有企图勒索罪，因其就丢失的可卡因威胁亲属，并以暴力相威胁索要120万欧元。 该被告目前仍被关押在荷兰西部，并已提起另一项上诉。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者注册了一个与 Microsoft Activation Scripts（MAS）工具极其相似的域名，通过拼写错误诱导用户下载恶意 PowerShell 脚本，进而感染 Windows 系统，植入名为 Cosmali Loader 的加载器。 昨日，Reddit 上多名 MAS 用户发帖称，系统突然弹出警告窗口，提示已感染“Cosmali Loader”： 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限，任何访问者都能控制你的电脑。 请重装系统，下次别再打错。 想验证是否中毒，打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win，攻击者仅去掉一个字母 d，注册相似域名 get.activate[.]win，专等用户手滑输错。 安全研究员 RussianPanda 发现，这些弹窗与开源 Cosmali Loader 有关，其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”，推测有白帽潜入恶意软件控制面板，借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合，可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具，项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴，避免手打误入钓鱼域 非官方激活器历来常被用来带毒，务必三思 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部于本周一宣布，查获一个用于实施银行账户盗用诈骗的网络域名及相关数据库，该犯罪活动专门针对美国民众并实施诈骗。 涉案域名为web3adspanels[.]org，其功能为后端网络控制面板，用于存储和操控非法获取的银行账户登录凭据。目前，访问该网站的用户会看到查扣公告，公告显示该域名已在一场由美国与爱沙尼亚执法机构牵头的国际执法行动中被依法关停。 美国司法部指出：“该银行账户盗用诈骗团伙通过谷歌、必应等搜索引擎投放欺诈广告，这些广告模仿合法金融机构的搜索引擎赞助广告样式，以此混淆视听。” 这些欺诈广告会将毫无防备的用户重定向至由诈骗分子操控的虚假银行网站。该网站内置了一款未公开具体信息的恶意软件，专门窃取受害者输入的登录凭据。随后，犯罪分子利用这些被盗取的凭据登录合法银行网站，接管受害者账户并转走资金。 涉案规模与危害 据统计，该诈骗案目前已造成全美范围内 19 名受害者，其中包括佐治亚州北区的两家企业，未遂损失金额约达 2800 万美元，实际损失金额则高达 1460 万美元。 美国司法部表示，此次查获的域名不仅存储了数千名受害者的被盗登录凭据，其搭载的后端服务器直至上月仍在为账户盗用诈骗活动提供支持。 美国联邦调查局（FBI）公布的数据显示，自 2025 年 1 月以来，互联网犯罪投诉中心已收到超过 5100 起与银行账户盗用诈骗相关的投诉，涉案上报损失金额累计超 2.62 亿美元。 相关部门建议用户，在网络或社交媒体上分享个人信息时务必谨慎；定期检查账户是否存在异常资金交易；为各类账户设置独一无二且复杂度高的密码；登录银行网站前，务必核对网址的正确性；同时提高警惕，防范钓鱼攻击与可疑来电。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型高精密语音钓鱼攻击活动已出现，该攻击将传统语音钓鱼与现代协作工具相结合，用以投放隐蔽性极强的恶意软件。 攻击者借助微软 Teams 通话功能以及远程支持工具 “快速助手”，实现对企业安全边界的突破。 他们通过冒充高级 IT 人员制造紧迫感，瓦解受害者的防备心理，进而启动多阶段感染流程，以此规避常规检测机制。 攻击的初始阶段，攻击者会使用外部账号发起 Teams 通话，并伪造显示名称，伪装成企业内部合法管理员。 随后，威胁行为者诱骗目标设备启动微软 “快速助手”（一款 Windows 系统原生工具），这一操作可绕过多数会标记第三方远程访问软件的常规安全管控。一旦建立远程访问连接，攻击者便会着手投放恶意载荷。 该攻击活动由 SpiderLabs 安全分析师率先发现，分析师指出，此类攻击已明显转向利用受信任的系统内置实用工具来实施入侵。 该攻击活动的危害性极大，原因在于其主要依赖社会工程学手段，而非软件漏洞发起攻击。 攻击者通过.NET 恶意软件封装器，可直接在内存中执行代码，最大程度减少在终端设备上留下的取证痕迹。 这种无文件攻击方式给传统的事件响应工作带来极大阻碍，因为磁盘上可供调查人员分析的攻击遗留痕迹极少。 感染机制技术分析 此次攻击的核心是一条复杂的感染链路，涉及一个.NET Core 8.0 可执行文件。名为 updater.exe 的恶意文件充当着嵌入式库 loader.dll 的封装载体。 该加载器在执行后，会先与位于 jysync [.] info 的命令与控制服务器建立连接，获取特定加密密钥。 这些密钥对后续阶段至关重要 —— 恶意软件会凭借密钥下载加密的载荷文件。 解密过程结合了 AES-CBC 算法与 XOR 运算，以此解锁恶意程序集。 尤为关键的是，解密后的代码绝不会写入磁盘，而是通过.NET 反射技术直接加载至系统内存中，从而实现极高的驻留性与隐蔽性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文