Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Secureworks的研究人员发现，Smoke Loader 僵尸网络背后的网络犯罪分子正在使用一种名为 Whiffy Recon 的新恶意软件，通过 WiFi 扫描和 Google 地理定位 API 来定位受感染设备的位置。 Google 的地理定位 API 是一项带有 WiFi 接入点信息的 HTTPS 请求，能返回纬度和经度坐标以定位没有 GPS 系统的设备。 在 Whiffy Recon 的案例中，了解受害者的位置有助于更好地针对特定地区甚至城市进行攻击，或者通过展示跟踪能力来帮助恐吓受害者。根据该区域 WiFi 接入点的数量，通过 Google 地理定位 API 进行的三角测量精度范围可达20米——50 米甚至更小。但在人口密度较低的区域，该精度可能会降低。 恶意软件首先检查服务名称“WLANSVC”，如果不存在，则会将僵尸程序注册到命令和控制（C2）服务器并跳过扫描部分。 Whiffy Recon 主要功能 对于存在该服务的 Windows 系统，Whiffy Recon 会进入每分钟运行一次的 WiFi 扫描循环，滥用 Windows WLAN API 来收集所需数据，并向 Google 的地理定位 API 发送包含 JSON 格式的 WiFi 接入点信息的 HTTPS POST 请求。 使用 Google 响应中的坐标，恶意软件会制定有关接入点更完整的报告，包括其地理位置、加密方法、SSID，并将其作为 JSON POST 请求发送到攻击者的 C2。 由于此过程每 60 秒发生一次，因此攻击者可以几乎实时对设备进行跟踪。 Secureworks的研究人员于 8 月 8 日发现了这种新型恶意软件，并注意到恶意软件在向 C2 发出的初始 POST 请求中使用的版本号是“1”，表明恶意软件可能还会存在后续开发版本。     转自Freebuf，原文链接:https://www.freebuf.com/articles/376176.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局于近日警告称，梭子鱼电子邮件安全网关（ESG）的一个重要远程命令注入漏洞的补丁 “无效”，已打补丁的设备仍在不断受到攻击。 该漏洞被追踪为CVE-2023-2868，于2022年10月首次被发现。不法分子通过该漏洞入侵了ESG设备并从被入侵系统中窃取数据。 攻击者部署了以前未知的恶意软件 SeaSpy 和 Saltwater 以及恶意工具 SeaSide，以建立远程访问的反向外壳。 随后CISA 分享了在相同攻击中部署的 Submariner 和 Whirlpool 恶意软件的更多细节。 5月27日，美国网络安全机构还将该漏洞添加到其在野外被积极利用的漏洞目录中，并警告联邦机构检查其网络是否存在漏洞证据。 尽管梭子鱼在5月20日，也就是发现漏洞的第二天，就对所有设备进行了远程修补，并阻止了攻击者对被入侵设备的访问。但可能由于它无法确保完全清除攻击中部署的恶意软件，所以其在6月7日向客户发出了新的警告，称必须立即更换所有受影响的设备， 联邦调查局也警告梭子鱼客户更换设备 联邦调查局现在加强了警告，告知梭子鱼客户应立即隔离和更换被黑客攻击的设备。由于补丁无效，所以客户们即使给设备打好补丁也有被入侵的风险。 联邦执法机构在周三发布的紧急警报[PDF]中警告说：强烈建议客户立即隔离和更换所有受影响的 ESG 设备，并立即扫描所有网络与所提供的入侵指标列表的连接。 联邦调查局观察此次的主动入侵行为后认为梭子鱼 ESG 设备极易容易受到该漏洞的攻击。 另外，FBI已经证实所有被利用的ESG设备，即使是那些由梭子鱼推送补丁的设备，仍然存在被利用的风险。 此外，该机构还建议梭子鱼客户通过扫描与咨询中共享的入侵指标（IOC）列表中的 IP 的出站连接，调查其网络是否存在潜在的其他入侵。 那些在梭子鱼设备上使用企业特权凭据，如活动目录域管理员等用户也被敦促撤销和轮换这些凭据，以确保网络安全。 梭子鱼表示，其安全产品已被全球20多万家企业使用，其中包括三星、达美航空、三菱和卡夫亨氏等知名企业。     转自Freebuf，原文链接:https://www.freebuf.com/news/376173.html 封面来源于网络，如有侵权请联系删除

Group-IB 的最新发现显示，自 2023 年 4 月以来， WinRAR 压缩软件中一个最近修补的安全漏洞已被利用为零日漏洞。 该漏洞被标记为 CVE-2023-38831，允许威胁者仿用文件扩展名，从而在伪装成看似无害的图像或文本文件的压缩包中启动恶意脚本。2023 年 8 月 2 日发布的 6.23 版本修补了这一漏洞，同时修复的还有 CVE-2023-40477。 在新加坡公司于 2023 年 7 月发现的攻击中，通过 Forex Station 等交易相关论坛分发的特制 ZIP 或 RAR 压缩文件被用于传播 DarkMe、GuLoader 和 Remcos RAT 等多种恶意软件。 Group-IB 恶意软件分析师安德烈-波罗文金（Andrey Polovinkin）说：在感染设备后，网络犯罪分子会从经纪人账户中提取资金。目前尚不清楚受害者总人数和由此造成的经济损失。 诱杀压缩文件的创建方式是包含一个图像文件和一个同名文件夹。 因此，当受害者点击图片时，文件夹中的批处理脚本就会被执行，然后用于启动下一阶段，即用于提取和启动其他文件的 SFX CAB 存档。与此同时，脚本还会加载诱饵图片，以免引起怀疑。 波罗文金告诉《黑客新闻》：CVE-2023-38831 是由于在打开 ZIP 压缩包中的文件时出现处理错误造成的。武器化的 ZIP 压缩包已在至少 8 个流行的交易论坛上传播，因此受害者的地理位置非常广泛，攻击并不针对特定的国家或行业。 目前还不知道谁是利用 WinRAR 漏洞进行攻击的幕后黑手。尽管如此，DarkMe 是一种 Visual Basic 木马，归属于 EvilNum 组织，NSFOCUS 于 2022 年 9 月首次记录到它与一个代号为 DarkCasino 的针对欧洲在线赌博和交易服务的网络钓鱼活动有关。 同样使用这种手段传播的还有一种名为 GuLoader（又名 CloudEye）的恶意软件，它随后会尝试从远程服务器获取 Remcos RAT。 Polovinkin 说：最近利用 CVE-2023-38831 的案例提醒我们，与软件漏洞相关的风险始终存在。攻击者手段资源丰富，他们总能找到新的方法来发现并利用漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/376183.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，恶意软件系列 CypherRAT 和 CraxsRAT 的创建者曝光，是一位名为 EVLF 的叙利亚威胁行为者。 网络安全公司Cyfirma在上周发布的一份报告中提到：这些RAT旨在允许攻击者远程执行实时操作，并控制受害者设备的摄像头、位置和麦克风。 据说，CypherRAT 和 CraxsRAT 会作为恶意软件即服务（MaaS）计划的一部分提供给其他网络犯罪分子。在过去的三年里，有多达 100 名独特的威胁行为者以终身许可的方式购买了这两个工具。 根据调查，EVLF 至少从 2022 年 9 月开始就一直在经营一家网店，并为其创建的恶意软件打广告。 CraxsRAT 号称是一款安卓特洛伊木马程序，能让威胁者从 Windows 计算机远程控制受感染的设备，开发者会根据客户的反馈不断发布新的更新版本供使用。 恶意软件包是通过一个生成器生成的，该生成器提供了自定义和混淆有效载荷、选择图标、应用程序名称以及安装到智能手机后需要激活的功能和权限等选项。 Cyfirma解释说：CraxsRAT是当前安卓威胁中最危险的RAT之一，它具有谷歌播放保护绕过、实时屏幕视图以及用于执行命令的外壳等强大功能。 超级Mod功能使该应用程序更加致命，让受害者难以卸载该应用程序，每当受害者试图卸载时，页面就会崩溃。 该安卓恶意软件要求受害者授予其访问安卓服务的权限，以获取大量对网络犯罪分子有价值的信息，包括通话记录、联系人、外部存储、位置和短信等。 据观察，EVLF 运营着一个名为 “EVLF Devz “的 Telegram 频道，该频道创建于 2022 年 2 月 17 日。截至发稿时，该频道已有 10,678 名用户。 在 GitHub 上搜索 CraxsRAT，会出现大量该恶意软件的破解版本，不过在过去几天里，微软似乎已经删除了其中一些版本。不过，EVLF 的 GitHub 账户仍然活跃在代码托管服务上。 2023 年 8 月 23 日，EVLF在该频道发布消息称他们将暂停该项目。 EVLF 在帖子中说：由于生活所迫，后续他将停止开发和发布。但是客户无需担心，在他离开之前会为用户发布几个补丁以供其后续使用。     转自Freebuf，原文链接:https://www.freebuf.com/news/376000.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

The Hacker News 网站披露，此前从未被记录的威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，赛门铁克威胁猎人网络安全小组正在以昆虫为主题的“Carderbee”绰号追踪这一活动。 赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本，在受害者网络上传播一个名为 PlugX（又名 Korplug）的已知后门，在与 The Hacker News 共享的一份报告中，安全人员还指出在攻击过程中，攻击者使用了带有合法微软证书签名的恶意软件。 ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动，还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新，遭到黑客入侵。 值得一提的是，尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上，但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染，这表明攻击的重点范围可能有所缩小了。 Syamtec 指出恶意软件被发送到受感染计算机上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。 在其中一个攻击实例中，上述描述的情况充当了部署下载器的渠道，该下载器具有来自微软的数字签名证书，随后被用于从远程服务器检索和安装 PlugX，这种模块化植入为攻击者在受感染平台上提供了一个秘密后门，使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。 尽管如此，关于 Carderbee 的许多细节仍未披露，目前还尚不清楚 Carderbee 的总部位于何处，它的最终目标是什么，以及它是否与 Lucky Mouse 有任何联系。 赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者，他们利用供应链攻击和签名恶意软件来开展活动，试图保持低调。此外，这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷，这也表明幕后攻击者进行过一定程度的策划和侦察。     转自Freebuf，原文链接:https://www.freebuf.com/news/375853.html 封面来源于网络，如有侵权请联系删除

谷歌搜索结果中一个看起来合法的亚马逊广告将访问者重定向到Microsoft Defender技术支持骗局，该骗局会锁定他们的浏览器。 谷歌搜索结果中亚马逊有效广告显示了亚马逊的合法URL，就像该公司的典型搜索结果一样，如下所示。 但是，点击Google广告会将此人重定向到技术支持骗局，伪装Microsoft Defender的警报，说明电脑感染了ads（exe）.finacetrack（2）.dll恶意软件。 这些技术支持骗局将自动进入全屏模式，因此很难在不终止谷歌浏览器进程的情况下退出页面。但是，当Chrome以这种方式终止时，在重新启动时，它会提示用户恢复以前关闭的页面，重新打开技术支持骗局。 2022年6月，Malwarebytes发现了一个看起来合法的YouTube广告，该广告也使用了该平台的URL，导致了同样的技术支持骗局。目前尚不清楚谷歌为什么允许广告商模仿其他公司的URL来制造这些令人信服的广告骗局。 在过去的一年里，谷歌广告被黑客严重滥用，以传播恶意软件，这有时会导致勒索软件攻击。黑客会创建合法网站的副本，但交换下载链接以分发安装恶意软件的木马程序。皇家勒索软件公司还制作谷歌广告，宣传安装Cobalt Strike信标的恶意网站。这些信标用于提供对公司网络的初始访问，以进行勒索软件攻击。     转自E安全，原文链接:https://mp.weixin.qq.com/s/-GkZzuStN2qg7UuO9nFsFQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文