销声匿迹大约4个月后，老牌恶意软件 Emotet 卷土重来。安全公司 Proofpoint 表示，自 2022 年 11 月初以来，Emotet再度回归电子邮件攻击领域，每天发送数十万封钓鱼邮件，成为所观察到的数量最多的攻击者之一。 据悉，Emotet上一次活跃的时间是在2022年7月，此次新的活动迹象表明，Emotet正在恢复其作为主要恶意软件系列的全部功能。这一次，它们的主要目标区域包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。 在这次新一轮的攻击活动中，Emotet发送的钓鱼邮件通常包含了 Excel 附件或受密码保护的 zip 附件，其中亦包含 Excel 文件。Excel 文件包含 XL4 宏，可从多个内置 URL 下载 Emotet 负载。但由于最近微软宣布开始默认禁用从互联网下载的Office文档中的宏，许多恶意软件已经开始从Office宏迁移到其他传递机制，如ISO和LNK文件。 虽然 Emotet 采用了旧方法，但仍通过另一种方式，即诱使受害者将文件复制到 Microsoft Office一个受信任的位置，在此处打卡文件将立即执行宏，且不会发出任何警告。但在将文件移动到受信任的位置时，操作系统会要求用户拥有管理员权限才能进行此类移动。 虽然总体活动与7月份的类似，但此次Emotet依然进行了不少更新，包括加载程序组件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是，Emotet的有效载荷——IcedID加载程序采用了全新的变体，不仅能接收命令以读取文件内容，将文件内容发送到远程服务器，还能执行其他后门指令以提取 Web 浏览器数据。研究人员对全新的IcedID感到担忧，因为它可能是为勒索攻击做铺垫。 Emotet曾是自2014年至今全球规模最大的恶意软件系列之一。2021年1月，Emotet僵尸网络被执法部门取缔，并于4月25日下发“自毁模块”后被彻底捣毁，C2服务器一度接近瘫痪。2021年11月，Emotet死灰复燃，开始间断性地进行活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350412.html 封面来源于网络，如有侵权请联系删除

新的网络钓鱼攻击利用Windows零日漏洞在不显示Web安全警告标记的情况下投放Qbot 恶意软件。从不受信任的远程位置（如 Internet 或电子邮件附件）下载文件时，Windows 会向文件添加一个特殊属性，称为 Web 标记。 此Web标记 (MoTW) 是备用数据流，其中包含有关文件的信息，例如文件来源的URL安全区域 、其引荐来源网址及其下载URL。当用户尝试打开具有 MoTW 属性的文件时，Windows 将显示一条安全警告，询问他们是否确定要打开该文件。 Windows 的警告中写道：“虽然来自 Internet 的文件可能很有用，但这种文件类型可能会危害您的计算机。如果您不信任来源，请不要打开此软件。” 上个月，惠普威胁情报团队报告称，网络钓鱼攻击正在使用JavaScript文件分发Magniber 勒索软件。这些JavaScript 文件与网站上使用的文件不同，它们是使用 Windows 脚本宿主 (wscript.exe) 执行的带有“.JS”扩展名的独立文件。 在分析文件后，ANALYGENCE 的高级漏洞分析师 Will Dormann 发现威胁参与者正在使用一个新的Windows零日漏洞 ，该漏洞阻止显示 Web 标记安全警告。 要利用此漏洞，可以使用嵌入式 base64 编码的签名块对JS文件（或其他类型的文件）进行签名，如 Microsoft 支持文章中所述。 但是，当打开具有这些格式错误签名之一的恶意文件时 ，Windows 不会被 Microsoft SmartScreen标记 并显示 MoTW 安全警告，而是自动允许该程序运行。 QBot恶意软件活动使用Windows零日 最近的 QBot 恶意软件网络钓鱼活动分发了包含 ISO 映像的受密码保护的 ZIP 存档。这些 ISO 映像包含用于安装恶意软件的 Windows 快捷方式和 DLL。 ISO 映像被用来分发恶意软件，因为 Windows 没有正确地将 Web 标记传播到其中的文件，从而允许包含的文件绕过 Windows 安全警告。 作为Microsoft 2022年11月补丁星期二的一部分，发布了修复此错误的安全更新，导致 MoTW 标志传播到打开的 ISO 映像内的所有文件，修复了此安全绕过问题。 在安全研究人员 ProxyLife发现的新 QBot 网络钓鱼活动中，威胁行为者通过分发带有格式错误的签名的 JS 文件来切换到 Windows Mark of the Web 零日漏洞。这个新的网络钓鱼活动从一封电子邮件开始，其中包含指向涉嫌文件的链接和该文件的密码。 单击该链接时，将下载一个受密码保护的 ZIP 存档，其中包含另一个 zip 文件，后跟一个 IMG 文件。在 Windows 10 及更高版本中，当双击磁盘映像文件（如 IMG 或 ISO）时，操作系统会自动将其挂载为新的盘符。 此 IMG 文件包含一个 .js 文件（“WW.js”）、一个文本文件（“data.txt”）和另一个包含重命名为 .tmp 文件的 DLL 文件的文件夹（“resemblance.tmp”）[ VirusTotal】，如下图。应该注意的是，文件名会因活动而异，因此不应将其视为静态的。 JS文件包含 VB 脚本，该脚本将读取包含“vR32”字符串的 data.txt 文件，并将内容附加到 shellexecute 命令的参数以加载“port/resemblance.tmp”DLL 文件。在这封特定的电子邮件中，重建的命令是： 由于 JS 文件来自 Internet，因此在 Windows 中启动它会显示 Web 安全警告标记。 但是，正如您从上面的 JS 脚本图像中看到的那样，它使用与 Magniber 勒索软件活动中使用的格式相同的畸形密钥进行签名，以利用 Windows 零日漏洞。 这种格式错误的签名允许 JS 脚本运行和加载 QBot 恶意软件，而不会显示来自 Windows 的任何安全警告，如下面启动的进程所示。 短时间后，恶意软件加载程序会将 QBot DLL 注入合法的 Windows 进程以逃避检测，例如 wermgr.exe 或 AtBroker.exe。 自10月以来，Microsoft 就知道了这个零日漏洞，现在其他恶意软件活动正在利用它，我们希望在 2022 年 12 月补丁星期二安全更新中看到该漏洞得到修复。 QBot 恶意软件 QBot，也称为 Qakbot，是一种 Windows 恶意软件，最初是作为银行木马开发的，但后来发展成为恶意软件植入程序。一旦加载，该恶意软件将在后台悄悄运行，同时窃取电子邮件用于其他网络钓鱼攻击或安装其他有效负载，如 Brute Ratel、 Cobalt Strike和 其他恶意软件。 安装 Brute Ratel 和 Cobalt Strike 后开发工具包通常会导致更具破坏性的攻击，例如数据盗窃和勒索软件攻击。 过去，Egregor 和 Prolock 勒索软件运营与 QBot 分销商合作以获得对公司网络的访问权限。最近， 在 QBot 感染后网络上出现了Black Basta勒索软件攻击。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/GSQ6W_nFDlWcRknl4hnb_Q 封面来源于网络，如有侵权请联系删除

据BleepingCompuer 11月17日消息，自 9 月中旬以来，一个复杂的网络钓鱼工具包一直以北美用户为目标，利用劳动节和万圣节等假期，对消费者发动攻击。 根据Akamai安全研究人员的说法，该工具包使用多种逃避检测技术，并结合了多种机制，其中最为独特的功能是能基于令牌系统，确保每个受害者都被重定向到一个唯一的 URL钓鱼页面。 活动概览 Akamai 发现该钓鱼活动始于 2022 年 9 月，通过发送“有机会赢得知名品牌的奖品”为主题的钓鱼邮件，吸引那些企图寻找节日特惠的消费者上钩。 钓鱼邮件示例 钓鱼邮件中的链接不会引发任何安全告警，在经过一系列重定向，以及借助URL 缩短器隐藏大多数 URL后，大多防病毒软件无法识别其有害性，而攻击者滥用 Google、AWS 和 Azure 等具有良好声誉的合法云服务，也为绕过保护机制提供了便利。 这些钓鱼邮件假冒的品牌包括体育用品公司 Dick’s、高端行李箱制造商 Tumi、达美航空、山姆超市会员店、开市客等。当受害者来到钓鱼页面，都会提示需完成一份限时5分钟的调查问卷来获得奖品。由于时间的紧迫性，让不少受奖品驱使的受害者没有时间过多犹豫。此外，为进一步打消受害者顾虑，攻击者还炮制出带有奖品实物图片的虚假用户评价，从而增加了钓鱼的成功率。 虚假的用户晒单评价 在获得所谓的“奖品”后，受害者会被要求输入付款的详细信息，以支付奖品运费。这些信息会被攻击者窃取，用于其他的网上消费。 Akamai 表示，大约 89% 的受害者来自美国和加拿大，并根据他们的确切位置，重定向至不同的网络钓鱼站点，以冒充当地品牌。 每个受害者都有一个唯一的 URL 通常，URL地址中的“#”用于将访问者引导至链接页面的特定部分，而在此钓鱼邮件活动中，锚标记代表 JavaScript 在网络钓鱼登陆时使用的令牌，将目标重定向至一个新的URL。 “HTML 锚点之后的值不会被视为 HTTP 参数，也不会被发送到服务器，但受害者浏览器上运行的 JavaScript 代码可以访问该值，”Akamai解释称。“在网络钓鱼诈骗的背景下，当验证它是否是恶意的安全产品扫描时，放置在 HTML 锚点之后的值可能会被忽略或忽略。” Akamai 分享了如下两图，展示网络钓鱼链接锚点如何用于创建重定向链接。 基于锚令牌的重定向 安全产品和网络流量检测工具会忽略此令牌，因此不会给攻击者带来风险，并且能规避研究人员、分析师和其他非受害人群对钓鱼页面的访问。而对于受害者，该令牌还能对其活动进行追踪。总体而言，该工具包结合了几乎所有已知的有效性和检测规避技术，使其成为针对北美网络用户一个不可忽视的潜在威胁。 随着黑色星期五和圣诞节购物季的临近，专家提示，消费者在收到有关促销和特别优惠的信息时应格外警惕。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350147.html 封面来源于网络，如有侵权请联系删除

一份新的全球威胁报告为微软描绘了一幅糟糕的画面，因为Windows继续拥有最多的恶意软件感染，而macOS的恶意软件最少。Elastic Security Labs周二发布了一份网络安全报告，研究了流行的操作系统和它们收到的威胁，该公司还包括对企业客户的预测和建议。 像往常一样，macOS在名单上表现最佳，甚至击败了Linux，这意味着它看到的安全威胁最少。数字显示，54%的恶意软件感染是在Windows上发现的，39.4%是在Linux上发现的，而macOS只有6.2%的感染率。 木马是造成大多数感染的原因，占80.5%。特洛伊木马是一种软件，假装是良性的，但里面隐藏着恶意软件，一旦用户运行该程序就会激活。 研究人员发现，MacKeeper是Mac用户作为恶意软件攻击载体的最大威胁。MacKeeper有一段不好的历史，涉及的弹窗广告，而且一些版本让Mac容易受到恶意软件的攻击。 MacKeeper程序经常被视为恶意软件，或被用来传播恶意软件 报告提到，攻击者可以滥用MacKeeper，因为它有广泛的权限和对macOS进程和文件的访问。 它还警告说，在苹果平台的恶意软件中，macOS加密软件可能变得更加普遍。密码挖掘恶意软件或”密码劫持”是一种恶意程序，它利用计算机在未经用户同意的情况下秘密”挖掘”一种加密货币。挖矿会占用计算机的大部分或全部资源，如GPU或CPU性能，使系统变慢。 除了这些具体的威胁，报告中并没有过多提及macOS。这表明，当谈到到恶意软件感染时，Mac用户并没有感到太多的担心。 苹果公司软件工程主管克雷格-费德里吉（Craig Federighi）在2021年表示，该平台的恶意软件水平令人无法接受，至少比iOS更糟糕。但macOS对用户有内置的保护措施，包括杀毒软件，对已知开发者的应用进行验证，以及文件系统加密的能力。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166262350633239077/?log_from=f914f982fe00d_1668653007456 封面来源于网络，如有侵权请联系删除

朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。DTrack 是一个模块化后门，具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。 除了间谍之外，它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据，以及在受感染的设备上执行进程。与过去分析的样本相比，新的恶意软件版本没有太多功能或代码更改，但现在部署范围更广。 分布更广 正如卡巴斯基在今天发布的一份报告中所解释的那样，他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。 目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。在新的攻击活动中，卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。 例如， 他们共享的一个样本 以“NvContainer.exe”文件名分发，该文件名与合法的 NVIDIA 文件同名。 卡巴斯基指出，DTrack 继续通过使用窃取的凭据破坏网络或利用暴露在 Internet 上的服务器来安装，如 之前的活动所示。启动后，恶意软件会经过多个解密步骤，然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。 与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串，并且 C2 服务器的数量已减少一半，仅为三个。 卡巴斯基发现的一些 C2 服务器是： “pinkgoat[.]com”、 “purewatertokyo[.]com” “purplebear[.]com” “salmonrabbit[.]com” DTrack归因 卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织，并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。 2022 年 8 月，同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来，该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。 2020 年 2 月，Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/KkMllkVWQMf79rys8iZllQ 封面来源于网络，如有侵权请联系删除

最近，一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件，它的存在是攻击者感染链中的一个关键环节。 捷克网络安全公司Avast表示，PNG（图片格式）文件作为隐藏信息盗窃的有效载荷，有很大的隐蔽性。 “该公司说：”值得注意的是，攻击者通过使用Dropbox存储库从受害者的机器上收集数据，并用Dropbox API与最终阶段进行通信。 在ESET披露Worok对位于亚洲和非洲的高知名度公司和地方政府进行了攻击。 斯洛伐克网络安全公司还记录了Worok的破坏序列，它利用了一个名为CLRLoad的基于C++的加载器，为嵌入PNG图像的未知PowerShell脚本铺平道路，这种技术被称为隐写术。 也就是说，尽管某些入侵行为需要使用微软Exchange服务器中的ProxyShell漏洞来部署恶意软件，但最初的攻击载体仍然是未知的。 Avast的研究结果表明，该组织在获得初始访问权后利用DLL侧载来执行CLRLoad恶意软件，但在受感染环境中进行横向移动之前并没有。 据称，由CLRLoad（或另一个名为PowHeartBeat的第一阶段）启动的PNGLoad有两个变体，每个变体负责解码图像内的恶意代码，以启动PowerShell脚本或基于.NET C#的有效载荷。 虽然网络安全公司指出，它能够标记一些属于第二类的PNG文件，这些文件分发了一个隐藏的C#恶意软件，但PowerShell脚本仍然是难以捉摸的。 之所以，这些PNG图片看起来很无害。是因为，PNG文件位于C:\Program Files\Internet Explorer中，图片不会引起注意，而且Internet Explorer也有一个类似的主题。 这种新的恶意软件，代号为DropboxControl，作为一种信息窃取工具，它使用Dropbox账户进行命令和控制，使攻击者能够上传和下载文件到特定的文件夹，以及运行存在于某个文件中的命令。 其中一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和渗出系统元数据的能力。 Avast说，柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响的几个主要国家，而且，由于 “这些有效载荷的代码质量明显不同”，该恶意软件的作者可能与CLRLoad和PNGLoad的作者也不同。 无论如何，通过嵌入式病毒工具来收集感兴趣的文件，都清楚地表明了Worok的情报收集目的。 研究人员总结说：Worok的工具在流行率很低，所以它可以表明该工具集是一个APT项目，侧重于亚洲、非洲和北美的私营和公共部门的高知名度实体。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349816.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。 IceXLoader是一种商品恶意软件，在地下论坛上以118美元的价格出售，终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。 今年6月，Fortinet FortiGuard实验室表示，他们发现了一个用Nim编程语言编写的特洛伊木马版本，目的是逃避分析和检测。 Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示：“虽然6月份发现的版本（v3.0）看起来像是一个正在进行中的工作，但我们最近发现了一个新的v3.3.3加载器，它看起来功能齐全，并且包括一个多级交付链。” IceXLoader传统上是通过网络钓鱼活动分发的，包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。 在Minerva实验室详细描述的攻击序列中，发现ZIP文件包含一个dropper，该dropper会丢弃一个基于.NET的下载程序，从硬编码的URL下载PNG图像（“Ejvffhop.png”）。 这个图像文件（另一个dropper）随后被转换为字节数组，允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。 IceXLoader的3.3.3版本与其前身一样，是用Nim编写的，它可以收集系统元数据，所有元数据都会被泄露到远程攻击者控制的域中，同时等待服务器发出进一步的命令。 这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。 Minerva实验室表示，命令和控制（C2）服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息，并补充说，该文件正在通知受影响的公司。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

一个连业余围棋选手都下不过的“恶意”围棋软件击败了不可一世的人工智能围棋冠军KataGo。 2016年李世石在1：4惨败给“阿尔法狗”的比赛中下出的“神之一手”，被职业围棋界看作是人类“最后的倔强”和人类能够挖掘的围棋人工智能技术“最后的漏洞”。此后，围棋人工智能技术的水平一骑绝尘，遥遥领先任何人类职业棋手，成了新的“围棋之神”，人类正式进入计算围棋时代。 但是，近日一篇人工智能论文惊掉了计算围棋界所有人的下巴，加州大学伯克利分校的研究人员们开发出一种对抗性样本技术来摸索KataGo的盲点，并用基于该技术的菜鸟级围棋程序（业余人类选手可轻松击败）打败了KataGO（当今最强的围棋人工智能程序，实力远超当年的阿尔法狗）。 据该论文的作者之一，加州大学伯克利分校的亚当戈里夫博士介绍，击败KataGo的“对抗性政策”方法挖掘并利用了KataGo的盲区（漏洞）。 KataGo是一个强大的开源围棋AI引擎，作为当今世界顶级围棋人工智能技术，实现了一系列超越阿尔法零算法的功能和技术，目前是韩国国家队的陪练AI，同时也支持着多种流行围棋软件，例如阿Q围棋、Anago等。 与谷歌的阿尔法零类似，KataGo通过与自己对战数百万盘比赛的海量数据来自我训练，但最新的论文成果表明，即便是KataGo这样的高度成熟的人工智能模型依然存在盲区，存在导致意外行为的漏洞。 格里夫博士介绍了击败KataGo的对抗性策略的一个示例。在上图中，执黑棋的业余围棋程序在棋盘的右上角围住角地实空，其余的广大空间则被KataGo牢牢控制。这让KataGo判定自己已经大获全胜，且已经收完最后一个单关，为了不“损空”选择“停招”（停一手），期待对手（执黑的业余围棋程序）也停招，根据围棋规则双方停招将自动结束比赛开始点目计算胜负。 但是，由于KataGo的围空中的黑子尚有活力，按照围棋裁判规则并未被判定为“死子”，因此KataGo的围空中有黑子的地方都不能被计算为有效目数，导致KataGo被系统判负。 虽然这看上去是一个非常“赖皮”，“令人感到作呕”的对抗性策略，但业余围棋程序确实在公平规则下击败了KataGo，该程序唯一的设计目的就是“专治”KataGo，即便它的水平连普通业余爱好者的水平都达不到。 更为可怕的是，不仅仅是KataGo，几乎所有深度学习人工智能技术，从人脸识别、自动驾驶到网络安全，都存在类似的盲区和脆弱性。 一些看似“无厘头”或“人畜无害”的对抗性样本，却能够击垮对人类顶级选手保持100%胜率的最强健的人工智能程序。 格里夫博士指出，这个研究结果在围棋比赛中很有趣，但是在安全关键系统中出现此类故障可能会带来灾难性后果。 在人工智能战胜人类顶级选手五年后，围棋这款古老的游戏仍然在机器学习中发挥着重要作用。对围棋人工智能技术漏洞的挖掘和分析，对关键人工智能应用（自动驾驶、智能助理、人脸识别、智能工厂、智慧城市）的安全性和攻防两端技术的发展都有重要的警示和启示作用。 根据Advesa的人工智能安全性报告，互联网、网络安全、生物识别和企业行业是人工智能网络安全问题的重灾区，都是“对抗性样本策略”的有效打击目标。 转自 安全内参，原文链接：https://www.secrss.com/articles/48788 封面来源于网络，如有侵权请联系删除

最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络，它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码，并让受害者的浏览器参与 DDoS 攻击。 Cloud9 浏览器实际上是 Chromium Web 浏览器（包括 Google Chrome 和 Microsoft Edge）的远程访问木马 (RAT)，其作用是允许攻击者远程执行命令。 恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用，而是通过其他渠道传播，例如推送虚假 Adobe Flash Player 更新的网站。 这种方法似乎运作良好，因为根据Zimperium 的研究人员报告说，他们已经在全球系统上看到了 Cloud9 感染。 感染浏览器 Cloud9 是一个恶意浏览器扩展，它对 Chromium 浏览器进行感染，以执行大量的恶意功能。 该扩展工具由三个 JavaScript 文件组成，用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。 Zimperium 注意到它还加载了针对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。 这些漏洞用于在主机上自动安装和执行 Windows 恶意软件，使攻击者能够进行更深入的系统入侵。 然而，即使没有 Windows 恶意软件组件，Cloud9 扩展也可以从受感染的浏览器中窃取 cookie，攻击者可以使用这些 cookie 劫持有效的用户会话并接管帐户。 此外，该恶意软件具有一个键盘记录器，可以窥探按键以窃取密码和其他敏感信息。 扩展中还存在一个“剪辑器”模块，不断监视系统剪贴板中是否有复制的密码或信用卡。 Cloud9 还可以通过静默加载网页来注入广告，从而产生广告展示，为其运营商带来收入。 最后，恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。 “第 7 层攻击通常很难检测，因为 TCP 连接看起来与正常请求非常相似” ，Zimperium 评论道。 开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。 运算符和目标 Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系，因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。 Keksec 负责开发和运行多个僵尸网络项目，包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。 Cloud9 的受害者遍布全球，攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。 此外，在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349237.html 封面来源于网络，如有侵权请联系删除

GitHub Copilot在纸面上听起来是一个迷人的工具。一年多前，微软推出了预览版，它基本上是一个由人工智能驱动的扩展，使用GitHub上所有公共存储库中的代码，然后根据简单的帮助程序员写代码。例如，程序员可以只提供”对这个列表中的数字取一个平均值”这样的简单信息，GitHub Copilot就会根据它在GitHub代码库上的训练，自主地写代码来完成这个任务。 微软在几个月前宣布GitHub Copilot以10美元/月的价格全面上市，但几乎从一开始，该产品的法律地位就受到了批评，因为它未经他人许可就使用他人编写的代码，而且微软从这些做法中获利。今天，针对这个由人工智能驱动的配对编程工具的集体诉讼已经被提起。 该诉讼是由马修-巴特里克发起的，他是一名程序员、作家和律师，诉讼由加利福尼亚州的约瑟夫-萨维里律师事务所代理。他们共同声称，微软正在从事开源软件的盗版活动，因为它使用了数百万程序员根据各种许可证（包括MIT、GPL和Apache）编写的代码。诉讼中提到的被告是GitHub、微软和其技术合作伙伴OpenAI。 巴特里克声称，微软在使用这些代码时违反了一些要求，包括署名、GitHub自己的政策、加州消费者隐私法和DMCA 1202–“禁止删除版权管理信息”。这是将是漫长旅程中的第一步。据我们所知，这是美国第一个挑战人工智能系统训练和输出的集体诉讼案件。这不会是最后一起。人工智能系统不能免于法律的约束。那些创造和操作这些系统的人必须负责。如果像微软、GitHub和OpenAI这样的公司选择无视法律，他们不应该指望我们公众会坐视不理。人工智能需要对每个人都是公平和道德的。如果不是这样，那么它就永远无法实现其夸耀的提升人类的目标。它只会成为少数特权者从多数人的工作中获利的另一种方式。 同时，约瑟夫-萨维里律师事务所的约瑟夫-萨维里指出：我很感谢那些挺身而出使本案取得成果的程序员和用户，并确保像微软、GitHub和OpenAI这样的公司不能从开源创作者的工作中不公平地获利。本案代表了在打击人工智能系统引起的科技行业知识产权侵权的斗争中迈出的重要一步。在这个案例中，开源程序员的工作被利用了。但这不会是最后一个受到人工智能系统影响的创作者群体。我们公司致力于为这些创作者站出来，确保开发人工智能产品的公司在法律下承担责任。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7162003028814496269/?log_from=e1d59c09398a3_1667544658087 封面来源于网络，如有侵权请联系删除