ReliaQuest 发布了一份新报告，详细介绍了网络犯罪分子如何利用 ChatGPT 等合法服务和恶意 AI 工具来支持其行动。 该公司发现，这些工具有助于创建近乎完美的网络钓鱼电子邮件，经 ReliaQuest 分析师测试，成功率为 2.8%。 报告强调，攻击者正在使用诸如提示注入之类的技术绕过 AI 模型的安全过滤器。这些技术利用了 AI 模型过滤系统中的弱点，使攻击者能够生成有害内容，尽管存在内置限制。 最常见的提示注入类型之一称为“立即执行任何操作”(DAN) 提示，它使用复杂的语言、上下文漏洞和渐进式升级来操纵 AI 模型。 ReliaQuest 使用 ChatGPT 进行了实验，其中关于启动网络钓鱼活动的初始查询由于道德约束而被拒绝。但是，当使用 Nexus 提示提交相同的请求时，语言模型返回了一个基本的八步计划。该计划包括对目标公司的研究、域名注册和电子邮件创建。 使用其他语言模型（如 Mixtral-8x7B-T）的进一步实验生成了功能性 PowerShell 脚本，用于识别用户登录事件并跨端点部署文件。 报告还指出，网络犯罪分子经常在论坛上讨论 DAN 提示，他们在论坛上分享和测试操纵性语言条目。这些提示通常分发在 GitHub 和 Reddit 等开源平台上。论坛成员就各种提示的有效性交换反馈，并呼吁根据需要更换或改进它们。 ReliaQuest 在流行的英语网络犯罪平台 BreachForums 上观察到一名用户以 1,000 美元的价格出售 ChatGPT 过滤器绕过方法的概念验证代码（POC），声称已经可以绕过安全限制使用人工智能编写勒索软件。 WormGPT 和 FraudGPT 最初引起了人们的关注，但现在已经不复存在。取而代之的是，FlowGPT 已成为一项社区驱动的服务。ReliaQuest 使用 FlowGPT 选择 ChaosGPT 模型进行网络钓鱼实验。 ChaosGPT 模型的评分为 4.9 分（满分 5 分），受欢迎程度高达 340 万，当被问及俄语时，该模型用英语制作了一封引人注目的网络钓鱼电子邮件。输出结果语法正确，听起来就像是母语人士写的。在一项涉及 1,000 名未公开个人的测试中，2.8% 的人点击了邮件中包含的恶意链接。 深度伪造（人工制作或增强的音频或视频）的威胁也在增加。深度伪造很容易通过网络犯罪论坛上讨论的人工智能工具制作，即使是新手也能制作出逼真的语音和视频模仿。这类工具越来越多地被讨论为规避“了解你的客户”（KYC）流程的一种方法。网络犯罪分子分享教程并寻求熟练创作者的服务来促进这些欺诈活动。 ReliaQuest 的报告强调了网络犯罪手段日益复杂化，利用先进的人工智能工具和社区共享知识来升级其恶意活动。调查结果强调了这些发展对网络安全构成的持续威胁，需要持续警惕并采取先进的对策。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/35tkpiPecOvYaZZkty1MJA 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名澳大利亚男子被澳大利亚联邦警察（AFP）指控涉嫌在珀斯、墨尔本和阿德莱德的各种国内航班和机场，以伪造虚假WIFI的形式窃取他人的电子邮件或社交媒体凭证。 该男子42岁，通过便携式设备模仿航空公司及飞机上提供的官方WIFI名称建立虚假网络，当用户尝试连接时会被定向到虚假登录页面或强制门户网页，要求他们使用电子邮件地址、密码或其他凭证登录。 据法新社报道，警方在接到一家航空公司航班上出现可疑WIFI网络的报告后，于2024年4月展开调查，并于当月19日他准备乘飞机返回珀斯机场时将其逮捕，并现场从手提行李中查获了一个便携式无线接入设备、一台笔记本电脑和一部手机。 警方对查获的设备进行了分析，发现了数十个属于其他人的个人凭证以及欺诈性WiFi页面。这些凭证可用于访问更多个人信息，包括受害者的在线通信、存储的图像和视频以及银行账户信息。 2024年5月，警方正式对这名男子提出了指控，目前对该男子的的违法犯罪活动还在进一步调查中，该男子已于2024年6月28日在珀斯地方法院出庭，并面临多项指控： 未经授权破坏电子通信，最高可判处 10 年监禁； 拥有数据控制权，意图实施严重犯罪，最高可判处 3 年监禁； 未经授权访问或修改受限数据，最高可判处 2 年监禁； 以不正当手段获取或处理个人财务信息，最高可判处 5 年监禁； 持有身份信息意图犯罪，最高可判处 3 年监禁。 法新社西部司令部网络犯罪侦探督察安德里亚·科尔曼（Andrea Coleman）表示，此案是一个及时的警告，要谨慎登录任何公共WIFI网络，避免输入个人敏感信息。 他还建议在公共场合外出时关闭手机或其他电子设备上的WiFi，以防止设备自动连接到不安全的热点。   转自Freebuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

Resecurity 研究人员警告道，Smishing Triad 正在开展新活动，该组织已将其行动范围扩展到巴基斯坦。 Smishing Triad 最新的手段是以巴基斯坦邮政的名义通过 iMessage 或 SMS 向移动运营商的客户发送恶意信息，从而窃取客户的个人信息和财务信息。 攻击者在该网络钓鱼工具包中使用的代码和模板与此前 Smishing Triad 攻击事件中的代码和模板一致。Smishing Triad 曾对其他地区（包括美国、欧盟、阿联酋和沙特阿拉伯）网上银行、电子商务和支付系统客户发起多次攻击活动。 分析师估算，黑客的活动规模非常庞大，每天发送的信息量在5万至10万条之间。黑客通过利用从暗网窃取的数据库实现这一目标，这些数据库包括含电话号码在内的敏感个人数据。2024年上半年，巴基斯坦发生了多起数据泄露事件，导致公民的个人身份信息（PII）被泄露。这些泄露的信息随后被自动化工具大规模处理，用于包括发送垃圾短信在内的各种恶意欺诈目的。 Resecurity 观察到，多个主机被攻击者用于操作针对巴基斯坦邮政服务提供商的钓鱼工具包。这些攻击与2023年7月之前观察到的针对西班牙国有邮政服务提供商 Correos 的钓鱼活动有关。分析发现，多个域名映射到同一个IP地址23[.]231[.]48[.]129： ep-gov-pkw[.]cfd ep-gov-ppk[.]cyou ep-gov-ppk[.]icu correosytelegrafos-civ[.]icu correos-es[.]cn Smishing（短信网络钓鱼）攻击可能具有高度欺骗性，其目的是通过短信诱骗个人点击恶意链接泄露个人信息，从而破坏数字身份并窃取支付数据。   消息来源：securityaffairs，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

黑客经常滥用武器化的 Word 文档，因为它们可能包含宏，这些宏包含或利用 Word 文件内部的缺陷，在目标受害者打开时运行破坏性代码。 攻击者可以利用此工具向目标系统传递有效负载或通过简单地向目标发送带有 Word 文件来对目标系统进行未经授权的访问，大多数情况下可以逃避安全系统。 Cyble 的网络安全研究人员发现，黑客一直在积极使用武器化的 Word 文档进行二维码网络钓鱼攻击。 二维码钓鱼攻击 QR 码网络钓鱼攻击最近激增，利用该技术的普遍性和用户的熟悉度将用户重定向到窃取凭证的网站。 2024 年，此类攻击与 2023 年底相比增加了 22%，其中 89.3% 旨在窃取凭证。 攻击者在电子邮件、文档和公共场所嵌入恶意二维码，利用它们来掩盖攻击目的。 最近的一次活动使用 Microsoft Word 文档冒充中国政府机构，其中包含未被发现的二维码，提示用户进行身份验证以获取虚假补贴，目的是收集财务数据，就像 Fortinet 记录的 2023 年 1 月事件一样。 恶意二维码会将受害者重定向到由 DGA 生成的域，该域中托管着一个冒充中国人力资源部的钓鱼网站。 Cyble报告称，该域名解析为 IP 20.2.161.134，其托管与大规模网络钓鱼活动相关的其他几个子域名（.tiozl.cn 和 .zcyyl.com）。 SSH 主机密钥指纹将此 IP 与香港 AS8075 中的其他 17 个 IP 联系起来，这些 IP 带有类似的钓鱼 URL。登录页面显示虚假的劳动力补贴诱饵，然后从受害者那里获取输入的个人信息，例如姓名和国民身份证。 最后，钓鱼网站会提示受害者输入银行卡号、电话号码和余额进行虚假验证，从而获取受害者的姓名和身份证件，进行未经授权的交易。 该加载屏幕之后会提示输入用于进行国内信用卡支付的提款密码。 攻击者利用卡的完整详细信息进行未经授权的交易，这些密码可能会导致财务损失。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k4dn1rZaUfeq6hdSAosINQ 封面来源于网络，如有侵权请联系删除

据Barracuda公司的最新报告显示， 2023 年，有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 在去年的社交工程攻击中，诈骗和网络钓鱼占了86%。 报告中提到了几种社工攻击的趋势，包括： 对话劫持： 这是指攻击者通过网络钓鱼攻击入侵企业账户，然后监控被入侵的账户，以了解企业运营情况，了解正在进行的交易、付款程序和其他细节。攻击者利用这些信息，从冒充的域名中编造看似真实、令人信服的信息，诱骗受害者汇款或更新付款信息。2023 年，对话劫持仅占社交工程攻击的 0.5%，但与 2022 年相比，却上升了近 70%。 勒索：这类攻击涉及黑客威胁向受害者的联系人暴露敏感或令人尴尬的内容，除非支付赎金。勒索攻击占 2023 年社会工程学攻击总数的 2.7%。 攻击者不断利用合法服务 梭子鱼报告强调，通过利用上述的社交工程技术，越来越多攻击者开始使用合法服务来攻击员工。 Gmail 是迄今为止社交工程攻击中使用最多的电子邮件域，占去年攻击的 22%。 黑客最常用的免费网络邮件服务依次是 Outlook（2%）、Hotmail（1%）、iCloud（1%）和 Mail.com（1%）。所有其他域名占攻击总数的 73%。使用 Gmail 的攻击尤其偏向于 BEC，50% 以上的 Gmail 攻击用于此目的。在 2023 年使用 Gmail 的攻击中，诈骗占 43%。 研究人员还发现，越来越多网络犯罪分子开始利用流行的商业 URL 缩短服务在钓鱼电子邮件中嵌入恶意链接。这种策略有助于掩盖链接的真实性质和目的地，因为它们通常看起来像是来自合法网站。 去年使用最广泛的 URL 缩短服务是 bit.ly，近 40% 的包含缩短 URL 的攻击都利用了它。 其次最常用的服务是 X（前 Twitter），在 16% 的包含缩短 URL 的攻击中使用。 与 2020 年的研究相比发生了重大变化，当时约有三分之二的攻击（64%）使用了 X 的缩短服务，而 bit.ly 仅占 3%。 报告中强调的另一个显著趋势是 2023 年末 QR 码网络钓鱼攻击的显著增加，约有 5% 的邮箱成为二维码攻击的目标。 网络犯罪分子会在钓鱼邮件中嵌入二维码，提示用户扫描二维码并访问一个看似可信服务或应用程序的虚假页面。这些页面通常是为了诱骗用户下载恶意软件或输入登录凭证。 研究人员指出，由于没有嵌入链接或恶意附件可供扫描，因此使用传统的电子邮件过滤方法很难检测到 QR 代码攻击。 通过电子邮件发送的 QR 码还能诱导受害者转而到不受公司安全软件保护的个人设备，如手机或 iPad上进行操作。   转自Freebuf，原文链接：https://www.freebuf.com/news/403895.html 封面来源于网络，如有侵权请联系删除

近日，有网络犯罪分子开始在 Telegram 上推广一种名为 “V3B ”的新型网络钓鱼工具包，该工具包针对爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利 54 家主要金融机构的客户。 该网络钓鱼工具包的价格在每月 130 美元至 450 美元之间，具体价格取决于购买的内容。该钓鱼包具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者实时聊天以及各种规避机制等功能。 据 Resecurity 研究人员称，其 Telegram 频道已经拥有超过 1250 名成员，这表明新的网络钓鱼即服务（PhaaS）平台正在网络犯罪领域迅速崛起。 在 Telegram 上推广钓鱼工具包 V3B 的特点 V3B 在自定义内容管理系统之上使用了大量混淆的 JavaScript 代码，以躲避反钓鱼网站和搜索引擎机器人的检测，并保护自己不受研究人员的攻击。 它包括芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面，以提高网络钓鱼攻击的有效性，使黑客能够开展多国活动。 该工具包可在移动和桌面平台上使用，可拦截银行账户凭证和信息以及信用卡详细信息。 此外，管理面板（uPanel）允许欺诈者通过聊天系统与受害者实时互动，通过发送自定义通知获取一次性密码（OTP）。 实现实时互动的即时聊天功能 此外，窃取的信息会通过 Telegram API 传回给网络犯罪分子。 在实时交互触发选项中，有一个 QR 码登录劫持功能，网络犯罪分子利用该功能可以为钓鱼页面生成一个 QR 码，让受害者误以为这是一个合法的可信服务。 V3B 工具包的另一个显著特点是支持 PhotoTAN 和 Smart ID，可绕过德国和瑞士银行广泛使用的高级身份验证技术。 Resecurity 解释说：银行用于客户身份验证的技术可能各不相同。但欺诈者已经开始实施对替代性 OTP/TAN 验证机制的支持，而不是仅仅依赖传统的基于短信的方法，这证明欺诈防范团队在打击私人和企业客户账户接管方面将面临严峻的挑战。 网络钓鱼工具包是网络犯罪的关键助推器，它能够辅助入门级黑客对银行客户发起破坏性极大的攻击。 根据最新消息，针对美国和加拿大银行的 LabHost 的原始开发者以及其他相关的 37 人均在执法行动中被捕。截止被抓捕前，LabHost 在全球共拥有 10000 名用户，并曾通过 40000 个域名发起网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402697.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起，目的是将用户重定向到恶意网站，利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章，攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站，使其信息看起来合法，并避开常见的安全措施。 云存储服务允许企业存储和管理文件，并通过在存储桶中存储网站资产来托管静态网站，威胁行为者利用这一功能，将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL，由于知名云域被认为是合法的，这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接，就会在不知情的情况下被重定向到恶意网站。 例如，谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术，可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站，这些网站通常会模仿礼品卡促销等合法优惠活动，以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务（AWS）和 IBM 云等其他云存储服务也采用了类似的策略，即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁，Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf，原文链接：https://www.freebuf.com/news/401751.html 封面来源于网络，如有侵权请联系删除

近日，微软威胁情报团队表示，一个名为 Storm-1811 的黑客正在滥用客户端管理工具 “快速助手”（Quick Assist），针对用户展开社交工程攻击。 Quick Assist 是微软公司推出的一款合法应用程序，允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备，主要用于排除系统中的技术问题，默认安装在运行 Windows 11 的设备上。 2024 年 5 月 15 日，微软威胁情报团队在发布的一份报告中指出，Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。 黑客冒充安检人员 研究人员经过详细分析得出了黑客的攻击链，首先通过网络钓鱼实施社会工程学攻击，诱骗毫无戒心的受害者安装远程监控和管理（RMM）工具，然后发送 QakBot、Cobalt Strike，最终发送 Black Basta 勒索软件。 整个过程中，黑客滥用微软’快速助手’功能来实施社会工程学攻击。例如，伪装成受信任的联系人，例如微软技术支持或目标用户所在公司的 IT 专业人员，以获得对潜在攻击目标设备的初始访问权限。 黑客一开始会想方设法掌握一批受害者的数据信息，此后便向受害者邮箱发送大量垃圾邮件，完成一系列操作后，拨打受害者电话冒充安全公司声称“能够提供协助”，诱骗用户使用系统内置的远程管理软件与其展开通信，以便更进一步侵入用户设备。 为了使网络攻击更有说服力，黑客还会发起链接列表攻击（一种电子邮件轰炸攻击）这时候，受害目标电子邮件地址会注册各种合法的电子邮件订阅服务，导致其收件箱充斥着订阅的内容。然后，黑客伪装成公司的 IT 支持团队，给受害目标用户打电话，声称可以帮助他们解决垃圾邮件问题，并说服他们通过 “快速协助”（Quick Assist）授权访问他们的设备。 一旦用户允许访问和控制，黑客就会运行脚本化的 cURL 命令，下载一系列批处理文件或 ZIP 文件，用于发送恶意有效载荷，在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示，公司的完全团队正在密切关注滥用 “快速助手 “的情况，并正在努力在软件中加入警告信息，以通知用户可能存在的技术支持诈骗，防止诈骗可能会为勒索软件的传播提供便利。 网络安全公司 Rapid7 指出，”快速助手“滥用活动始于 2024 年 4 月中旬，目标涉及包括制造业、建筑业、食品饮料业、银行业以及运输业等多个行业和垂直领域，实施此类攻击的门槛相对很低，再加上这些攻击对受害者造成的重大影响，具有很强的破坏力、以及广泛的受影响范围，给威胁攻击者通过部署勒索软件敛财提供了新思路。 自 2022 年 4 月 出道以来，Black Basta 勒索软件团伙与其它勒索软件组织一样，主要通过实施双重勒索攻击，获取赎金。从 Elliptic 和 Corvus Insurance 发布的联合研究结果来看， Black Basta 自推出以来，累计感染了超过 329 名受害者。 值得注意的是，安全研究人员通过分析区块链交易，发现 Black Basta 与 Conti 勒索软件团伙之间貌似存在着明显的联系，2022 年，Conti 勒索软件团伙停止了攻击活动，差不多同一时间 Black Basta 组织开始活跃。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401225.html 封面来源于网络，如有侵权请联系删除

近日，黑客利用域名系统（DNS）隧道技术跟踪受害者，追踪其何时打开网络钓鱼电子邮件和点击恶意链接，并扫描网络是否存在潜在漏洞。 DNS 隧道技术是对通过 DNS 查询发送和检索的数据或命令进行编码，实质上是将 DNS 这一基本网络通信组件变成一个隐蔽的通信渠道。 黑客以 Base16 或 Base64 或自定义文本编码算法等各种方式对数据进行编码，以便在查询 TXT、MX、CNAME 和地址记录等 DNS 记录时返回这些数据。 黑客通常使用 DNS 隧道绕过网络防火墙和过滤器，利用这种技术进行指挥和控制（C2）以及虚拟专用网络（VPN）操作。DNS 隧道技术也有合法的应用，如绕过审查。 Palo Alto Networks 的 Unit 42 安全研究团队最近在涉及受害者跟踪和网络扫描的恶意活动中发现了更多使用 DNS 隧道的情况。 TrkCdn 活动 第一个活动被追踪为 “TrkCdn”，重点是追踪受害者与钓鱼电子邮件内容的关联。 攻击者在电子邮件中嵌入内容，打开后会对攻击者控制的子域执行 DNS 查询，这些子域的 FQDN 包含编码内容。例如，4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。 其中 4e09ef9806fb9af448a5efcd60395815 是 unit42@not-a-real-domain[.]com 的 md5 哈希值，它解析为主要权威名称服务器的 CNAME。 研究人员解释说：尽管不同目标的 FQDN 各不相同，但它们都被转发到 cdn.simitor[.]com 使用的相同 IP 地址。随后该权威名称服务器会返回一个 DNS 结果，该结果会指向一个由攻击者控制的服务器，该服务器会发送由攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。 通过这种方法，攻击者可以评估他们的策略，改进策略，并确认向受害者发送恶意有效载荷。 Unit 42 的报告还强调了一个类似的活动，该活动利用 DNS 隧道跟踪垃圾邮件的发送，被称为SpamTracker。 SecShow 活动 分析人员发现的第二个活动代号为 “SecShow”，利用 DNS 隧道扫描网络基础设施。攻击者会在 DNS 查询中嵌入 IP 地址和时间戳，以绘制网络布局图，发现潜在的配置漏洞，并利用这些漏洞进行渗透、数据窃取或拒绝服务。 该活动中使用的 DNS 查询会定期重复，以实现实时数据收集、检测状态变化，并测试不同网络部分对主动 DNS 请求的响应。 威胁行为者选择 DNS 隧道而不是跟踪像素和常规网络扫描工具等更传统的方法有几个原因，包括能够绕过安全工具、避免检测和保持操作的多功能性。 Unit 42 建议企业实施 DNS 监控和分析工具，以监控和分析日志中的异常流量模式和异常情况，如非典型或高流量请求。 此外，最好限制网络中的 DNS 解析器，只处理必要的查询，减少 DNS 隧道滥用的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

自四月以来，数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送，进行了大规模的LockBit Black勒索软件活动。 新泽西州网络安全和通信集成中心（NJCCIC）在周五警告称，攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷，一旦被启动，这些文件将加密收件人的系统。 这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的，该生成器由一位不满的开发者于2022年9月在推特上泄露。然而，这次活动被认为与实际的LockBit勒索软件操作没有任何关联。 这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件，用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去，地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。 攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。 接着，此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后，它将尝试窃取敏感数据、终止服务并加密文件。 自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示，黑客针对全球各个行业的公司进行攻击。 尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性，但发送大量邮件来传送恶意负载，并将勒索软件作为第一阶段负载使用，让这种方法在众多网络攻击中脱颖而出。 Proofpoint的安全研究人员表示：“2024年4月24日后约一周时间，Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动，该网络每天发送数百万封信息来传送LockBit Black勒索软件。” “这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件（又名LockBit 3.0）的样本。” Phorpiex僵尸网络（也称为Trik）已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫，演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。 经过多年的活动和发展，Phorpiex僵尸网络逐渐壮大，控制了超过100万台感染设备。然而，其运营者在关闭Phorpiex基础设施后，尝试在黑客论坛上出售该恶意软件的源代码。 Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件（每小时发送超过30,000封邮件），最近还使用了剪贴板劫持模块，将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。 在添加加密货币剪贴板劫持功能的一年内，Phorpiex的运营者劫持了969笔交易，盗取了3.64比特币（价值172,300美元）、55.87以太币（价值216,000美元）和价值55,000美元的ERC20代币。 为了防御推送勒索软件的网络钓鱼攻击，NJCCIC建议实施勒索软件风险缓解策略，并使用终端安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息传播。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文