卡巴斯基实验室发现，新出现的恶意软件通过盗版应用程序进入macOS用户的计算机，并用受感染的版本替换他们的比特币钱包和Exodus钱包。该恶意软件的攻击对象为MacOS 13.6及以上版本，其利用用户输入计算机安全密码的时机获得用户密码，而当用户尝试打开已被恶意软件入侵的加密钱包时，则能够获取其私钥。 卡巴斯基的研究人员发现并分析了此感染链的各个阶段。受害者在按照安装说明将其放置在 /Applications/ 文件夹中后下载并执行恶意软件，假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口，要求输入管理员密码。 激活器窗口和密码提示 （Kaspersky） 获得许可后，恶意软件通过“AuthorizationExecuteWithPrivileges”函数运行工具可执行文件 （Mach-O），然后检查系统上的 Python 3，如果不存在，则安装它，使该过程看起来像“应用程序修补”。 接下来，恶意软件联系其命令和控制 （C2） 服务器，该服务器位于一个命名为“apple-health[.] ”的站点上来获取一个 base64 编码的 Python 脚本，该脚本可以在被破坏的设备上运行任意命令。 研究人员发现，攻击者使用一种有趣的方法以正确的URL联系C2服务器：来自两个硬编码列表的单词和五个字母的随机序列作为三级域名。 通过使用这种方法，威胁参与者能够将其活动隐藏在流量中，并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载，这些负载将显示为正常请求。 来自 DNS 服务器的回复包含三条 TXT 记录，每条记录都是包含 Python 脚本的 AES 加密消息的 base64 编码片段。 隐藏在加密消息中的 Python 脚本负载 （Kaspersky） 这个初始 Python 脚本充当另一个 Python 脚本的下载器，该脚本提供后门访问、收集和传输有关受感染系统的信息，例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。 “tool”可执行文件还会修改“/Library/LaunchAgents/launched..plist”，以在系统重新启动之间为脚本建立持久性。 卡巴斯基指出，在他们的检查过程中，C2返回了后门脚本的升级版本，表明了持续的开发，但没有观察到命令执行，所以这可能还没有实现。 下载的脚本还包含两个函数，用于检查受感染的系统是否存在比特币钱包和 Exodus 钱包。如果找到，它会将它们替换为从“apple-analyzer[.]com.”下载的后门副本。 从受害者那里窃取的数据（卡巴斯基） 当他们的钱包应用程序意外提示重新输入他们的钱包详细信息并提供此信息时，用户不会产生怀疑，他们的钱包就会被清空。 卡巴斯基研究人员表示，尽管用盗版应用程序欺骗用户以传递恶意软件是一种常见的攻击途径，但最新的攻击活动表明，威胁行为者还可以想出新的方法（如将其隐藏在DNS服务器上的域TXT记录中）来传递有效载荷。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UQRlYMOE2kNhrU7F-6j56g 封面来源于网络，如有侵权请联系删除

1月上旬泄露的泰国公民信息数量几乎超过了去年全年的总和。 近日，泰国网站9near.org扬言泄漏从疫苗登记记录中获得的5500万泰国公民个人信息。泰国刑事法院紧急发布命令封锁了该网站，并警告任何其他被发现散布“9near.org”泄露的泰国公民数据的网站也将面临封锁。 5500万公民疫苗信息泄露 根据Resecurity的报告，9near.org网站的运营者名为“9Near–Hacktivist”，他在Breach Forum数据泄露网站上发布公告，声称已经获取了5500万泰国公民详细个人信息（PII），包括全名、出生日期、身份证号码和电话号码。泰国乡村医生协会表示，这些信息可能源自卫生部免疫中心的数据泄露。 泰国是网络犯罪风险最高的国家之一，根据《2023年全球网络犯罪报告》，泰国在“十大网络犯罪风险最高国家”中排名高居第二： 近年来泰国积极发展信息和通信技术，正迅速成为亚太地区数字化领域的重要参与者，其网络安全态势正配合数字经济发展快速改善。 报告显示，从2022年下半年到2023年初，泰国数据泄露事件大幅下降。2022年第三季度，泰国每千人中约有6.8起数据泄露事件。令人印象深刻的是，到2023年第一季度，这一数字骤降至仅千分之一。 泰国两周数据泄露超去年全年 但随着2024年的到来，泰国的数字安全态势急剧恶化。仅在2024年1月上旬，网络犯罪论坛上就至少发布了14起泄露泰国公民信息的重大数据泄露事件，几乎超过了去年的泄露记录的年度总量。 除9near.org窃取的5500万泰国公民数据外，一个名为Naraka的网络犯罪分子正在暗网传播大量被盗泰国公民个人身份信息和KYC用户信息。据信这些敏感细节来自各种被入侵的（泰国）数字平台。 就在元旦庆祝活动前夕，人们发现黑客在Telegram上积极出售被盗泰国公民数据。这些泄露数据包括数量惊人的53.8万条记录，其中包含包括公民身份证号码等详细信息。 安全专家指出，由于暗网中存在大量用于KYC用户认证的敏感个人信息，泰国的电子商务、金融科技和政府资源正在成为黑客的重点攻击目标。与2023年相比，1月份泰国发生的网络攻击频率有显著增加，暗网上涉及泰国消费者和企业的数据泄露事件数量不断增加。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/1Dz3c6pBhIkLbGi7b1JkTw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Atlassian 旗下的在线项目管理工具 Trello 遭到黑客攻击，超1500 万数据被泄露。 1 月 22 日，Hack Manac在 X（ Twitter）上分享了这一信息。Trello 目前尚未发表评论，但其母公司 Atlassian 称：网络攻击者可能已经处理了单独的电子邮件地址列表，这意味着已使用其他来源的数据进行某种暴力攻击。 “上周，Trello窃取了超1500万条数据并在黑客论坛上发布出售，这些数据包括先前泄露的姓名、用户名、电子邮件地址以及Trello的相关资料。”Have I Been Pwned 说道。 Hack Manac证实这名网络犯罪分子的名字为 Emo，并声称该数据库包含电子邮件、用户名、全名和其他帐户信息。 黑客论坛上的帖子信息 Emo在X上分享的暗网帖子声称拥有超1500万条记录，并提出出售一份数据副本并发布了样本。该黑客自去年6月起开始活跃，其已在按网上发帖找过 200次。 Trello 于 2017 年被 Atlassian 收购，十年前声称已拥有475 万用户，目前用户数量应有所增长。若Emo黑客攻击事件真实，这可能会导致大量用户面临数字犯罪和欺诈等后续犯罪风险。 Atlassian的发言人称：“我们注意到黑客对Trello用户个人资料数据窃取的信息，目前已进行详尽调查，但尚未找到证据证明这些数据是通过未经授权的访问收集的。所有证据表明，黑客正在利用公开的Trello用户配置文件测试预先存在的电子邮件地址列表。用户数据的安全和隐私是我们的首要任务，我们将持续密切监控Trello是否有任何异常活动。”   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

LoanDepot 是美国最大的零售抵押贷款机构之一，已确认其约 1660 万客户的个人信息被盗。 在 1 月 22 日向美国证券交易委员会 (SEC) 提交的一份新文件中，LoanDepot 提供了有关 1 月 8 日影响该公司计算机系统的网络事件的更多细节。 抵押贷款提供商此前将该事件描述为勒索软件攻击。 虽然该公司仍在“外部取证和安全专家”的帮助下调查此次泄露事件，但初步结果显示，“未经授权的第三方获取了其系统中约 1660 万人的个人敏感信息。” LoanDepot 承诺通知受影响的客户，并提供免费的信用监控和身份保护服务。 该公司还表示，“在恢复我们的贷款发放和贷款服务系统方面取得了重大进展，包括我们的 MyloanDepot 和 Servicing 客户门户。” 该公司设立了一个新的微型网站，以提供额外的运营更新。 LoanDepot 在 1 月 8 日发送的初始文件中告知 SEC，它正在经历一次网络安全事件。 最初的文件中写道：“尽管我们的调查仍在进行中，但公司目前已确定未经授权的第三方活动包括访问某些公司系统和数据加密。” “在检测到未经授权的活动后，该公司立即采取措施遏制和应对这一事件，包括在领先的网络安全专家的协助下开展调查，并开始通知相关的监管机构和执法部门。” 专家在社交媒体上显示，LoanDepot 的网站曾短暂离线，然后在几个小时内重新出现。 然而，客户很快在社交媒体上表达了他们对无法访问 LoanDepot 某些服务的不满。   转自安全客，原文链接：https://www.anquanke.com/post/id/292836 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 超大规模的泄露之母（简称 MOAB）中存储了超260亿条个人信息记录。 发现该事件的研究人员认为：其可能是黑客或某些处理数据服务的工作人员进行的泄露，这种行为非常危险，黑客可以利用聚合数据进行广泛的攻击，包括身份盗窃、网络钓鱼、有针对性的网络攻击以及未经授权访问个人和敏感帐户。 MOAB不仅包括新窃取的数据，而且很可能是多次泄露（COMB）集合。泄露的数据信息不仅仅是凭证，大多数都是敏感信息，这对恶意行为者来说具有极大的价值。   据称，此次数据泄露事件包括来自微博（504M）、MySpace（360M）、Twitter（281M）、Deezer（258M）、LinkedIn（251M）、AdultFriendFinder（220M）、Adobe（153M）、Canva（143M）、VK（101M）、Daily Motion（86M）、Dropbox（69M）、Telegram（41M）以及其他公司和组织的数亿条记录。 泄露内容还涵盖了美国、巴西、德国、菲律宾、土耳其和其他国家政府组织的记录。 该团队表示，MOAB对用户的影响可能是前所未有的，因为许多人重复使用用户名和密码，恶意行为者可能会发起大量凭证填充攻击。 “如果用户在Netflix账户上使用与Gmail账户相同的密码，攻击者可以利用这一点转向其他更敏感的账户。此外，被纳入MOAB的用户可能成为鱼叉式网络钓鱼攻击的受害者，其将收到大量垃圾邮件。”研究人员表示。 目前尚不确定此次泄露的规模。2021年，Cybernews报告了一个包32 亿条记录的 COMB ，仅仅是2024年MOAB的12%。 此次泄露事件完整列表可点击下方消息来源进行搜索。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具，该工具使用 Discord 机器人从受感染的主机窃取敏感数据。 该恶意软件名为 NS-STEALER，通过 ZIP 存档分发，伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。 存档内容 在创建的文件夹中，恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后，收集到的信息会传输到机器人的 Discord 频道。 感染链 研究人员指出，恶意软件利用复杂的功能来收集敏感信息，并且通过使用支持身份验证的 X509Certificate 功能，在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。   转自安全客，原文链接：https://www.anquanke.com/post/id/292819 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国连锁快餐店Subway已经成为LockBit勒索软件的攻击目标。LockBit 称他们已经成功窃取了数百GB的数据，并要求该公司在接下来的两周内支付赎金。 1 月 21 日，LockBit 在其数据泄露网站上将Subway列为受害者。黑客称如果在 2 月 2 日之前要求没有得到满足，他们将公开窃取的数据。 “我们窃取了他们的 SUBS 内部系统，其中包括数百GB的数据和特许经营权的所有财务预期，包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。我们给他们一些时间来保护这一点数据，否则我们愿意将其出售给竞争对手。” LockBit 表示。 LockBit 目前暂时没有提供任何数据样本作为证据，Subway 表示目前正在核实相关信息的真实性。 据有关数据显示，截止 2023 年，共识别出在数字环境中运行的 66 个活跃勒索软件组织，LockBit 连续两年保持榜首。 该组织声称对数量最多的受害者负有责任，截至2023年发生了1009起事件，约占所有勒索软件受害者的四分之一。该组织主要以建筑、制造/工业和零售行业为目标进行攻击。 该组织声称对受害者数量最多负责，2023 年发生了 1009 起事件，占所有勒索软件受害者的近四分之一。该组织主要针对建筑、制造/工业和零售等行业进行攻击，近期还曾对台湾最大导体厂发起了勒索攻击。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测，萨博 SAAB 公司内部数据在黑市泄露，初步判定数据为 2022-2023 时间段，数据大小 2.83 GB，售价 1500$。 萨博公司（SAAB AB）是一家总部位于瑞典斯德哥尔摩的国际性高科技集团，成立于 1937 年。公司主要业务包括防务、航空航天、海上安全和城市交通等领域。 在防卫方面，萨博公司为多个国家提供了各种军事装备及解决方案。其中最著名的产品之一就是“维斯比级”级护卫舰（Visby-class corvette），它具有隐身行战能力，并且配备了多种武器系统和设备。 同时，在民用领域中，萨博还生产商业飞机、控制飞机引擎和其他空中交通相关产品，并且他们积极地践行可持续发展承诺, 在气候变化问题上得到社会广泛认可。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据知道创宇暗网雷达监测，Sems and Specials Incorporated 遭 8Base 组织勒索，称将于 2024年1月19日公开数据。 据了解，此次泄露的数据包含发票、收据、会计凭证、个人资料、证书、雇佣合同、大量机密信息、保密协议、个人档案等。 勒索组织声称将于 2024年1月19日公开数据。 Sems and Specials Incorporated（简称SSI）是一家总部位于美国纽约州纽约市的公司，成立于1990年。该公司主要从事特殊螺钉、垫圈和金属制品等高精度零件的生产和销售，服务的行业包含海军陆战队和军队。 8Base 勒索软件组织自 2022 年 3 月以来一直表现活跃，在 2023 年 6 月的攻击活动显著增加。该组织还采用了双重勒索策略，通过多种手段迫使受害者支付赎金。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达