“只要在APP中输入手机号码，就能知道对方的定位，你还不赶紧下载？”家住南通市崇川区的王先生在某短视频平台刷到这样的广告不由心动，于是通过广告的链接下载了该款APP。当王先生想使用手机号码定位功能时，APP提示需要充值成为会员才能使用。于是他充值118元成为了会员，但是当他输入对方手机号码想使用定位功能时，APP却又弹出界面显示“双方均安装该APP并且添加好友对方同意后才能显示对方位置”。王先生才意识到自己被骗了，立刻报警。10月10日，南通崇川法院发布了这起案件。 2020年12月起官某、黄某等人利用公司员工、朋友身份等信息在深圳市注册多家公司，将公司营业执照用于上架多款定位类、数据恢复类APP。上述公司上架了“闪电定位”7款定位类APP，核心功能为用户下载后需付费使用，且对方也必须下载该APP，授权同意后，用户方可输入手机号定位对方，即使用该类定位APP的前置条件为“定位需要双方下载授权同意”。上述公司还在市场上架“数据恢复王”3款数据恢复APP，核心功能为用户下载后需付费使用，仅可恢复用户有备份或缓存的数据，即使用该数据恢复类APP的前置条件为“用户需对数据有备份或缓存才可进行恢复”。 “现在，大家不管是工作还是生活都离不开手机，手机里存储的电子数据信息、文件要是被删除，影响很大，都急于恢复；还有一部分人出于各种目的，想知道他人的具体位置，跟踪定位的市场需求也很突出。”案发后，官某供述开发定位类和数据恢复类APP的“灵感”。 官某等人明知APP并不具备无前置条件定位及数据恢复功能的情况下，依旧对上述APP进行开发、维护，在推广、宣传时使用的图片、视频中，将前置条件的提示语置于隐蔽地方，且使用的字体较小，引诱被害人下载并充值。他们将APP客服设置成自动回复等方式，拒不给发现被骗的被害人退款。 涉案APP因投诉被市场下架后，官某等人对涉案APP更换马甲重新上架，以此继续通过同样手段实施诈骗。他们分工合作，逐渐形成了包括APP源代码开发、封装上架、推广宣传、应对投诉在内的一条完整产业链，采取上述方式共计骗得人民币4795万余元。 官某供述：“我们的收费标准一般是几十块钱，最多一百块钱出头，不算多，大部分人发现被骗了也懒得追究。”还有一个重要原因是，很多被害人下载定位类APP的动机不纯，想用这种软件实施盯梢、窥探隐私等违背道德和法律的行为，所以即使发现被骗也只能“哑巴吃黄连”。 崇川法院经审理认为，官某等人利用虚假广告的方法行为实施诈骗，数额特别巨大，应当以诈骗罪定罪处罚，最终判处官某等人有期徒刑十二年到五年不等。  转自安全圈，原文链接：https://mp.weixin.qq.com/s/Dd0IwQfxQG4EIxRg6zJX-w 封面来源于网络，如有侵权请联系删除

26日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。国家计算机病毒应急处理中心和360公司组成的专家组发现，此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起，初步证据显示对武汉市地震监测中心实施网络攻击来自美国，本报将持续跟踪报道。 武汉市应急管理局在声明中称，其所属武汉市地震监测中心部分地震速报数据前端台站采集点网络设备遭受境外组织的网络攻击。 声明表示，为进一步查明事实，依法处理相关幕后黑客组织和不法分子的网络攻击行为，武汉市地震监测中心第一时间封存相关网络设备，并将遭受网络攻击的情况向辖区公安机关报案，我单位将保留进一步追诉的权利。 武汉市公安局江汉分局随即发布警情通报，证实在武汉市地震监测中心发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。该行为对国家安全构成严重威胁。江汉分局已对此案立案侦查，并对提取到的木马样本进一步开展技术分析。“初步判定，此事件为境外黑客组织和不法分子发起的网络攻击行为。” 有专业人士对《环球时报》记者表示，地震烈度数据指地震的烈度和震级，这是衡量地震破坏力的两个重要指标，尤其是地震烈度代表对地质的破坏程度，烈度越大、破坏性越大，“地震烈度数据与国家安全息息相关，比如一些军事防御设施就需要考虑到烈度等因素。” 武汉市地震监测中心是继去年6月份西北工业大学遭受境外黑客组织网络攻击之后的又一国家单位。西北工业大学受到攻击后，中国国家计算机病毒应急处理中心和360公司联合组成技术团队对此案进行全面技术分析工作，最终确定了此次案件的“真凶”是美国国家安全局（NSA）特定入侵行动办公室（TAO）。 《环球时报》记者获悉，当前中国国家计算机病毒应急处理中心和360公司组成的专家已赴武汉开展取证工作，初步证据显示对武汉市地震监测中心实施网络攻击来自美国。 众所周知，美国在世界范围展开网络攻击、实施窃密行为，最臭名昭著的两大机构分别是NSA和CIA（美国中央情报局）。 美国中央情报局总部大厅 资料图 根据360公司的监测结果，NSA对至少上百个中国国内的重要信息系统实施网络攻击，其中一款名为“验证器”的木马程序被发现在一些部门的信息系统中运行，向NSA总部传送情报。而且，结论显示，不仅在中国，其他国家的重要信息基础设施中，也正在运行大批的“验证器”木马程序，并且数量远超中国。 此外，据国家计算机病毒应急处理中心的研究发现，CIA针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征，其网络武器使用了极其严格的间谍技术规范，各种攻击手法前后呼应、环环相扣，现已覆盖全球几乎所有互联网和物联网资产，可以随时随地控制别国网络，盗取别国重要、敏感数据。 美国在变本加厉对全球目标实施攻击窃密的同时，还不遗余力地“贼喊捉贼”，纠集其所谓盟友国家，大肆宣扬“中国网络威胁论”，诋毁污蔑我国网络安全政策。中国外交部多次对此做出驳斥，最近一次在19日的例行记者会上，外交部发言人毛宁表示，中国是网络攻击的受害者，我们坚决反对任何形式的网络攻击，美国长期对世界各国进行无差别大规模的网络攻击，美国的网军司令部去年公然将他国的关键基础设施列为美国网络攻击的合法目标，这种做法令人担忧。     转自Freebuf，原文链接:https://www.freebuf.com/news/373093.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，自 2023 年 3 月以来，一个新手机恶意软件向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送 Android 银行木马 “Anatsa”。 ThreatFabric 安全研究人员一直在跟踪这项恶意软件活动，他们表示攻击者正在通过安卓官方应用商店Play Store 分发恶意软件，仅通过这种方法就已经安装了 30000 多个。 2021 年 11 月，ThreatFabric 在 Google Play 上发现了Anatsa 的“历史”活动记录，当时该木马通过模仿PDF 扫描仪、二维码扫描仪、Adobe Illustrator 应用程序和健身追踪器应用程序，成功分发安装了 30 多万次。 新的 Anatsa 银行木马运动 2023 年 3 月，在此前恶意软件传播中断六个月后，威胁攻击者发起一个新的恶意软件“营销”活动，试图引导潜在受害目标从 Google Play 下载 Anatsa 滴管应用程序。 Google Play 上的恶意应用程序（ThreatFabric） 这时候的恶意应用程序属于办公/生产力类型，通过冒充 PDF 查看器、编辑器应用程序以及办公套件。值得一提的是，每当 ThreatFabric 向谷歌报告恶意应用程序并将其从商店删除时，网络攻击者就会以一个新伪装上传新的滴管应用程序，迅速回归。 目前，所有已确认的五个恶意软件滴管案例中，这些应用都是以“干净安全”的形式提交到 Google Play，后续，攻击者再用恶意代码进行更新。之所以采用这种模式，很可能是攻击者为了逃避 Google 第一次提交时严格的代码审查程序。 恶意应用程序提交时间表（ThreatFabric） 一旦有受害者目标下载恶意程序，滴管应用程序就会请求托管在 GitHub 上的外部资源，从那里下载伪装成 Adobe Illustrator 文本识别器插件的 Anatsa 有效载荷。 从 GitHub 检索到的有效载荷（ThreatFabric） 当受害者试图启动“合法”的银行应用程序时，Anatsa 则趁机通过在前台覆盖钓鱼页面以及通过键盘记录来收集银行账户凭据、信用卡详细信息、支付信息等财务信息。目前版本中，Anatsa 特洛伊木马支持针对世界各地近 600 个银行机构的金融应用程序。 Anatsa 攻击的一些美国银行（ThreatFabric） Anatsa 通过启动银行应用程序并冒充受害者进行交易，利用窃取的信息进行欺诈，为其运营商自动化洗钱过程。ThreatFabric 进一步指出由于交易是从目标银行客户经常使用的同一设备发起，银行反欺诈系统很难检测到。 此后，被盗金额会被转换为加密货币，并通过受害者所在国的洗钱网络转出（洗钱网络将保留被盗资金一部分作为费用，其余部分将发送给攻击者）。 到保护 Android 系统的时刻了 随着 Anatsa 等恶意软件将目标逐渐扩展到许多国家，用户必须对其安卓设备上安装的应用程序格外警惕，应该避免安装来自可疑发行商的应用程序，即使这些应用程序在谷歌 Play 等经过严格审查的商店中。 此外，还要检查应用程序的评论，判断其是否存在恶意行为，尽量安装网站上知名且经常引用的应用程序，避免安装评论很少的应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370411.html 封面来源于网络，如有侵权请联系删除

一项新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。 GitHub上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。 Aqua Security的研究人员在本周的一份报告中说，这个问题与GitHub如何处理依赖关系有关，当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时，容易受到重新劫持。 改名的风险 为了避免破坏代码的依赖性，GitHub在原 repo 名称和新名称之间建立了一个链接，因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而，如果一个组织未能充分保护旧的用户名，攻击者可以简单地重新使用它来创建一个原始仓库的木马版本，这样任何依赖该存储库的项目将重新开始从该存储库下载。 Aqua公司的研究人员在本周的博客中说：当版本库所有者改变他们的用户名时，对于任何从旧版本库下载依赖项的人来说，在旧名称和新名称之间会产生一个链接。然而，任何人都有可能创建旧的用户名并破坏这个链接。 普遍性问题 Aqua发现了两个问题：一是，GitHub上有数百万个这样的软件库，包括属于谷歌和Lyft等公司的软件库；二是，攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent，这个工具对GitHub上的所有公共事件（如提交和请求）进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库，并向任何使用该存储库的项目传输恶意软件。 任何直接引用GitHub存储库的项目，如果存储库的所有者改变或删除了他们存储库的用户名，就会受到攻击。 因此，组织不应假定他们的旧名称不会被披露，而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370289.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月25日消息，堪称经典的《超级马里奥 3：永远的马里奥》游戏正被网络攻击者植入恶意软件，导致众多玩家设备受到感染。 《超级马里奥 3：永远的马里奥》是由 Buziol Games 开发并于 2003 年在 Windows 平台上发布的免费重制版。该游戏一经推出便颇受欢迎，被认为是既保留了马里奥系列的经典机制，又具有更现代化的图形、造型和声音，目前已经发布多个后续版本，修复了错误并进行了改进。 但Cyble的研究人员发现，攻击者正在分发《超级马里奥 3：永远的马里奥》安装程序的修改样本，并通过游戏论坛、社交媒体群组、恶意广告等渠道进行分发。 研究人员观察到这些恶意游戏文件包含3个可执行文件，其中1个用于安装正常的游戏（“super-mario-forever-v702e.exe”），另外两个“java.exe”和“atom.exe”则会被安装到受害者的 AppData中的游戏安装目录，用来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端 除了上述文件外，另一个名为“Umbral Stealer”的文件则会从受害者的Windows 设备中窃取数据，包括存储在网络浏览器中的信息，例如存储的密码和包含会话令牌的 cookie、加密货币钱包以及 Discord、Minecraft、Roblox 和 Telegram 的凭证和身份验证令牌。 Umbral Stealer 还能创建受害者 Windows 桌面的屏幕截图或操纵网络摄像头，所有被盗数据在传输到 对方的C2服务器之前都将存储在本地。对于未开启篡改保护的设备，Umbral Stealer 能够通过禁用该程序来逃避Windows Defender的检测，但即便开启了防篡改，也能将进程排除在威胁列表之外。 此外，Umbral Stealer 还会修改 Windows 主机文件，以损害防病毒程序与其公司服务器的通信，从而破坏防病毒程序的有效性。 完整的感染链 安全专家建议，如果用户最近下载了这款游戏，应尽快对设备进行恶意软件扫描，删除检测到的任何恶意软件，并在检测到恶意软件后，将存储的任何敏感密码信息重置，并使用密码管理器进行存储。 同样，下载游戏或任何软件时，要确保从经认证的发行方网站或权威数字内容分发平台等官方来源进行下载。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370266.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的最新发现显示，一个新的QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件。 最开始发现该恶意活动是在2023年4月4日，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。 QBot（又名Qakbot或Pinkslipbot）是一个银行木马，从2007年开始活跃。除了从网络浏览器中窃取密码和cookies，它还作为后门注入有效载荷，如Cobalt Strike或勒索软件。 该恶意软件通过网络钓鱼活动传播，并不断更新，通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样，它也成为2023年3月最流行的恶意软件。 卡巴斯基研究人员解释，早期，QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件，社交工程和垃圾邮件传递给潜在的受害者。 电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件，一般情况下，这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。 打开该文件后，就会从一个受感染的网站上检索到一个存档文件，该文件又包含了一个混淆的Windows脚本文件（.WSF）。该脚本包含一个PowerShell脚本，从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。 调查结果发布之际，Elastic Security Labs还发现了一个多阶段的社会工程活动，该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm。基于 NET 的加载程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363877.html 封面来源于网络，如有侵权请联系删除

一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关，其目的是窃取凭证并提供其他有效载荷。 拉丁美洲网络安全公司 Metabase Q 的 Ocelot 团队在与黑客新闻分享的一份报告中表示，这项活动于 2022 年 8 月开始，目前正在进行中。 certutil 方法使 Mispadu 能够绕过各种安全软件的检测，并从超过 17,500 个独特的网站获取超过 90,000 个银行账户凭证，其中包括许多政府网站：智利 105 个，墨西哥 431 个，秘鲁 265 个。 Mispadu（又名 URSA）于 2019 年 11 月首次被 ESET记录，描述了其进行货币和凭据盗窃以及通过截屏和捕获击键充当后门的能力。 “他们的主要策略之一是破坏合法网站，搜索易受攻击的 WordPress 版本，将它们变成他们的命令和控制服务器，从那里传播恶意软件，过滤掉他们不想感染的国家，丢弃不同类型的基于被感染国家的恶意软件。”研究人员 Fernando García 和 Dan Regalado 说。 据说它还与其他针对该地区的银行木马有相似之处，例如Grandoreiro、Javali和Lampion。涉及Delphi 恶意软件的攻击链利用电子邮件消息敦促收件人打开虚假的逾期发票，从而触发多阶段感染过程。 如果受害者打开通过垃圾邮件发送的 HTML 附件，它会验证该文件是从桌面设备打开的，然后重定向到远程服务器以获取第一阶段的恶意软件。 RAR 或 ZIP 存档在启动时旨在利用流氓数字证书（一个是 Mispadu 恶意软件，另一个是 AutoIT 安装程序）通过滥用合法的 certutil 命令行实用程序来解码和执行木马。 Mispadu 能够收集受感染主机上安装的防病毒解决方案列表，从 Google Chrome 和 Microsoft Outlook 窃取凭据，并促进检索其他恶意软件。 这包括一个混淆的 Visual Basic Script dropper，用于从硬编码域下载另一个有效载荷，一个基于.NET 的远程访问工具，可以运行由参与者控制的服务器发出的命令，以及一个用 Rust 编写的加载器，再反过来，执行 PowerShell 加载程序以直接从内存运行文件。 更重要的是，该恶意软件利用恶意覆盖屏幕来获取与在线银行门户和其他敏感信息相关的凭据。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/XWi07oilpA2ind0tlS8J_w 封面来源于网络，如有侵权请联系删除