ReasonLabs 的专家发现了 Google Chrome 浏览器的三个恶意扩展程序，它们伪装成虚拟专用网络 (VPN) 服务。这些程序用于劫持会话、破解现金返还系统和窃取数据，从官方商店下载了超过 150 万次。 恶意扩展程序通过隐藏在流行视频游戏盗版版本中的安装程序进行分发，例如《侠盗猎车手》、《刺客信条》和《模拟人生 4》。受害者通过 torrent 网站下载游戏，这增加了感染的风险。 谷歌在收到研究人员的信息后，采取了行动，从 Chrome 网上应用店中删除了这些程序。受感染的扩展程序包括 netPlus（100 万次安装）、netSave 和 netWin（50 万次安装）。 大多数感染病例发生在俄罗斯、乌克兰、哈萨克斯坦和白俄罗斯。该活动似乎最初是针对俄语用户的。 扩展是自动安装的，没有任何注册表级别的通知。安装后，该程序会检查设备上是否有防病毒软件，然后在 Google Chrome 中下载 netSave，在 Microsoft Edge 中下载 netPlus。 从外部来看，这些扩展模仿了合法 VPN 服务的真实界面，甚至提供付费订阅。 该恶意软件的关键特征之一是使用“屏幕外”权限。它使攻击者能够通过 Offscreen API 秘密地与网页的 DOM（文档对象模型）进行交互。这使得黑客能够悄悄窃取敏感数据、操纵网络请求，甚至禁用浏览器中安装的其他工具。 恶意软件目标列表包括 Avast SafePrice、AVG SafePrice、Honey：自动优惠券和奖励、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper 和 Backlit 等知名应用程序。 这些扩展还与命令和控制服务器进行通信，传输指令、受害者识别、敏感信息等。 这一事件引起了专家们对与网络浏览器扩展相关的严重安全问题的关注。其中许多程序都经过精心伪装，使它们更难以被发现。建议用户定期监控 Chrome 网上应用店上的评论，以了解任何可疑或恶意活动的报告。   转自安全客，原文链接：https://www.anquanke.com/post/id/292166 封面来源于网络，如有侵权请联系删除

印度政府实体和国防部门已成为网络钓鱼活动的目标，该活动旨在投放基于 Rust 的恶意软件以进行情报收集。 该活动于 2023 年 10 月首次检测到，企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。 安全研究员 Sathwik Ram Prakki表示：“新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务器，而不是专用的命令和控制 (C2) 服务器。” 该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠，这两个集群均被评估为与巴基斯坦有关。 SEQRITE详细介绍了该黑客组织针对印度政府机构发起的多次活动，以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。 ThreatMon 记录的其他近期攻击链采用了 Microsoft PowerPoint 文件诱饵以及易受CVE-2023-38831影响的特制 RAR 存档来进行恶意软件传播，从而实现不受限制的远程访问和控制。 ThreatMon今年早些时候指出：“SideCopy APT 组织的感染链涉及多个步骤，每个步骤都经过精心策划，以确保成功入侵。” 最新的一组攻击从网络钓鱼电子邮件开始，利用社会工程技术诱骗受害者与恶意 PDF 文件进行交互，这些文件会丢弃基于 Rust 的有效负载，用于在后台枚举文件系统，同时向受害者显示诱饵文件。 除了收集感兴趣的文件外，该恶意软件还可以收集系统信息并将其传输到 C2 服务器，但缺乏地下网络犯罪中其他高级窃取恶意软件的功能。 SEQRITE 在 12 月发现的第二条感染链采用了类似的多阶段过程，但用负责枚举和渗透步骤的 PowerShell 脚本替换了 Rust 恶意软件。 但有趣的是，最后阶段的有效负载是通过名为“Cisco AnyConnect Web Helper”的 Rust 可执行文件启动的。收集到的信息最终上传到 oshi[.]at 域，这是一个名为OshiUpload的匿名公共文件共享引擎。 Ram Prakki 表示：“RusticWeb 行动可能与 APT 威胁有关，因为它与多个与巴基斯坦有关的组织有相似之处。” 近两个月前，Cyble 发现了DoNot 团队针对印度克什米尔地区个人使用的恶意 Android 应用程序。 攻击者也被称为 APT-C-35、Origami Elephant 和 SECTOR02，据信是印度裔，有利用Android 恶意软件渗透克什米尔和巴基斯坦移动设备的历史。 Cyble 检查的变种是名为“QuranApp: Read and Explore”的开源 GitHub 项目的木马版本，该项目配备了各种间谍软件功能，可以记录音频和 VoIP 通话、捕获屏幕截图、从各种应用程序收集数据，下载其他 APK 文件并跟踪受害者的位置。 Cyble表示：“DoNot 组织不断努力改进其工具和技术，这突显了他们所构成的持续威胁，特别是针对印度敏感的克什米尔地区的个人。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QqxasjwJAo9KoQ03VkllxA 封面来源于网络，如有侵权请联系删除

Sophos 发现了 针对世界各地酒店员工的全球网络钓鱼活动。黑客伪装成心怀不满的客人发送恶意电子邮件。其目标是窃取密码以访问机密酒店数据。 黑客以在住宿期间遇到问题的客户名义发送邮件。这些投诉可以是各种各样的——从怀疑中毒到指责对残疾人不关心。 黑客精心编造假故事，以博取员工的同情和信任。例如，据称有人在房间里留下了装有已故亲戚照片的相机，并发现了一些信件。 一旦酒店代表回复此类消息并要求提供更多详细信息，黑客就会回复一封新信。它包含确认其投诉的文件链接 – 合同、支票、医疗报告等。 事实上，这些链接会指向 Google Drive、Mega 或 Dropbox 等云存储服务。恶意软件隐藏在存档文件中。信中还指出了访问这些档案的密码。 Sophos 研究人员指出，黑客使用先进的社会工程方法，并且非常擅长操纵受害者、推断他们的情绪。 此前曾针对美国税务公司使用过类似的攻击模式。当时，黑客还会在提交声明的截止日期之前发送网络钓鱼电子邮件。 Sophos 专家敦促酒店员工保持警惕，不要打开来自不熟悉来源的可疑文件。应该小心任何非标准请求，尤其是包含链接或附件的请求。 黑客可以窃取机密的客户数据，包括付款详细信息，给酒店业主带来经济损失，因为大量资金将用于赔偿以及（如有必要）修复受损系统。 此外，访问员工信件将使黑客能够跟踪他们的计划和行动。他们可以利用以这种方式获得的信息进行进一步的攻击，例如针对特定员工的有针对性的网络钓鱼。 最常受影响的酒店位于美国、英国、德国、意大利和西班牙。然而，网络钓鱼电子邮件以不同的语言发送到世界各地。 为了保护自己，专家建议公司定期对员工进行网络卫生和威胁识别方面的培训。 转自安全客，原文链接：https://www.anquanke.com/post/id/292057 封面来源于网络，如有侵权请联系删除

昨天，IBM的网络安全研究人员发布了一份报告，介绍了他们发现的恶意软件活动。该活动利用JavaScript Web注入，窃取美洲、欧洲和日本40家银行的银行数据。 专家发现，该活动自2022年12月起就开始准备，当时获取了攻击中使用的恶意域名。该活动直到今年三月才被发现。目前，已有超过5万用户受到黑客影响。 攻击本身是通过从攻击者服务器下载的JS脚本实现的，针对许多银行常见的特定页面结构。攻击的最终目标是拦截用户凭据及其一次性密码（OTP），以登录银行系统并获得对受害者帐户的完全访问权限，包括进行未经授权的交易。 IBM表示，最初的感染可能是通过欺诈性广告或网络钓鱼发生的，但没有详细说明。然后，恶意软件会将特殊的脚本标签注入受害者的浏览器，从而生成外部脚本。这种方法增加了攻击的隐蔽性，因为简单的加载器脚本不太可能被标记为恶意。 由此产生的恶意脚本也经过伪装：例如，在活动中被视为合法的JavaScript内容交付网络。为了逃避检测，黑客使用了类似于合法“cdnjs[.]com”和“unpkg[.]com”的域名。在执行之前，该脚本还会检查受害者系统上是否存在某些防病毒产品。一切都是为了避免被发现。 值得注意的是，该脚本能够根据C2服务器的指令动态改变其行为，支持多种操作状态。 研究人员发现该活动与DanaBot（自2018年以来分发的模块化银行木马）之间存在联系。据IBM称，三月份发现的活动仍在进行中。对于面临风险的银行应用程序用户，IBM专家建议在使用电子邮件、搜索聚合器和在线银行本身时提高警惕。 转自安全客，原文链接：https://www.anquanke.com/post/id/292064 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）近期宣称，截至 2023 年 9 月，ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金，其中近 75% 受害者来自美国，其余约 250 个散布在全球各地。 在近期与 CISA 合作发布的联合公告中，FBI 分享了 ALPHV/BlackCat 勒索软件的缓解措施，以期帮助降低全球实体组织受该勒索软件攻击的风险。FBI 和 CISA 这两家机构还提供了联邦调查局于 12 月 6 日确定的 ALPPV IOC（妥协指标）和 TTP（战术、技术和程序），强烈建议网络管理者优先修补正在被利用的安全漏洞。 此外，FBI 督促网络管理员尽快在所有服务中使用强密码强制执行多因素身份验证（MFA），尤其是对于网络邮件、VPN 和与关键系统链接的帐户，并将软件定期更新至最新版本，日常重点工作应放在漏洞评估上，并将其作为标准安全协议的重要组成部分。 2021 年 11 月，ALPHV/BlackCat 勒索软件首次 “浮出水面”，一度被业内人士怀疑是臭名昭著的 DarkSide 和BlackMatter 勒索软件的再现。成功袭击 Colonial Pipeline 后，ALPHV/BlackCat 勒索软件在全球范围内变得臭名昭著，执法机构对其进行了广泛且深入的调查。FBI 曾将 ALPHV/BlackCat 勒索软件团伙与 2021 年 11 月至 2022 年 3 月期间发生的 60 多起违规行为联系起来。 FBI ”颠覆“了 ALPHV/BlackCat 勒索软件 12 月 7 日，Bleeping Computer 首次报道称，ALPHV/BlackCat 勒索软件团伙的 Tor 谈判和数据泄露网站突然停止工作。近期，美国司法部证实了报道，称联邦调查局成功”攻入“了 ALPHV/BlackCat 勒索软件的服务器，监控了该组织的日常活动并获得了解密密钥。 值得一提的是，为了”访问“ ALPHV/BlackCat 勒索软件的后端附属小组，联邦调查局与一名机密人力资源（CHS）接触，该人员在与勒索软件运营商面谈后获得了作为附属机构的登录凭据。 ALPHV/BlackCat 勒索软件扣押横幅 FBI 在收集解密密钥的同时，对 ALPHV/BlackCat 勒索软件的运作进行了持续数月的监控，使得其能够帮助全球 500 多名受害者免费恢复文件，节省了约 6800 万美元的赎金。 FBI 还扣押了 ALPHV/BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，ALPHV/BlackCat 勒索软件就“解封”了数据泄露网站，并声称联邦调查局进入了托管该团伙服务器的数据中心。此外，ALPHV/BlackCat 勒索软件还在其泄漏网站上发布的消息中声称，他们已经突破了至少 3400 名受害者的网络防御系统。 最后，由于 ALPHV/BlackCat 勒索软件团伙 和 FBI 目前都拥有数据泄漏网站的私钥，因此双方可以从对方手中夺取域名的控制权，目前这种局面已被其它网络犯罪团伙视为提前送上的“节日礼物”，例如，LockBit 勒索软件团伙已经开始要求 ALPHV/BlackCat 勒索软件的分支机构转换团队，继续与受害者谈判。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387160.html 封面来源于网络，如有侵权请联系删除

加密硬件钱包制造商 Ledger 遭受了供应链攻击，导致价值 600,000 美元的虚拟资产被盗。 黑客发布了一个恶意版本的“@ledgerhq/connect-kit” npm 模块，该模块原本由加密硬件钱包制造商 Ledger 开发。这次攻击导致超过 60 万美元的虚拟资产遭窃。 在发现问题后，Ledger 立即发布了其 npm 模块的新版本（版本1.1.8），并已将恶意的 npm 模块（版本号为2e6d5f64604be31）从代码库中移除。 攻击者利用网络钓鱼攻击获取了一位 Ledger 前员工的凭据和对 Ledger 的NPMJS账户的访问权限。 “今天我们经历了对 Ledger Connect Kit 的攻击，这是一个实现一键功能的 JavaScript 库，允许用户将其 Ledger 设备连接到第三方 DApps（与钱包相关的网站）。这次攻击源于一位前员工遭受网络钓鱼攻击，导致黑客能够上传恶意文件至 Ledger 的 NPMJS（这是一个用于在应用程序间共享 JavaScript 代码的软件包管理器）。” Ledger 主席兼 CEO Pascal Gauthier 在一份声明中指出。“我们与合作伙伴 WalletConnect 紧急合作，解决了这次攻击，并在发现问题后的40分钟内更新了 NPMJS，停用并移除了恶意代码。” 初步观察显示，该账户可能未启用多重身份验证（MFA）。接着，黑客上传了三个恶意版本的模块（1.1.5、1.1.6和1.1.7），其中包含加密货币挖矿恶意软件。 Ledger 的库确认遭到入侵，并被替换为一个挖矿程序。在情况变得更清楚之前，请暂停与任何DApps的交互。 —banteg (@bantg) 2023年12月14日 由于供应链攻击，依赖含有恶意软件模块的应用程序都受到了损害。 这个恶意模块的恶意版本在线上存在了约 5 小时。Ledger 在 WalletConnect 的帮助下迅速禁用了这个恶意项目。Ledger、WalletConnect 及其合作伙伴确认了黑客的钱包地址（0x658729879fca881d9526480b82ae00efc54b5c2d），而 Tether 已经冻结了他们的资金。 消息来源: securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2023年，10个全新的安卓银行木马恶意软件家族肆虐全球，攻击了61个国家/地区的985个银行和数字金融交易程序。 银行木马是一种“老而弥坚”的恶意软件，可窃取用户的凭证和会话 cookie 来绕过双因素认证（2FA）保护，有时甚至能自动执行交易来窃取用户的在线银行帐户资金。 根据移动安全公司Zimperium最新发布的2023年度移动安全报告，除了2023年新出现的10个安卓银行木马外，2022年流行的19个安卓银行木马在2023年也发生了“变异”，增加了新的功能并提高了操作复杂性。 银行木马的八个关键趋势 通过对这29个银行木马的追踪分析，Zimperium发现2023年移动恶意软件威胁呈现以下八个趋势： 银行木马的八个关键趋势添加自动转账系统(ATS)，用于捕获MFA代币、发起交易并执行资金转账。 银行木马的八个关键趋势基于电话的攻击交付（TOAD）：结合社会工程攻击，例如网络犯罪分子会冒充客户支持代理，引导受害者自行下载木马有效负载。 添加实时屏幕共享功能，无需物理访问即可远程控制受害者的设备。 使用域名生成算法（DGA）：绕过黑名单过滤。 恶意软件即服务（MaaS）：以每月3000至7000美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。 标准功能完善。受调查的大多数木马提供了包括键盘记录、网络钓鱼页面和短信窃取等“标准功能”。 代码开源。恶意软件代码开源导致迭代加快，使基于签名的杀毒软件失效。 开始窃取数据。一个令人担忧的发展趋势是，银行木马不再仅仅窃取银行凭证和资金，现在还开始瞄准社交媒体、消息和个人隐私数据。 十大新兴安卓银行木马 报告重点分析了2023年诞生的十大新兴银行木马家族（其中包含超过2100个在野外传播的变种），这些木马伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等，在安卓应用生态和分发渠道中广为传播。 根据攻击目标的数量来看，Hook、Godfather和Teabot是2023年最具影响力的三大银行恶意软件。 传统银行应用程序仍然是银行木马主要目标，受感染的应用程序数量达到惊人的1103个，占1800个目标的61%，而新兴的金融科技和交易应用程序则占剩余的39%。 以下是这十个新木马的统计列表： Nexus：MaaS（恶意软件即服务）模式，有498种变体，提供实时屏幕共享，针对9个国家/地区的39个应用。 Godfather：MaaS模式。有1171种已知变体，针对57个国家/地区的237个银行应用。支持远程屏幕共享。 Pixpirate：有123个已知变体，由ATS模块驱动，针对10个银行应用程序。 Saderat：有300个变体，针对23个国家/地区的8个银行应用程序。 Hook：MaaS模式。有14种已知变体，支持实时屏幕共享。其攻击目标覆盖43个国家/地区的468个应用程序，并以每月7000美元的价格租给网络犯罪分子。 PixBankBot：有三个已知变体，针对4个银行应用程序。配备了用于设备上欺诈的ATS模块。 Xenomorphv3：MaaS 模式。有能够执行ATS操作的六种变体，针对14个国家/地区的83个银行应用。 Vultur：有9个变体，针对15个国家/地区的122个银行应用程序。 BrasDex：针对巴西8个银行应用程序的木马。 GoatRat：有52个已知变体，由ATS模块驱动，针对6个银行应用程序。 此外，还有很多2022年开始流行并在2023年完成更新的恶意软件家族，其中依然保持活跃的家族包括Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis和Coper。 在安卓银行木马攻击的国家/地区统计中，排名第一的是美国（109个目标银行应用程序），其次是英国（48个银行应用程序）、意大利（44个应用程序）、澳大利亚（34）、土耳其（32个）、法国（30）、西班牙（29）、葡萄牙（27）、德国（23）和加拿大（17）。 三大缓解措施 报告指出，2023年银行木马给金融企业造成的经济损失和运营成本持续增加，同时导致消费者信任度和品牌影响力下降。金融机构应该采取主动和自适应安全方法应对不断增长的威胁，并重点实施以下三大缓解措施： 确保安全措施与威胁的复杂程度相匹配：使用先进的代码保护技术提升攻击应用程序所需的成本和精力，使其超过攻击者的潜在收益。 实现运行时可见性以进行全面的威胁监控和建模：移动应用安全领导者必须实现跨各种威胁媒介（包括设备、网络、应用程序和网络钓鱼）的运行时可见性。这种实时洞察力可以主动识别和报告风险、威胁和攻击。 部署设备上保护以实现实时威胁响应：移动应用安全领导者应优先实施设备上保护机制，使移动应用能够在检测到威胁时立即采取行动。这种能力应该是自主的，不需要依赖网络连接或后端服务器通信。 对于个人用户来说，防范安卓手机银行木马的关键措施是：避免从非官方应用商店下载应用；在应用安装过程中密切注意权限请求，切勿授予对“辅助功能服务”的访问权限；避免点击来路不明的短信或邮件中的（应用下载）链接。 转自安全客，原文链接：https://www.anquanke.com/post/id/291975 封面来源于网络，如有侵权请联系删除

专家发现了一种新的基于 Go 的多平台恶意软件，被追踪为 NKAbuse，这是第一个滥用 NKN 技术的恶意软件。 卡巴斯基全球紧急响应团队 (GERT) 和 GReAT 的研究人员发现了一种名为 NKAbuse 的新型多平台恶意软件。该恶意代码采用 Go 语言编写，是第一个依赖 NKN 技术 在节点之间进行数据交换的恶意软件。恶意代码可以针对各种架构，它支持洪水攻击和后门功能。  NKAbuse 的主要目标是 Linux 桌面，但它也可以针对 MISP 和 ARM 架构。  NKN（New Kind of Network）是一种依赖区块链技术的去中心化点对点网络协议。该协议可实现安全且低成本的数据传输。它旨在解决当前互联网基础设施的局限性，即中心化、低效且容易受到审查。  NKAbuse 恶意软件 个人可以自愿加入NKN网络并运行自己的节点；目前由6万多个节点组成  “从历史上看，恶意软件运营商利用 NKN 等新兴通信协议来与其命令和控制服务器 (C2) 或僵尸主机连接。”阅读卡巴斯基发布的报告。 “这种威胁（ab）使用 NKN 公共区块链协议进行大量洪水攻击，并充当 Linux 系统内部的后门。”  专家认为威胁行为者利用了一个旧的 Struts2 漏洞（跟踪为 CVE-2017-5638）。  攻击者利用该漏洞在服务器上执行命令，将命令传递到标记为“shell”的标头中，并将指令传输到 Bash 执行。一旦被利用，系统就会执行命令来下载初始脚本。  研究人员注意到，该恶意软件缺乏自我传播机制，这意味着初始感染向量是通过利用漏洞部署样本来传递的。  攻击者通常通过执行远程 shell 脚本来安装恶意软件，该脚本下载并执行托管远程服务器的 setup.sh shell 脚本的内容。恶意代码检查操作系统类型以确定第二阶段恶意软件（“app_linux_{ARCH}”），这是实际的恶意软件植入，即托管在同一服务器上。卡巴斯基发现的样本支持以下架构： 386 arm64 arm amd64 mips mipsel mips64 mips64el NKAbuse 通过使用 cron 作业来维护持久性。  该恶意软件支持多种分布式拒绝服务（DDoS）攻击，以下是洪泛负载列表： 命令 攻击 默认/0 http_flood_HTTPGetFloodPayload 1 http_flood_HTTPPostFloodPayload 2 tcp_flood_TCPFloodPayload 3 udp_flood_UDPFloodPayload 4 ping_flood_PINGFloodPayload 5 tcp_syn_flood_TCPSynFloodPayload 6 ssl_flood_SSLFloodPayload 7 http_slowloris_HTTPSlowlorisPayload 8 http_slow_body_HTTPSlowBodyPayload 9 http_slow_read_HTTPSlowReadPayload 10 icmp_flood_ICMPFloodPayload 11 dns_nxdomain_DNSNXDOMAIN有效负载 NKAbuse 还支持多种后门功能，使其成为强大的远程访问木马 (RAT)。 “虽然相对罕见，但像 NKAbuse 这样的新型跨平台泛洪器和后门通过利用不太常见的通信协议而脱颖而出。这种特殊的植入物似乎是为了集成到僵尸网络而精心设计的，但它可以适应在特定主机中充当后门的功能。”报告总结道。 “此外，它对区块链技术的使用确保了可靠性和匿名性，这表明该僵尸网络有可能随着时间的推移稳步扩张，似乎缺乏可识别的中央控制器。” 转自安全客，原文链接：https://www.anquanke.com/post/id/291970 封面来源于网络，如有侵权请联系删除

网络安全研究人员在 Python 包索引（PyPI）仓库中识别出116个恶意软件包，这些恶意软件包通过定制后门程序感染 Windows 和 Linux 系统。 ESET 的研究人员 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些时候发布的一份报告中表示，在某些情况下，最终的有效载荷是臭名昭著的 W4SP Stealer 的变体，或者是一个用于窃取加密货币的简单剪贴板监控器，有时甚至两者兼而有之。 这些软件包自2023年5月就已经存在，目前初步估计已被下载超过1万次。 这些攻击者通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell，以及以混淆形式整合到 init.py 文件中这三种途径将恶意代码打包到 Python 包中。 不管使用哪种方法，这次行动的最终目的都是通过恶意软件，主要是一个能够远程执行命令、数据窃取和截屏的后门，来感染目标主机。这种后门模块在 Windows 上用 Python 实现，在 Linux 上则用 Go 实现。 另外，这些攻击链路也可能最终部署 W4SP Stealer 或剪贴板恶意软件，后者旨在密切监视受害者的剪贴板活动，并在原始钱包地址存在的情况下将地址替换为攻击者控制的地址。 这是攻击者放出的污染开源生态系统并传播各种供应链攻击的恶意软件的最新形式。在此之前，攻击者已经放出了一系列受损的 Python 软件包，以污染开源生态系统并分发各种恶意软件。 这也是众多虚假 PyPI 软件包中的最新案例，这些软件包被用作分发窃取恶意软件的隐蔽通道。2023年5月，ESET 揭露了另一组旨在传播 Sordeal Stealer 的库，该恶意软件借鉴了 W4SP Stealer 的特征。 接着，在上个月也发现了一些恶意软件包伪装成看似无害的混淆工具，并部署了一个名为 BlazeStealer 的恶意窃取软件。 研究人员警告：“Python 开发者在将代码下载到系统之前，特别是在安装之前，应该仔细审查代码，特别要注意检查这些技术。” 这一警告之后又发现了一些 npm 软件包，这些软件包是针对某个未命名的金融机构的“高级对手仿真演练”的一部分。为了保护机构的身份，这些包含加密数据块的模块名称被隐藏起来了。 软件供应链安全公司 Phylum 上周披露：“这个解密的有效载荷包含了一个嵌入的二进制文件，该文件能巧妙地将用户凭据外泄到目标公司内部的 Microsoft Teams webhook。 消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Fortinet 的安全研究人员发现了 一种针对德国用户的新网络钓鱼活动，该活动正在大规模传播 MrAnon Stealer 恶意软件。 FortiGuard Labs 的 研究员 Kara Lin解释说，MrAnon Stealer 是一个基于Python 的信息窃取程序，使用 cx-Freeze 进行压缩以绕过检测。该程序窃取凭证、系统信息、拦截浏览器会话和来自加密货币扩展的数据。 专家收到的信息表明，截至 2023 年 11 月，此次攻击的主要目标是德国。网络钓鱼电子邮件将自己伪装成酒店房间预订请求，打开后，所附的PDF文件会提示收件人下载据称是更新版本的Flash Player 。 同意后会下载并运行.NET可执行文件和PowerShell脚本，最终启动 MrAnon Stealer，它从各种应用程序收集数据并将其传输给攻击者。 恶意软件还可以拦截来自即时通讯工具和VPN客户端的信息，并上传带有某些扩展名的文件。对于此类功能，信息样式器的作者在网络犯罪论坛上公开分发该信息样式器，每月索要 500 美元。价格可能会有所不同，具体取决于客户选择的附加选项，例如隐藏的引导加载程序或加密器。 研究人员表示，该恶意活动最初于 7 月和 8 月传播 Cstealer 恶意软件，但随后于 10 月和 11 月传播 MrAnon Stealer。这展示了一种包括适应当前网络安全软件环境的战略方法。然而，恶意软件的分发渠道仍然相同：网络钓鱼电子邮件。   转自安全客，原文链接：https://www.anquanke.com/post/id/291902 封面来源于网络，如有侵权请联系删除