HackerNews 编译，转载请注明出处： 与朝鲜关联的威胁行为组织“Contagious Interview”（传染性面试）在虚假招聘流程中设立了多家空壳公司，用于分发恶意软件。 网络安全公司Silent Push在深度分析中指出：“在此次新活动中，该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC（blocknovas[.]com）、Angeloper Agency（angeloper[.]com）和SoftGlide LLC（softglide[.]co）——通过‘面试诱饵’传播恶意软件。” 该活动被用于分发三种已知恶意软件家族：BeaverTail、InvisibleFerret和OtterCookie。 “Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口，诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。 此次攻击的升级体现在： 空壳公司网络：BlockNovas声称有14名员工，但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时，该公司自称“运营12年以上”，但实际注册时间仅1年。 社交媒体伪装：攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。 多阶段攻击链： BeaverTail：JavaScript窃取器/加载器，通过域名lianxinxiao[.]com建立C2通信，投递下一阶段载荷。 InvisibleFerret：Python后门，支持Windows/Linux/macOS持久化，可窃取浏览器数据、文件并安装AnyDesk远程控制软件。 OtterCookie：部分攻击链通过同一JS载荷分发。 基础设施细节： BlockNovas子域名托管“状态仪表盘”，监控lianxinxiao[.]com、angeloperonline[.]online等域名。 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer，支持Suiet Wallet、Ethos Wallet等连接。 时间线与影响： 2024年9月：至少一名开发者的MetaMask钱包遭入侵。 2024年12月：BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。 2025年4月23日：FBI查封BlockNovas域名，指控其用于“虚假招聘及恶意软件分发”。 技术规避手段： 使用Astrill VPN和住宅代理隐藏基础设施。 利用AI工具Remaker生成虚假人物头像。 通过俄罗斯IP段（位于哈桑和伯力）连接VPS服务器，操作招聘网站和加密货币服务。Trend Micro指出，这些地区与朝鲜存在地理和经济关联，推测朝俄可能存在基础设施共享。 双重动机： 数据窃取：通过远程IT员工渗透企业（即Wagemole攻击）。 资金转移：将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI（GenAI）优化虚假身份创建、面试安排及实时语音/文本翻译。 行业警示： 企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务，此类要求可能成为恶意软件投递的切入点。     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。 攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称，这暴露出大多数现代Linux安全检测方案存在关键漏洞。 黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。 为验证该漏洞，研究人员公开了一款全功能rootkit。ARMO研究人员解释称：“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效，但无法应对完全绕过系统调用的技术手段。” “io_uring”漏洞利用并非新发现，安全专家普遍认为其存在安全隐患。2023年6月，谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件，因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法，且ChromeOS已彻底禁用该功能。 但在大多数Linux发行版中，该框架仍提供用于异步输入/输出处理的内核API，既能减少传统系统调用需求，又可加速特定操作。 ARMO指出：“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力，包括网络和文件系统操作。 研究人员发现，这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。 研究人员表示：“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。” 为何要发布rootkit？ 研究人员希望通过发布名为Curing的全功能rootkit，提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制，但多数网络安全厂商仍未解决该问题。” rootkit是最危险的恶意软件类型之一，能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。 “核心思路是证明io_uring支持如此多关键操作，足以在其基础上编写完整rootkit。” 该研究团队还解释了如何检测此类恶意软件，建议监控“io_uring”的异常使用，因为现代程序通常不会主动调用该接口。 Linux新推出的内核运行时安全检测机制（KRSI）能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作（如读取或发送数据），这些行为仍可被捕捉。 “io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道：“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案，确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石，这项研究将影响所有相关企业。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关联的威胁组织UNC2428在2024年10月针对以色列发起以招聘为主题的社会工程攻击，其通过部署名为MURKYTOUR的后门实施网络间谍活动。 谷歌旗下Mandiant公司将UNC2428称为与伊朗结盟的威胁组织，该组织通过“复杂的欺骗技术链”部署恶意软件。 根据Mandiant 2025年度《M-Trends报告》，UNC2428伪装成以色列国防承包商拉斐尔（Rafael）的招聘方，诱导目标用户访问仿冒网站并下载所谓的“求职辅助工具”。 该工具（“RafaelConnect.exe”）实为LONEFLEET安装程序，启动后会向受害者展示图形用户界面（GUI），要求输入个人信息并提交简历。一旦用户提交信息，LEAFPILE启动器将在后台激活MURKYTOUR后门，使攻击者获得对受感染设备的持续访问权限。 Mandiant指出：“伊朗相关威胁组织通过图形用户界面将恶意软件伪装成合法应用。这类仿冒安装程序的界面设计能有效降低目标用户的怀疑”。 此活动与以色列国家网络局归因于伊朗威胁组织黑影（Black Shadow）的攻击存在重叠，后者受伊朗情报和安全部（MOIS）支持，以攻击以色列学术、旅游、通信、金融等多领域而闻名。 2024年，多个伊朗威胁组织瞄准以色列，包括使用专有擦除器POKYBLIGHT的Cyber Toufan组织。 另一组织UNC3313通过钓鱼攻击进行监视和信息收集，其攻击手段包括在文件共享平台托管恶意软件，并嵌入以培训和网络研讨会为主题的钓鱼链接。UNC3313还分发JELLYBEAN投放器和CANDYBOX后门，并滥用9种合法远程监控工具（RMM）规避检测。 2024年7月，疑似伊朗背景的攻击者伪装成Palo Alto Networks的GlobalProtect远程访问软件安装包，暗中部署.NET后门CACTUSPAL。该后门启动后验证进程唯一性，随后与外部C2服务器通信。 伊朗威胁组织如UNC1549还通过云基础设施增强隐蔽性，例如利用拼写错误域名（Typosquatting）或复用合法域名托管C2节点。APT42（又名Charming Kitten）则通过伪造谷歌、微软、雅虎登录页面窃取凭证，并利用Google Sites和Dropbox引导目标访问虚假Google Meet页面。 2024年，Mandiant在中东攻击活动中识别出20余种伊朗组织专用恶意软件家族，包括APT34（OilRig）用于攻击伊拉克政府实体的DODGYLAFFA和SPAREPRIZE后门。该公司警告：“伊朗相关威胁组织将持续调整战术手段以适应当前形势。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本金融厅（FSA）警告称，与遭入侵的证券账户相关的未授权交易金额已达数亿美元，针对互联网交易服务的非法访问及交易行为造成的损失正在扩大。 日本金融厅在警报中写道。“伪装成真实证券公司网站的钓鱼网站窃取客户信息（登录ID、密码等）后，攻击者利用这些信息对互联网交易服务进行未授权访问及未授权交易（第三方操作交易）的案例数量急剧上升。” 日本金融厅警告称，在线交易平台上通过钓鱼网站窃取登录凭证实施的未授权交易案例正快速增加。通常攻击者会劫持受害者账户，出售其持有股票并用所得资金购买股票等资产，这些资产在攻击后仍留存于账户内。报告的售出与买入金额为总交易量，不等于客户实际损失金额。 为避免因登录凭证泄露导致未授权交易，用户需遵循关键防护措施：切勿点击邮件或短信中的链接，始终通过预先保存的书签访问证券网站，启用多因素认证和登录通知等安全功能。避免密码复用，设置复杂密码并频繁检查账户活动。若怀疑欺诈，立即更改密码并联系所属证券公司。保持设备系统更新并使用可靠防病毒软件以防范恶意软件数据窃取。 日本金融厅建议用户查阅日本证券业协会发布的《证券公司在提供互联网交易服务时应注意事项》警示公告。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员详细披露了一起针对Docker环境的恶意软件攻击活动，该活动采用了一种此前未被记录的加密货币挖矿技术。据Darktrace与Cado Security分析，此攻击模式标志着加密货币劫持行动从直接部署XMRig等矿工程序非法利用计算资源，转向新型Web3基础设施攻击。 该恶意程序部署于名为Teneo的去中心化物理基础设施网络（DePIN）节点。Teneo允许用户通过运行社区节点（Community Node）将社交媒体数据货币化，用户可获得Teneo积分（Teneo Points），并兑换为$TENEO代币。此类节点实质上充当分布式社交媒体爬虫，从Facebook、X平台、Reddit及TikTok等平台抓取公开帖文。 从蜜罐中收集的工件的分析表明，攻击始于从Docker Hub注册表中启动容器映像“kazutod/tene:ten”的请求。该图像于两个月前上传，迄今已被下载325次。 容器映像旨在运行一个嵌入式Python脚本，该脚本被严重混淆，需要63次迭代才能解压缩实际代码，从而建立与teneo[.]pro的连接。 Darktrace在与The Hacker News分享的一份报告中表示：“恶意软件脚本只是连接到WebSocket并发送保活ping，以便从Teneo获得更多积分，而不会进行任何实际的抓取。”。“根据该网站，大多数奖励都是根据心跳次数来决定的，这可能就是这种方法奏效的原因。” 此次攻击与另一起恶意活动存在相似性：后者通过感染配置错误的Docker实例植入9Hits Viewer软件，通过流量引导至特定网站以获取积分。该入侵手法亦类似于代理劫持（proxyjacking）等带宽共享方案——通过下载特定软件共享闲置网络资源以换取经济收益。 Darktrace强调：“传统加密货币劫持依赖XMRig矿工程序，但因其高检测率，攻击者正转向替代性挖矿手段。此类新方法是否更具盈利性尚待观察。” 此次披露正值Fortinet FortiGuard Labs公布新型僵尸网络RustoBot之际。该恶意程序利用TOTOLINK（CVE-2022-26210与CVE-2022-26187）及DrayTek（CVE-2024-12987）设备漏洞传播，主要针对日本、台湾、越南及墨西哥的科技行业实施DDoS攻击。 安全研究员Vincent Li指出：“物联网与网络设备普遍存在防护薄弱问题，成为攻击者理想入侵目标。强化端点监控与认证机制可显著降低被利用风险，遏制此类恶意软件活动。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 扒窃技术正在升级。一种新型Android恶意软件利用NFC技术，在您与诈骗者通话时盗取您的银行卡。 试想您收到一条看似来自银行的短信，警告存在“可疑交易”并催促您联系客服。出于谨慎，您拨打电话，一个平静且令人安心的声音回应道：“别担心，我们会指导您处理。” 但几分钟后，您已经在不知情中安装了恶意软件、泄露了PIN码、解除了借记卡的消费限额，并应诈骗者要求完全授权其清空您的卡片。 这听起来像噩梦？欢迎了解新型恶意软件变种SuperCard X。正如安全公司Cleafy研究人员所描述的，它界面简洁、近乎隐形且破坏力极强。 这款源自Android的恶意程序通过恶意软件即服务（MaaS）分发，由中文语系攻击者开发，利用NFC中继攻击实时窃取、盗刷您的银行卡。 SuperCard X的精妙之处在于其多阶段欺诈： 首先是通过虚假短信或WhatsApp消息进行钓鱼（smishing），声称您的账户已被入侵。 接着是电话导向攻击传递（TOAD），诈骗者致电建立信任。一旦您上钩，他们会引导您泄露PIN码、关闭卡片限额，并以安全软件为幌子让您安装恶意应用。 然后是致命一击：说服您“轻触手机验证卡片”。但该应用会通过NFC静默窃取卡片信息并发送至攻击者控制的克隆设备，随后他们可通过ATM非接触取现套现资金。 该活动已追踪到意大利受害者。类似NFC中继欺诈已在美国出现。ESET研究人员此前曾发现针对三家捷克银行客户的Android NFC恶意软件。 没有任何合法企业会要求您移除安全设置。 SuperCard X的高效性不仅在于恶意软件，更在于人为因素。据网络安全公司Cequence首席信息安全官Randolph Barr称，此类攻击仍具有地域针对性，早期迹象显示其聚焦特定区域。 “如果威胁扩大，很可能是因为用户沦为社交工程学受害者并被说服关闭内置安全防护——这是明确危险信号。”他解释道。 Barr同时指出区域风险：“亚洲地区Android用户集中度极高，这可能提升该地区风险。”换言之，骗局扩散范围越广，Android主导地区（尤其是侧载应用普遍的地区）受冲击可能性越大。 尽管Android的灵活性是其魅力所在，却也成为SuperCard X等骗局的入口。正如Barr所述：“相较而言，iOS设备实施更严格限制（尤其是NFC访问）。尽管有人认为这是局限，但从安全角度看，这是有价值的管控。” 虽然恶意软件技术复杂，但危险信号仍属传统套路。Barr强调：“Android用户应更熟悉社交工程学危险信号——有时只需在操作前验证请求合法性。” 如果有陌生人让您“安装这款安全应用”并“关闭卡片限额”，请记住：真正的安全永远不会要求您先解除自身防护。 “任何合法企业都不应要求您降低或移除设备安全设置。”Barr总结道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 机场零售商Paradies Shops即将以690万美元达成和解协议，了结2020年勒索软件攻击导致员工个人信息泄露的集体诉讼。该和解方案本周已获佐治亚州联邦法官初步批准，并获公司及原告双方同意。 根据前员工提起的诉讼，网络犯罪分子窃取了涉及7.6万名现任及前任雇员的姓名与社会安全号码等敏感信息。总部位于亚特兰大的Paradies Shops截至2021年在美国与加拿大机场运营着逾1000家商店、酒吧及餐厅。 攻击者于2020年10月持续五天访问该公司行政系统。据称REvil勒索软件团伙宣称对此事件负责。Paradies Shops在八个月后向数据泄露受害者发出通知，并向州总检察长办公室提交报告。 诉讼指控该公司在保护员工信息方面存在疏忽与过失，且延迟通知受害者加剧了损害程度。公司还被指“刻意隐瞒具体漏洞与事件根本原因”。Paradies否认上述指控，同意和解因“认定诉讼持续将耗费高昂成本”。 此类集体诉讼现已成为数据泄露事件标准后续程序。本周早些时候，眼科医疗集团Retina Group of Washington就2023年数据泄露事件与受害者达成360万美元和解。去年秋季，Lehigh Valley Health Network在黑客窃取患者裸照等敏感信息后同意支付6500万美元赔偿。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一场持续进行的恶意广告活动，该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。 该活动最早于2024年10月被发现，通过伪装成币安（Binance）或TradingView等合法软件的欺诈网站，以加密货币交易为诱饵，诱骗用户安装恶意安装程序。 下载的安装程序内嵌动态链接库（“CustomActions.dll”），其功能包括通过Windows管理规范（WMI）收集基础系统信息，并通过计划任务在受感染主机上实现持久化驻留。 为维持伪装，该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口，显示合法的加密货币交易网站。值得注意的是，“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。 与此同时，计划任务被配置为运行PowerShell命令，从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外，以此规避检测。 设置排除项后，系统会执行一条经过混淆的PowerShell命令，从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。 所有窃取的数据均被转换为JSON格式，并通过HTTPS POST请求发送至命令与控制（C2）服务器。 攻击链随后进入下一阶段：另一条PowerShell脚本被启动，从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译（JSC）文件的压缩包。Node.js可执行文件触发JSC文件的运行，该文件会建立网络连接并可能窃取浏览器敏感信息。 微软观察到的另一感染链中，攻击者采用“ClickFix”策略实现内联JavaScript执行，即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码（而非从文件加载）。 内联JavaScript执行的操作包括：通过网络探测识别高价值资产，将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。 微软表示：“Node.js是一个开源、跨平台的JavaScript运行时环境，允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用，受到广泛信任。然而，攻击者正利用Node.js的特性，试图将恶意软件与合法应用混淆，绕过传统安全防护机制，并长期潜伏在目标环境中。” 此次披露之际，CloudSEK发现一个仿冒PDF Candy（域名为candyxpdf[.]com或candyconverterpdf[.]com）的虚假PDF转DOCX网站，利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令，最终部署SectopRAT（又名ArechClient2）木马。 安全研究员Varun Ajmera在本周发布的报告中指出：“攻击者精心复制了真实平台的用户界面，并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族，以从受感染系统窃取敏感数据著称。” 此外，钓鱼活动还被发现使用基于PHP的工具包，以人力资源（HR）主题骗局针对企业员工，未经授权访问薪资门户并修改受害者银行账户信息，将资金转移至攻击者控制的账户。 部分活动被归因于名为“薪资海盗”（Payroll Pirates）的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告，仿冒人力资源页面，诱骗受害者提交账户凭证及双因素认证（2FA）代码。     消息来源：thehackernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文