Check Point的研究人员发现，利用DHL、亚马逊和联邦快递的品牌，试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前，Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%，最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌，占到与运输相关的钓鱼邮件总量的56%，其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大，但其他地区的增幅也很大。在欧洲，运费钓鱼邮件增加了401%，其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%，其中亚马逊是被冒充最多的品牌，65%是假冒的亚马逊送货邮件。在亚太地区，送货钓鱼邮件增加了185%，其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验，在人们购物之前和之后，”Check Point的数据情报经理Omer Dembinsky说。“首先，黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后，黑客会发送一封关于交付购买的电子邮件，即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束，我们正在转向等式的另一边，也就是送货。当你在这个假日季节打开任何购买后的电子邮件时，请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚，黑客在网上购物体验的每一步都在瞄准网上购物者，在你购物前后，危险是非常真实的。” 诈骗范例：     （消息及封面来源：cnBeta）

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人，其中6人已经被捕，3人目前在波兰被押制，1人在被逮捕之前返回摩尔多瓦，还有2人可能已离开意大利。 据当地媒体报道，该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中，黑匣子设备（移动设备或Raspberry）物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击，因为黑客很容易就连接上移动设备。 7月，ATM机领先制造商Diebold Nixdorf向客户发出了警报：黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到，所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述：黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源：securityaffairs；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

安全研究人员发现，目前有一种新的Android恶意软件正在广泛传播，主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ，目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示，一旦恶意软件感染了用户，它就会开始为他们注册高级电话号码，从而为各种类型的服务收取高额费用。 最终结果是，所有被感染的用户每个月都会收到大笔电话账单，直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”，在2000年代末和2010年代初非常流行，随着智能手机的兴起而逐渐消失，但 在2010年代后期卷土重来， 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示，基于此计划中使用的高级电话号码，黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说：“在这种计划和类似的计划中，黑客和溢价率数字的所有者正在合作，甚至可能是同一群人 。”“这简直是一场数字游戏：使用优质服务拨打的电话越多，为那些服务背后的人带来的收入就越多。每个人都赢了，除了不幸的骗局受害者。” 至于恶意软件本身，Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper，第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块，主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上，此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示： “目前，该恶意软件丢弃了高级拨号程序，但将来，有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上，然后再下载其他恶意软件，这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击，全球感染总数达数亿。Hazum补充说：“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet，他们暂时在名为“ af ”，“ dolok ”，名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源：zdnet ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

每当新游戏主机上市，除了玩家迫不及待入手游玩自己期待的游戏之外，摩拳擦掌的还有全球各地的技术大牛和黑客们，能够在第一时间攻破新主机的防线，完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天，已经有团队取得了PS5破解的初步胜利。 近日，知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像，这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠：迈尔斯·莫拉莱斯》，这款游戏Dump出的镜像文件达到49.78GB，另一款游戏是《过山车之星主机版》，容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump，不过就目前PS5的破解工作开展进度来说，游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox，距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是，在被Dump出的PS5游戏镜像的nfo文件中，BigBlueBox还写下了两行以Mariko开头的密钥，疑似与续航版Switch和Lite的破解工作新进展有关。       （消息及封面来源：cnBeta）

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”（Relay Attack），并在特斯拉Model X电动汽车上进行了演示。报道称，特斯拉被告知了这一新的攻击，目前准备为其推出新的补丁。 在北美，特斯拉汽车被盗相当罕见。但在欧洲，有一些老练的窃贼，他们通过“中继攻击”，盗窃了不少特斯拉汽车，其中大多数都没有被找回。 为了应对这些攻击，特斯拉之前已经推出了额外的安全保护措施，配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今，比利时鲁汶大学（Belgian university KU Leuven）安全研究员列纳特·沃特斯（Lennert Wouters）声称，他组织了一系列新的攻击，可以绕过密钥卡中新改进的加密技术。 沃特斯表示，他只需大约90秒的时间，即可进入特斯拉汽车。一旦进入车内，为了能开走汽车，还需要进行第二步攻击。大概1分钟左右的时间，他就可以注册自己的汽车钥匙，然后把车开走。 目前还不清楚，“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效，该功能要求司机输入PIN后，才能让车辆进入驾驶状态，而不管密钥卡是什么。 不管怎样，特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示，他们早在8月份就告知了特斯拉。       （消息来源：cnBeta；封面来自网络）

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡普空在11月4日发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。随后自称为“RAGNAR LOCKER”的黑客组织发布了犯罪声明，表示获取了卡普空超过1TB容量的隐私敏感数据，要求卡普空在日本时间11日上午8点之前与之联系，并达成交易（以比特币形式支付1100万美元）。 而据日媒的最新报道，因为卡普空在11日并未与“RAGNAR LOCKER”进行交易，“RAGNAR LOCKER”已经在“暗网”上公开了卡普空内部信息的一部分（日媒报道为67000MB字节的数据）。目前日本大阪警方已经介入了这起事件，正在进行情报收集工作。 日媒报道称这一次公开的数据主要是公司的销售业绩与薪酬记录，此外还有相关人员的护照及公司内部邮箱等内容。“RAGNAR LOCKER”还发表了“卡普空没有做出正确决定”等声明，他们表示此次公开的数据只是一部分，并威胁“如果想避免数据泄露和巨额诉讼费用等损失，就进行交易”。 卡普空方面在接受采访时解释说:“目前事件还在调查中，还没有确认顾客信息的泄露。关于未授权访问，正在与府警商讨。”       （消息及封面来源：cnBeta）

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时，发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt（又名Hive0081），该黑客组织于2018年首次被发现。在最近的攻击活动中，黑客使用了两个新型后门，分别为“ TriFive”和“ Snugy”，后者是基于PowerShell后门（CASHY200）的变体。 专家分析：“ TriFive和Snugy后门是PowerShell脚本，它们使用不同的命令和控制（C2）通道与黑客进行通信，从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件，使用Exchange Web Services（EWS）在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”  “ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门，因为它们不同于之前使用的工具。” 在发布报告时，专家们尚未确定该黑客如何访问Exchange服务器。 TriFive使用了来自目标组织的合法帐户名和凭据，这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户，并创建主题为“ 555s”的电子邮件草稿，其中包括加密和base64编码格式的命令。 通过将编码后的密文设置为电子邮件草稿的邮件正文，将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中，后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息，运行命令并从受感染的服务器中窃取数据。 研究人员共享了危害指标（IoC），以允许管理员检查其环境是否受到威胁，xHunt黑客组织的活动仍在继续。       消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北京时间11月5日消息，伪装成埃隆·马斯克(Elon Musk)的一名黑客，在回复特朗普推文的推文中骗取用户的虚拟货币。黑客使用的账户通过了Twitter的认证，用户名显示为“Elon Musk”，回复了特朗普讨论总统大选形势的推文。 黑客账户发布推文称，选举基本上大局已定，为了庆祝大选，他将向用户赠送礼品，并给出了指向musk-coins.com的链接。 Mashable首先发现了这一骗局，它发现连接会把用户引流到一个网站，要求用户提供自己的比特币，以获取更高的回报。 骗取价值3.2万美元的比特币和价值6000美元的以太坊（总价值约合人民币25万元）后，黑客修改了Twitter账户名称，并删除了网站。 账户名为“@emmaisaac”的Twitter用户实施了这次黑客活动。 特朗普在一条推文中称，“人们在所有地方都看到了拜登的选票——宾夕法尼亚州、威斯康辛州和密歇根州，这不利于我们的国家。” 黑客在回复这条推文时实施了诈骗活动，推文称，“选举基本上大局已定！为了纪念这次大选，我们将向人们赠送礼品：访问网站musk-coins. Com。提醒：去除其中的空格。” 为了增强迷惑性，黑客在推文中还添加了指向SpaceX账户上的Youtube链接。 在对Internet Archive进行进一步调查后，Mashable发现，这一认证账户之前属于BusinessChicks CEO埃玛·艾萨克斯（Emma Isaacs），该账户的头像仍然是她的照片。 Twitter曾在2018年表示，将自动锁住把昵称修改为“Elon Musk”的账户，因为这是虚拟货币“赠送”诈骗活动的惯用伎俩。 今年6月，黑客通过攻击包括奥巴马、杰夫·贝佐斯(Jeff Bezos)和马斯克在内的名人Twitter账户，实施了相似的诈骗活动，给用户造成更大损失。 黑客声称通过向1或多名Twitter用户行贿，能够访问内部系统，通过上述账户发布要求用户送给他们比特币的推文。 在Twitter采取措施前，4小时内约有300名用户上当受骗，发送给黑客价值111.8万美元的比特币。         （消息来源：cnBeta；封面来自网络）

据外媒报道，当地时间上周五，有关一群黑客勒索一家为公共卫生系统提供心理治疗服务的私人公司的丑闻结果令芬兰人震惊。在一个号称在数字化和数据安全方面处于领先地位的国家，犯罪分子在检测到Vastaamo公司系统中的漏洞后成功访问了该公司数千名客户的数据库。 根据Vastaamo网站介绍，该公司为抑郁症和焦虑症患者提供心理和精神治疗。许多客户来自由Finnish Social Security (Kela)支付的公共服务部门。 据悉，勒索者索要约45万欧元（以比特币形式支付）以换取不公布数千人的临床和心理健康数据。 而在两日前，犯罪分子开始在加密网络Tor上发布数据，每天发布100个人。他们声称除非收到钱否则不会罢休。由于该公司拒绝接受黑客的要求，于是包括未成年人在内的200多人的个人数据被公布在网上。 被公布的信息非常敏感，包括患者的姓名、个人身份证号码、电话号码、电子邮件地址和居住地址以及治疗过程的内容。 据Vastaamo在新闻稿中披露，一位不知名的敌对方联系了他们并声称从该公司的客户那里获取了机密信息，对此，芬兰中央刑事警察已经展开刑事调查，另外他们还立即通知了芬兰网络安全中心、Valvira和数据保护专员。此外，Vastamo还立即采取了措施，跟外部独立安全专家合作来解释清楚这件事情。 据了解，有100人的数据于周四晚被公布。但在周五早上，发布数据的页面被删除，这引发了人们对Vastamo可能向敲诈者支付报酬的传言。不过截止到目前，该公司既没有承认也没有否认这笔付款。Vastaamo董事会主席Tuomas Kahri告诉报纸Ilta Sanomat，他不会对赎金的指控发表评论。 关于勒索者的身份或国籍目前则都不清楚，他们似乎并不担心当局可能会逮捕他们。周四，Ilta Sanomat跟他们交换了几条信息。这些罪犯表示，他们不知道公布的信息中有未成年人的数据。不过他们保证这不会停止他们的行动。 据披露，勒索者还向患者个人提供了一种可能，即用价值540欧元的比特币删除他们自己的数据。 芬兰国家调查局(KRP)正在调查这次攻击，该机构认为这是一起严重侵犯和传播私人信息的案件。警方要求那些注意到自己私人信息被传播的人提交一份电子犯罪报告。 在这起勒索案中，该公司因未能提前通知客户数据被泄露而受到批评。一些人抱怨称，他们是在公众知道这件事之后才被联系上的。     （消息来源：cnbeta；封面来自网络）