据The Hacker News 2月2日消息，自 2021 年 9 月以来，全球至少有 1200 台 Redis 数据库服务器被一个名为 HeadCrab 恶意软件威胁。 Aqua的安全研究员在2日发布的一份报告中表示，这种高级威胁的攻击者利用了一种最先进的定制恶意软件，能够逃避无代理和传统的防病毒解决方案的检测，从而破坏了大量的 Redis 服务器。 该攻击旨在针对暴露的 Redis 服务器，然后从另一台已经处于攻击者控制之下的 Redis 服务器发出SLAVEOF 命令，以实现服务器同步，将恶意负载下载到新感染的服务器，其中就包含 HeadCrab 恶意软件。研究员指出，恶意软件的 Redis 模块和 API 方面表现出背后的开发者具有过硬的技术能力。 虽然恶意软件的最终目标是劫持系统资源以进行加密货币挖掘，但也具备其他功能，如允许攻击者执行 Shell 命令、加载无文件内核模块并将数据泄露到远程服务器。 截至目前，中国、马来西亚、印度、德国、英国和美国已记录到大量感染。攻击者的来历也尚未明确。为此，专家建议用户不要将 Redis 服务器直接暴露在互联网上。在不使用的情况下，要在其环境中禁用SLAVEOF功能，并将服务器配置为仅接受来自受信任主机的连接。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356439.html 封面来源于网络，如有侵权请联系删除

伊朗攻击组织 COBALT MIRAGE 的 B 小组使用 .NET 编写的恶意软件 Drokbk，由 Dropper 与 Payload 组成。该恶意软件内置的功能有限，主要就是执行 C&C 服务器的命令。2022 年 2 月，美国政府在针对地方政府网络的入侵攻击中发现了该恶意软件，后续在 VirusTotal 上发现了该样本。 组织关系 Drokbk 恶意软件作为失陷主机中一种附加持久化方式，通常和其他恶意软件一同使用，COBALT MIRAGE 的首选远控方式仍然还是 FRPC。COBALT MIRAGE 的 A 小组对 FRPC 进行了定制化修改，名为 TunnelFish。但 COBALT MIRAGE 的 B 小组仍然喜欢使用未修改的版本。在 2022 年 3 月的一份分析报告中，攻击者表现出了 B 小组的攻击行为，其中也提及了 Drokbk.exe。并且攻击者使用的 C&C 域名 activate-microsoft.cf 也与 B 小组有关。 分析人员在调查 2 月使用 Log4j 漏洞（CVE-2021-44228 和 CVE-2021-45046）入侵 VMware Horizon 服务器时，发现 Drokbk.exe 是从合法服务下载的压缩文件 Drokbk.zip 中释放的。攻击者将其置于 C:\Users\DomainAdmin\Desktop\ 并执行。 Drokbk 进程树 Drokbk Dropper 会检查 C:\programdata\SoftwareDistribution 目录是否存在，如果不存在则创建该目录。随后，Dropper 将资源段中所有数据写入 c:\users\public\pla。紧接着，程序再将其复制到 c:\programdata\SoftwareDistribution\SessionService.exe。使用该文件，Dropper 添加名为 SessionManagerService 的服务进行持久化。最后，Dropper 删除 c:\users\public\pla 文件收尾。整体过程如上所示。B 小组的攻击者喜欢将 c:\users\public\ 作为恶意软件所使用的共用目录。 SessionService.exe 是最主要的 Payload，其 C&C 通信的域名在其中内置了。但 Drokbk 仍然连接到互联网的合法服务（例如 GitHub）来获取 C&C 服务器地址。C&C 服务器信息存储在云服务的账户中，该账户也内嵌在恶意软件中。 反编译代码 如上显示了 SessionService.exe 的反编译代码，样本通过 GitHub API 搜索名为 mainrepositorytogeta 的存储库。 如下所示，GitHub 对应仓库的 README.md 文件中记录着 C&C 服务器的信息。攻击者使用的 GitHub 账户名称为 Shinault23。 通过 GitHub 获取 C&C 信息 这种方式为攻击者提供了更大的灵活性，当账户被禁用时，攻击者可以利用其他账户创建相同名称的仓库，也可以通过不断重复此过程来更新 C&C 服务器信息。 README.md 文件首次提交是 2022 年 6 月 9 日，而在 6 月 9 日至 7 月 13 日期间，攻击者多次修改 C&C 服务器地址。如下所示： commit 提交记录 下图列出了 6 月 9 日至 7 月 13 日期间配置的 C&C 服务器，这些域名与 URL 的结构与之前发现的 B 小组的攻击基础设施是类似的。 C&C 服务器列表 根据提供的 C&C 服务器信息，SessionService.exe 向 C&C 服务器发起请求，其中包含主机名与当前时间。 发起请求 Drokbk 创建了以下文件，但在分析期间未能收到有效命令。 C:\Windows\Temp\v2ggla C:\Windows\Temp\vdoma434 C:\programdata\Interop Services IOC 372b1946907ab9897737799f3bc8c13100519705 e26a66bfe0da89405e25a66baad95b05 4eb5c832ce940739d6c0eb1b4fc7a78def1dd15e 64f39b858c1d784df1ca8eb895ac7eaf47bf39acf008ed4ae27a796ac90f841b 8c8e184c280db126e6fcfcc507aea925 aefab35127292cbe0e1d8a1a2fa7c39c9d72f2ea 29dc4cae5f08c215d57893483b5b42cb00a2d0e7d8361cda9feeaf515f8b5d9e 14a0e5665a95714ff4951bd35eb73606 0426f65ea5bcff9e0dc48e236bbec293380ccc43 a8e18a84898f46cd88813838f5e69f05240c4853af2aee5917dcee3a3e2a5d5a b90f05b5e705e0b0cb47f51b985f84db 5bd0690247dc1e446916800af169270f100d089b 28332bdbfaeb8333dad5ada3c10819a1a015db9106d5e8a74beaaf03797511aa activate-microsoft.cf dns-iprecords.tk oracle-java.cf 51.89.135.154 142.44.149.199 142.44.149.199/gsdi546gsja universityofmhealth.biz 142.44.198.202     转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/354070.html 封面来源于网络，如有侵权请联系删除

近日，总部位于加利福尼亚的网络安全公司Resecurity在暗网中发现 了一个新的地下市场，该市场被称为“InTheBox”，面向移动恶意软件开发商和运营商提供服务。至少从2020年5月开始，TOR网络中的网络犯罪分子就可以使用该市场，但是从那时起，它已经从一个私人运营的网络犯罪服务转变为当今以其庞大的数量而闻名的最大市场提供出售的独特工具和所谓的WEB注入。 这些恶意工具是网络攻击者故意开发的，用于网上银行盗窃和金融诈骗。WEB注入被集成到移动恶意软件中以拦截银行凭据、支付系统、社交媒体和电子邮件提供商凭据，但还不止于此，这些恶意工具还收集其他敏感信息，如信用卡信息、地址详细信息、电话和其他 PII。这种趋势来自“浏览器中的人”(MiTB) 攻击和为 Zeus、Gozi 和 SpyEye 等传统基于PC的恶意软件设计的WEB注入。后来，网络犯罪分子成功地将相同的方法应用于移动设备，因为现代数字支付在消费者使用的移动应用程序方面极为互联。 据 Resecurity 的专家称，已确定的“In The Box”市场现在可以被称为涉及移动设备的银行盗窃和欺诈的最大和最重要的催化剂。可用恶意武器库的质量、数量和范围突出了调查结果的重要性。目前，网络犯罪分子提供超过 1,849 种恶意场景供销售，专为来自超过 45 个国家（包括美国、英国、加拿大、巴西、哥伦比亚、墨西哥、沙特）的主要金融机构、电子商务、支付系统、在线零售商和社交媒体公司而设计阿拉伯、巴林、土耳其和新加坡。网络犯罪分子针对的受支持组织包括亚马逊、贝宝、花旗、美国银行、富国银行、星展银行等。 “IntheBox”市场背后的运营商与主要移动恶意软件家族的开发商密切相关，包括Alien、Cerberus、Ermac、Hydra、Octopus（又名“Octo”）、Poison 和 MetaDroid。网络罪犯以 2500美元至7000美元不等的订阅费为基础租用移动恶意软件，在某些情况下，还要求地下供应商为特定服务或应用程序开发专门设计的注入程序，以确保在移动设备上成功窃取凭据。此类恶意场景的设计与其对应的合法应用程序相同，但包含拦截受害者登录名和密码的虚假表单。除此之外，移动恶意软件使犯罪分子能够拦截银行通过短信发送的 2FA 代码，或重定向包含验证详细信息的来电。 每年，面向移动设备的恶意软件数量都呈指数增长。根据独立研究，几乎每 5 个移动设备用户中就有 1 个可能受到移动恶意软件的危害。网络罪犯利用巧妙的策略绕过反欺诈过滤器并进行银行盗窃，以确认所有验证码而不看起来可疑。典型的银行盗窃金额在每个消费者5000 – 15000美元和每个企业50000 – 250000美元之间，具体取决于规模和业务活动。到 2022 年，欺诈造成的损失总计超过 56 亿美元。再加上商业电子邮件泄露、洗钱和投资诈骗等其他类型的欺诈，创造了一个在地下流通着数万亿美元的巨大影子经济。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/fhpaZobOkm6e8L26LdBgSQ 封面来源于网络，如有侵权请联系删除

卡巴斯基的研究人员发现了一种以前不为人知的恶意软件，称为CryWiper，用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件，但实际上是一种数据擦除恶意软件，可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。 卡巴斯基的报告声称，他们在仔细分析了恶意软件样本后发现，尽管这种木马伪装成勒索软件，向受害者勒索钱财以“解密”数据，但实际上并不加密数据，而是有意破坏受影响系统中的数据。此外，分析该木马的程序代码后发现，这不是开发人员的错误，而是其初衷。 数据擦除恶意软件在过去十年中已变得越来越常见。2012年，一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司（RasGas）造成了严重破坏。四年后，Shamoon的一个新变种卷土重来，攻击了沙特阿拉伯的多家组织。2017年，一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球，造成的损失估计高达100亿美元。 专家认为，该恶意软件是专门针对 Windows 系统设计的，因为它使用了对 WinAPI 函数的多次调用。在执行后，CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务，每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器，并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令，以确定恶意软件是否必须启动。 在某些情况下，研究人员观察到执行延迟 4 天（345,600 秒）以隐藏感染背后的逻辑。收到运行响应后，CryWiper 使用 taskkill 命令停止与 MySQL 和 MS SQL 数据库服务器、MS Exchange 邮件服务器和 MS Active Directory Web 服务相关的进程。此操作会在加密之前解锁上述合法应用程序使用的文件。CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程，以释放锁定的数据以供销毁。 擦除器还会删除受感染机器上的卷影副本，以防止受害者恢复已擦除的文件。为了破坏用户文件，擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（’README.txt’），要求 0.5 比特币用于解密。 报告总结到，CryWiper 会将自己定位为勒索软件程序，即声称受害者的文件已加密，如果支付赎金，则可以恢复。然而，这是一个骗局：事实上，数据已被销毁，无法归还。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/abN5HPJKYcnbkmqjDtS4Wg 封面来源于网络，如有侵权请联系删除

Cyble研究和情报实验室（CRIL）一直在持续监控在野外新出现的活跃恶意软件家族。最近，CRIL观察到一种名为DuckLogs的新恶意软件，它执行多种恶意活动，如Stealer、Keylogger、Clipper、远程访问等。除此之外，CRIL还在野外观察到DuckLogs C&C服务器的多个活动实例，这表明恶意软件正在出现。 DuckLogs是MaaS（恶意软件即服务）。它窃取用户的敏感信息，如密码、cookie、登录数据、历史记录、加密钱包详细信息等，并将被盗数据从受害者的机器转移到其C&C服务器。 黑客可以使用“控制”模块控制受害者的机器，并执行以下活动： 在受害者机器中传输和执行其他文件。 在浏览器中打开任何网址。 关闭、重新启动、注销和锁定计算机。 从系统中卸载恶意软件。 发送消息。 执行DoS（拒绝服务）攻击。 显示蓝屏死机。 禁用鼠标和键盘输入等。 DuckLogs是一种独特的组合，将Stealer、Keylogger和Clipper恶意软件捆绑到一个恶意软件包中，可以在网络犯罪论坛中以相对较低的价格获得，使这种威胁对更广泛的潜在受害者构成危险。 Cyble研究和情报实验室将继续监控野外的新恶意软件，并更新博客，提供可操作的情报，以保护用户免受此类攻击。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2034/ 消息来源：CybleBlogs，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。 CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。 今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。 Redigo攻击 AquaSec说，Redigo攻击从6379端口的扫描开始，以定位暴露在开放网络上的Redis服务器。找到目标端点后，atacker连接并运行以下命令: INFO – 检查Redis的版本，以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF – 创建一个攻击服务器的副本。 REPLCONF – 配置从攻击服务器到新创建副本的连接。 PSYNC – 启动复制流并下载服务器磁盘上的共享库 “exp_lin.so”。 MODULE LOAD – 从下载的动态库中加载模块，该模块能够执行任意命令并利用CVE-2022-0543。 SLAVEOF NO ONE – 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力，攻击者收集主机的硬件信息，然后下载Redigo（redis-1.2-SNAPSHOT）。该恶意软件在升级权限后被执行。 攻击者通过6379端口模拟正常的Redis通信，以逃避网络分析工具的检测，同时试图隐藏来自Redigo的命令和控制服务器的流量。 由于AquaSec公司蜜罐的攻击时间限制，其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。 AquaSec表示，Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络，进行分布式拒绝服务（DDoS）攻击，或者在被攻击的系统上运行加密货币矿工。 此外，由于Redis是一个数据库，访问数据并窃取它也可能是Redigo攻击的目的。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351413.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在谷歌Play Store上发现的恶意Android短信应用程序可以偷偷获取短信，目的是在Facebook、谷歌和WhatsApp等平台上创建账户。 这款名为Symoo（com.vanjan.sms）的应用程序下载量超过10万次，充当了向服务器发送消息的中继站，为账户创建服务做宣传。 这是通过使用与受感染设备相关的电话号码作为收集一次性密码的手段来实现的，该密码通常是在设置新帐户时用来验证用户的。 发现该恶意软件的安全研究人员Maxime Ingrao说：“恶意软件在第一个屏幕上询问用户的电话号码，同时还要求用户获得短信权限。” “然后它假装加载了应用程序，但一直停留在这个页面上，这是为了隐藏接收到的短信界面，这样用户就看不到订阅各种服务的短信。” 使用这些电话号码非法注册的主要服务包括亚马逊、Discord、Facebook、谷歌、Instagram、KakaoTalk、微软、耐克、Telegram、TikTok、Tinder、Viber和WhatsApp等。 此外，恶意软件收集的数据会被转移到一个名为“goomy[.]fun”的域名，该域名曾被用于另一个名为Virtual Number（com.programmatics.virtualnumber）的恶意应用程序，该应用程序已从Play商店中下架。 该应用程序的开发者Walven也与另一款名为ActivationPW-虚拟号码（com.programmatics.activation）的安卓应用程序联系在一起，该应用程序声称提供“接收来自200多个国家短信验证的虚拟号码”，价格不到50美分。 据Ingrao称，Symoo和ActivationPW代表了欺诈方案的两端，其中，安装了Symoo和ValidationPW的黑客设备的电话号码，被用来帮助用户通过后者购买账户。 谷歌告诉The Hacker News，这两款应用程序已经从Play商店下架，开发者也被禁止使用。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一群可能位于越南的攻击者专门针对可能访问 Facebook 业务和广告管理帐户的员工，在几个月前首次曝光后，他们重新出现并改变了其基础设施、恶意软件和作案手法。 该组织被WithSecure的研究人员称为 DUCKTAIL，该组织使用鱼叉式网络钓鱼来针对 LinkedIn 上的个人，从这些个人的职位描述来看可能他们有权管理 Facebook 企业帐户。最近，还观察到攻击者通过 WhatsApp 瞄准受害者。受感染的 Facebook 商业帐户用于在平台上投放广告，以获取攻击者的经济利益。 DUCKTAIL 攻击者进行研究 帐户滥用是通过恶意软件程序使用受害者的浏览器实现的，该恶意软件程序伪装成与品牌、产品和项目规划相关的文档。攻击者首先建立一个在 Facebook 上有业务页面的公司列表。然后，他们在 LinkedIn 和其他来源上搜索为这些公司工作并拥有可以让他们访问这些业务页面的职位的员工。这些包括管理、数字营销、数字媒体和人力资源角色。 最后一步是向他们发送一个链接，其中包含一个伪装成 .pdf 的恶意软件的存档，以及看似属于同一项目的图像和视频。研究人员看到的一些文件名包括项目“发展计划”、“项目信息”、“产品”和“新项目预算业务计划”。 DUCKTAIL 组织自 2021 年下半年以来一直在开展这项活动。在今年 8 月WithSecure 曝光他们的行动后，该行动停止了，攻击者重新设计了他们的一些工具集。 攻击者改用 GlobalSign 作为证书颁发机构 今年早些时候分析的恶意软件样本使用以一家越南公司的名义从 Sectigo 获得的合法代码签名证书进行了数字签名。由于该证书已被报告和撤销，攻击者已切换到 GlobalSign 作为他们的证书颁发机构。在他们继续以原公司的名义向多个 CA 申请证书的同时，他们还建立了其他六家企业，全部使用越南语，其中三个获得了代码签名证书。 2021 年底出现的 DUCKTAIL 恶意软件样本是用 .NET Core 编写的，并使用框架的单文件功能编译，该功能将所有必需的库和文件捆绑到一个可执行文件中，包括主程序集。这确保恶意软件可以在任何 Windows 计算机上执行，无论它是否安装了 .NET 运行时。自 2022 年 8 月活动停止以来，WithSecure 研究人员观察到从越南上传到 VirusTotal 的多个开发 DUCKTAIL 样本。 其中一个示例是使用 .NET 7 的 NativeAOT 编译的，它提供与 .NET Core 的单文件功能类似的功能，允许二进制文件提前本地编译。然而，NativeAOT 对第三方库的支持有限，因此攻击者转而使用 .NET Core。 坏演员一直在试验 其他实验也被观察到，例如包含来自 GitHub 项目的反分析代码，但从未真正打开过，从命令和控制服务器发送电子邮件地址列表作为 .txt 文件的能力在恶意软件中对它们进行硬编码，并在执行恶意软件时启动一个虚拟文件，以减少用户的怀疑——观察到文档 (.docx)、电子表格 (.xlsx) 和视频 (.mp4) 虚拟文件。 攻击者还在测试多级加载程序以部署恶意软件，例如 Excel 加载项文件 (.xll)，它从加密的 blob 中提取二级加载程序，然后最终下载信息窃取程序恶意软件。研究人员还确定了一个用 .NET 编写的下载程序，他们高度信任 DUCKTAIL，它执行 PowerShell 命令，从 Discord 下载信息窃取程序。 infostealer 恶意软件使用电报频道进行命令和控制。自从 8 月被曝光以来，攻击者更好地锁定了这些频道，一些频道现在有多个管理员，这可能表明他们正在运行类似于勒索软件团伙的附属程序。研究人员说：“聊天活动的增加和新的文件加密机制可确保只有特定用户能够解密某些泄露的文件，这进一步加强了这一点。” 浏览器劫持 部署后，DUCKTAIL 恶意软件会扫描系统上安装的浏览器及其 cookie 存储路径。然后它会窃取所有存储的 cookie，包括存储在其中的任何 Facebook 会话 cookie。会话 cookie 是网站在身份验证成功完成后在浏览器中设置的一个小标识符，用于记住用户已经登录了一段时间。 该恶意软件使用 Facebook 会话 cookie 直接与 Facebook 页面交互，或向 Facebook Graph API 发送请求以获取信息。此信息包括个人帐户的姓名、电子邮件、生日和用户 ID；个人帐户可以访问的 Facebook 业务页面的名称、验证状态、广告限制、名称、ID、账户状态、广告支付周期、货币、adtrust DSL 以及任何相关 Facebook 广告账户的花费金额。 该恶意软件还会检查是否为被劫持的帐户启用了双因素身份验证，并在启用时使用活动会话获取 2FA 的备份代码。“从受害者机器窃取的信息还允许威胁行为者从受害者机器外部尝试这些活动（以及其他恶意活动）。研究人员说：“窃取的会话 cookie、访问令牌、2FA 代码、用户代理、IP 地址和地理位置等信息，以及一般帐户信息（如姓名和生日）可用于隐藏和冒充受害者。” 该恶意软件旨在尝试将攻击者控制的电子邮件地址添加到被劫持的 Facebook 企业帐户中，这些帐户可能具有较高的身份：管理员和财务编辑。根据 Facebook 所有者 Meta 的文档，管理员可以完全控制帐户，而财务编辑可以控制存储在帐户中的信用卡信息以及帐户上的交易、发票和支出。他们还可以将外部业务添加到存储的信用卡和月度发票中，从而使这些业务可以使用相同的付款方式。 冒充合法客户经理身份 在目标受害者没有足够的访问权限以允许恶意软件将攻击者的电子邮件地址添加到预期的企业帐户的情况下，攻击者依靠从受害者的机器和 Facebook 帐户中泄露的信息来冒充他们。 在 WithSecure 事件响应人员调查的一个案例中，受害者使用的是 Apple 机器，并且从未从 Windows 计算机登录过 Facebook。系统上未发现恶意软件，无法确定初始访问向量。目前尚不清楚这是否与 DUCKTAIL 有关，但研究人员确定袭击者也来自越南。 建议 Facebook Business 管理员定期审查在 Business Manager > Settings > People 下添加的用户，并撤销对任何授予管理员访问权限或财务编辑角色的未知用户的访问权限。 在我们的调查中，WithSecure 事件响应团队发现业务历史日志和目标个人的 Facebook 数据与事件分析相关。“然而，对于与个人 Facebook 帐户相关的日志，门户网站上可见的内容与下载数据副本时获得的内容之间存在广泛的不一致。作为对其他调查人员的建议，WithSecure 事件响应团队强烈建议尽快捕获业务历史日志的本地副本，并为其帐户请求用户数据的副本。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351010.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署，用于从受攻击主机上窃取敏感信息。 网络安全公司SEKOIA表示：“这些感染链冒充合法软件的下载页面，包括加密货币钱包或远程访问工具，以及911方法，利用YouTube视频和搜索引擎优化（SEO）的假冒破解软件下载网站。” Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告，作为商品恶意软件提供给其他黑客，被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。 在过去的几个月里，该恶意软件的规模已经缩小到一个窃取者，可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。 Aurora还附带了一个加载器，可以使用PowerShell命令部署下一阶段的负载。 这家网络安全公司表示，至少有不同的网络犯罪组织，称为traffers，负责将用户的流量重定向到由其他参与者操作的恶意内容，已经将Aurora添加到了他们的工具集中，无论是单独添加还是与RedLine和Raccoon一起添加。 SEKOIA表示：“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者，并充当加载器。收集到的数据在市场上以高价出售，网络犯罪分子对这些数据特别感兴趣，这让他们能够开展后续有利可图的活动，包括大型狩猎活动。” 帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。 这种新变体被称为Typhon Reborn，旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据，同时删除先前存在的功能，如密钥记录和加密货币挖掘，以尽量减少检测。 Unit 42的研究人员Riley Porter和Udai Pratap Singh表示：“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。” Typhon Reborn的新反分析技术正在沿着行业路线发展，在规避策略方面变得更加有效，同时拓宽了他们窃取受害者数据的工具集。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月22日消息，总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited（CDSL）表示，其系统已遭恶意软件入侵。 上周五（11月18日），该证券存管机构向印度国家证券交易所提交一份文件，称其检测到“一些内部设备”已遭恶意软件影响。 文件指出，“出于谨慎考量，我公司立即隔离了这些设备，并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查，但截至目前，“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时，该公司网站已经关闭，且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题，包括公司是否保存有能确定哪些数据被泄露（如果确有泄露）的日志记录。发言人只表示，“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户（在印度被称为demat账户），该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation（LIC）人寿保险公司。 CDSL成立于1999年，是印度唯一一家公开上市的同类公司，也是仅次于印度最早证券存管机构National Depository Services Limited（NDSL）的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易，并协助证券交易所进行贸易结算。 印度证券交易委员会要求，所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示，“CDSL团队已经向有关当局上报了此次事件，目前正与政府网络安全顾问合作，共同分析事件影响。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49261 封面来源于网络，如有侵权请联系删除