HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一款新型信息窃取程序正通过由 100 多个 GitHub 代码仓库组成的网络进行分发。 这款被命名为 BoryptGrab 的恶意软件能够窃取浏览器数据、加密货币钱包数据，以及系统信息和用户文件。 此外，该窃取程序的部分变体还会释放一款名为 TunnesshClient 的后门程序，该后门通过 SSH 隧道进行命令与控制（C&C）通信。 趋势科技对 BoryptGrab 的调查显示，自 2025 年末以来，多个伪装成免费软件工具的 ZIP 压缩包已通过这些 GitHub 代码仓库分发。 所有已识别的二进制文件均包含相似的俄语注释和 URL 获取逻辑，不过并非所有 ZIP 压缩包中恶意软件的执行逻辑都完全相同。 在部分案例中，攻击者利用压缩包内的可执行文件，通过 DLL 侧载（DLL sideloading）技术实现恶意代码执行；而在另一些案例中，则通过 VBS 脚本获取启动器的可执行文件。研究人员还观测到了.NET 可执行文件、名为 HeaconLoad 的 Golang 下载器，以及其他执行路径。 BoryptGrab 是一款基于 C/C++ 编写的信息窃取程序，内置虚拟机检测和反分析校验机制，并试图以提升的权限执行。 它能够从近十余款浏览器中窃取信息，使用了来自两个 GitHub 代码仓库的 Chrome 应用绑定加密（Chrome App Bound Encryption）技术，并会下载一个 Chromium 辅助程序来收集目标浏览器中的信息。 该程序还可从桌面端加密货币钱包应用和浏览器扩展中收集数据、窃取系统信息、截取屏幕截图，以及收集特定扩展名的文件。 此外，趋势科技发现，这款窃取程序能够获取 Telegram 相关文件、浏览器密码，而在较新版本中，还能窃取 Discord 令牌。所有窃取到的信息都会被归档并发送至攻击者的命令与控制服务器。 部分已识别的变体还会部署 TunnesshClient 后门程序，而在其他案例中，该后门也可通过不同的下载器释放。 TunnesshClient 能够通过反向 SSH 隧道执行攻击者下发的命令。基于这些命令，该恶意软件可充当 SOCKS5 代理、执行 shell 命令、列出文件、搜索文件、上传和下载文件，或将整个文件夹发送至攻击者的服务器。 趋势科技指出：“BoryptGrab 攻击活动体现出一个不断演变的威胁生态系统 —— 攻击者通过诱骗性软件下载和伪造 GitHub 代码仓库针对用户发起攻击。” 该机构补充称，此次攻击行动显示出攻击者的技术设计复杂程度正不断提升。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。 运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。 当前Lumma主要通过四类渠道传播恶意软件： 虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。 ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。 GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。 YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。 趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场由全球执法机构和私营企业联盟发起的协同行动成功瓦解了与信息窃取软件Lumma（又名LummaC或LummaC2）相关的网络基础设施，查封了2,300个充当命令与控制（C2）主干网络的域名。这些域名被用于控制数百万台受感染的Windows系统。 美国司法部在声明中指出：“LummaC2等恶意软件被部署用于窃取数百万受害者的敏感信息（如用户登录凭证），以实施包括欺诈性银行转账和加密货币盗窃在内的多种犯罪。”被没收的基础设施通过附属机构和其他网络犯罪分子在全球范围内实施攻击。自2022年底活跃的Lumma Stealer估计已被用于至少170万次信息窃取活动，目标包括浏览器数据、自动填充信息、登录凭证和加密货币助记词等。美国联邦调查局（FBI）已追踪到约1000万例感染事件。 此次查封影响了五个作为管理员和付费客户登录面板的域名，有效阻止了其继续入侵计算机和窃取受害者信息。欧洲刑警组织透露：“2025年3月16日至5月16日期间，微软在全球范围内识别出超过394,000台感染Lumma恶意软件的Windows计算机”，并称此次行动切断了恶意工具与受害者之间的通信。该机构将Lumma描述为“全球最具威胁性的信息窃取软件”。 微软数字犯罪调查部门（DCU）联合ESET、BitSight、Lumen、Cloudflare、CleanDNS和GMO Registry等网络安全公司，摧毁了构成Lumma基础设施主干的约2,300个恶意域名。DCU助理总法律顾问Steven Masada表示：“Lumma的主要开发者来自俄罗斯，使用网络化名‘Shamel’。他通过Telegram和其他俄语聊天论坛销售不同层级的服务——网络犯罪分子可根据购买的服务等级定制恶意软件、添加隐藏和分发工具，并通过在线门户追踪窃取的信息。” 这款以恶意软件即服务（MaaS）模式运营的窃取工具，提供从250至1000美元不等的订阅服务，开发者还提供20,000美元套餐以获取源代码和转售权。ESET补充说明：“基础套餐包含基本过滤和日志下载功能，高级套餐则提供自定义数据收集、规避工具和新功能优先使用权，最昂贵的套餐强调隐蔽性和适应性，提供独特构建生成和降低检测率功能。” 近年来，Lumma通过日益流行的点击修复（ClickFix）等传播方式成为知名威胁。微软追踪到该窃取软件背后的威胁组织Storm-2477，指出其分发基础设施具有“动态弹性”特征，综合运用钓鱼攻击、恶意广告、路过式下载、可信平台滥用和Prometheus等流量分发系统。Cato Networks周三发布的报告披露，疑似俄罗斯威胁组织正利用Tigris对象存储、Oracle云基础设施（OCI）对象存储和Scaleway对象存储托管虚假reCAPTCHA页面，通过点击修复式诱导下载Lumma Stealer。 该恶意软件的显著特征包括：采用九组频繁变更的一级域名和托管在Steam个人资料/Telegram频道的备用C2构成多层级基础设施；通过付费安装（PPI）网络或流量销售商分发；通常与商业软件的破解版捆绑传播；运营者创建了带评级系统的Telegram黑市供附属机构直接销售数据；核心二进制文件采用低级虚拟机（LLVM核心）、控制流扁平化等高级混淆技术阻碍静态分析；2024年4月至6月期间网络犯罪论坛上出现超21,000个Lumma日志销售帖，同比增幅达71.7%。 微软强调：“Lumma Stealer的分发基础设施灵活且适应性强，运营者持续优化技术手段——轮换恶意域名、利用广告网络和合法云服务规避检测。所有C2服务器都隐藏在Cloudflare代理之后，这种动态架构既能最大化攻击成功率，又增加了追踪难度。”云基础设施公司Cloudflare表示，其在恶意C2服务器和黑市域名前部署了新型验证警告页，并对相关账户采取封禁措施。Cloudforce One负责人Blake Darché指出：“虽然此次行动对全球最大信息窃取基础设施造成重大打击，但与其他威胁组织类似，Lumma运营者将调整策略卷土重来。” 2025年1月安全研究人员g0njxa的采访显示，Lumma开发者曾表示计划在次年秋季停止运营：“我们为当前成果付出了两年努力，这已成为日常生活而不仅仅是工作。” 该声明暗示着网络犯罪生态中恶意软件即服务模式的商业化程度已达到新高度。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现，网络犯罪分子正在利用Facebook广告传播恶意软件，并劫持用户的社交媒体账户。 在恶意广告活动中，黑客利用合法工具进行在线广告分发，并在广告中插入受感染的链接。据Bitdefender的网络安全研究人员称，为了吸引用户点击，该恶意活动利用了年轻女性的淫秽图片。 研究人员报告说，该活动旨在向受害者的设备发送一个新版本的NodeStealer恶意软件。广告中的一些照片似乎是经过编辑或AI生成的。 NodeStealer是一种相对较新的信息窃取工具，它允许黑客窃取受害者的浏览器cookie并接管Facebook账户。 在之前的一次活动中，研究人员观察到黑客使用NodeStealer接管Facebook的商业账户，并从加密货币钱包中窃取资金。Facebook母公司Meta的研究人员表示，他们在1月份首次发现了这种恶意软件。 在Bitdefender描述最近的行动中，网络罪犯使用了至少10个受损的企业账户来运行和管理广告，将恶意软件分发给Facebook的普通用户——主要是来自欧洲、非洲和加勒比地区的40岁及以上的男性。 每次点击广告都会立即将恶意可执行文件下载到受害者的设备上。研究人员估计，在短短10天内，就有近10万用户下载了该恶意软件。 目前还不清楚是哪个黑客组织发起了这次攻击。第一次NodeStealer攻击被认为是来自越南的攻击者，他们通过Facebook Messenger攻击企业用户。 研究人员表示，在最新的攻击活动中发现的NodeStealer变体略有更新。它有一些新功能，允许黑客访问其他平台，如Gmail和Outlook，并下载额外的恶意负载。 研究人员说，一旦网络犯罪分子利用NodeStealer的基本功能获得了用户浏览器cookie的访问权限，他们就可以接管Facebook账户并访问敏感信息。 然后，黑客可以更改密码并激活帐户上的额外安全措施，以完全拒绝合法所有者的访问，从而允许网络犯罪分子实施欺诈。 研究人员表示：“无论是窃取金钱还是通过劫持账户诈骗新的受害者，这种类型的恶意攻击都能让网络罪犯通过Meta的安全防御而不被发现。”     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

银行和物流行业正遭受一种名为 “Chaes “恶意软件变种的攻击。 Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说：“Chaes”经历了重大的改版，从完全用 Python 重写，到整体重新设计和增强通信协议，导致传统防御系统的检测率降低。 据了解，Chaes 于 2020 年首次出现，主要针对拉丁美洲（尤其是巴西）的电子商务客户窃取敏感的财务信息。 Avast 在 2022 年初发现，自称为路西法的幕后威胁者已经入侵了 800 多个 WordPress 网站，向巴西银行、Loja Integrada、Mercado Bitcoin、Mercado Livre 和 Mercado Pago 的用户发送 Chaes。 2022 年 12 月，巴西网络安全公司 Tempest Security Intelligence 发现该恶意软件在其感染链中使用了 Windows Management Instrumentation（WMI），以方便收集系统元数据，如 BIOS、处理器、磁盘大小和内存信息。 该恶意软件的最新迭代版本被称为 Chae$ 4（参考源代码中的调试日志信息），其中包含了扩大针对凭证盗窃的服务目录以及剪切功能。 尽管恶意软件架构发生了变化，但在 2023 年 1 月发现的攻击中，总体传输机制保持不变。 潜在受害者登陆其中一个被入侵的网站后，会弹出一个消息，要求他们下载 Java Runtime 或防病毒解决方案的安装程序，从而触发恶意 MSI 文件的部署，该文件反过来又会启动一个名为 ChaesCore 的主协调器模块。 该组件负责建立与命令控制（C2）服务器的通信渠道，从中获取支持入侵后活动和数据盗窃的其他模块 。 初始化，收集系统的大量信息 在线，作为信标向攻击者回传信息，表明恶意软件正在机器上运行 Chronod 会窃取在网页浏览器中输入的登录凭证，并拦截 BTC、ETH 和 PIX 支付转账 Appita 模块，具有与 Chronod 类似的功能，但专门针对 Itaú Unibanco 的桌面应用程序（”itauaplicativo.exe”）。 Chrautos 是 Chronod 和 Appita 的升级版本，主要从 Mercado Libre、Mercado Pago 和 WhatsApp 收集数据。 窃取程序，Chrolog 的改进版，可窃取信用卡数据、cookie、自动填充和其他存储在网络浏览器中的信息。 文件上传器，用于上传与 MetaMask 的 Chrome 扩展相关的数据。 主机上的持久性是通过计划任务完成的，而 C2 通信则需要使用 WebSockets，植入程序会无限循环运行，等待远程服务器的进一步指令。 通过巴西的 PIX 平台进行加密货币转账和即时支付是一个值得注意的新增目标，凸显了攻击者的攻击嗅觉。 Morphisec 进一步解释说：Chronod 模块引入了框架中使用的另一个组件，一个名为 “模块打包器 “的组件。这个组件为模块提供了自己的持久性和迁移机制，其工作原理与ChaesCore的机制非常相似。 这种方法包括更改与网页浏览器（如谷歌 Chrome、微软 Edge、Brave 和 Avast 安全浏览器）相关的所有快捷方式文件（LNK），以执行 Chronod 模块，而不是实际的浏览器。 该公司表示：恶意软件使用谷歌的 DevTools 协议连接到当前浏览器实例。该协议允许通过 WebSockets 与内部浏览器功能直接通信。 该协议暴露的广泛功能允许攻击者运行脚本、拦截网络请求、在加密前读取 POST 体等。     转自Freebuf，原文链接:https://www.freebuf.com/news/377222.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个基于.NET的开源信息窃取恶意软件SapphireStealer，已被多个实体用来增强其能力并产生自己的定制变体。 思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息，包括公司凭据。这些信息经常被转售给其他威胁行为者，他们利用这些访问权进行额外的攻击，包括与间谍活动或勒索软件/勒索有关的行动。” 随着时间的推移，一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。 从这个角度来看，这种恶意软件不仅代表了网络犯罪即服务(CaaS)模式的演变，而且还为其他威胁行为者提供了将被盗数据货币化的机会。这让他们能够分发勒索软件，进行数据盗窃和其他恶意网络活动。 SapphireStealer与暗网上越来越多的其他窃取恶意软件很像，它具备收集主机信息、浏览器数据、文件、截图的功能，并通过简单邮件传输协议(SMTP)以ZIP文件的形式泄露数据。 它的源代码在2022年12月下旬免费发布，这使得不法分子能够试验恶意软件，并使其隐蔽。这包括使用Discord webhook或Telegram API达到数据泄露的目的。 Brumaghin说:“这种威胁的多种变体已经在野外存在，且随着时间的推移，攻击者将提高其效率和有效性。” 恶意软件作者还公开了一个.NET恶意软件下载程序，代号为fd – loader，这使得从攻击者控制的分发服务器检索额外的二进制有效负载成为可能。 Talos表示，它检测到恶意软件下载程序被用于提供远程管理工具，如DCRat、jnrat、DarkComet和Agent Tesla。 一个多星期前，Zscaler分享了另一个名为Agniane Stealer的窃取恶意软件的细节，该恶意软件能够从浏览器、Telegram、Discord和文件传输工具中窃取凭证、系统信息、会话细节，以及来自70多个加密货币扩展和10个钱包的数据。 它在几个暗网论坛和Telegram频道上以每月50美元的价格出售(没有终身许可证)。 安全研究员Mallikarjun Piddannavar说:“开发Agniane Stealer的黑客利用包装程序来维护和定期更新恶意软件的各种功能。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码，安全分析师警告，该恶意软件已被积极用于攻击。 该恶意软件的开发者称，仅用6个小时就开发完成，相当隐蔽，VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust（一种跨平台语言）编写的，可在多个操作系统使用。从其当前的使用范围看，它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂，所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样，并将其命名为 “Luca Stealer”。 采样报告显示，Luca Stealer具有明显的恶意功能，当执行时，它试图从30个基于Chromium的网络浏览器中窃取数据，它将窃取存储的信用卡、登录凭证和cookies等信息；它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比，Luca Stealer是密码管理器浏览器插件，可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图，将其保存为.png文件，执行 “whoami”对主机系统进行剖析，并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能，该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍，被盗数据通过Discord webhooks或Telegram bots渗出，具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者，以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中，并附有所包含内容的摘要，方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称，目前发现了至少25例Luca Stealer的在野利用，虽然源代码已被公布，但它是否会大规模部署还不得而知。但由于其源代码是免费公布，可能成为其滥用原因之一。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340119.html 封面来源于网络，如有侵权请联系删除