HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款针对巴西用户的新型银行恶意软件的详细信息，该软件用 Rust 编写，与拉丁美洲网络犯罪生态系统中其他已知的基于 Delphi 的恶意软件家族存在显著差异。 这款旨在感染 Windows 系统的恶意软件于上月首次被发现，巴西网络安全公司 ZenoX 将其代号命名为 VENON。 VENON 的特别之处在于，它与针对该地区的成熟银行木马（如 Grandoreiro、Mekotio 和 Coyote）具有一致的行为，特别是在银行覆盖层逻辑、活动窗口监控和快捷方式（LNK）劫持机制等功能方面。 该恶意软件尚未被归因于任何此前记录的组织或活动。然而，可追溯至 2026 年 1 月的早期版本样本被发现暴露了恶意软件作者开发环境的完整路径。这些路径反复引用 Windows 机器用户名 “byst4”（例如 “C:\Users\byst4…”）。 ZenoX 表示：“Rust 代码结构呈现出的模式表明，开发者熟悉现有拉丁美洲银行木马的功能，但使用生成式 AI 在 Rust 中重写并扩展了这些功能 —— 要达到所观察到的复杂程度，使用 Rust 需要丰富的技术经验。” VENON 通过复杂的感染链传播，利用 DLL 侧加载技术启动恶意 DLL。据推测，该活动利用 ClickFix 等社会工程策略，诱骗用户通过 PowerShell 脚本下载包含载荷的 ZIP 压缩包。 DLL 执行后，会在实际发起任何恶意操作前执行九种规避技术，包括反沙箱检查、间接系统调用、ETW 绕过、AMSI 绕过。它还会访问 Google Cloud Storage URL 以获取配置、安装计划任务，并与命令与控制（C2）服务器建立 WebSocket 连接。 从 DLL 中还提取出两个 Visual Basic Script 代码块，它们实现了专门针对 Itaú 银行应用的快捷方式劫持机制。这些组件通过将合法系统快捷方式替换为篡改版本来运作，将受害者重定向至威胁行为者控制的网页。 该攻击还支持卸载步骤以撤销修改，表明操作者可远程控制该活动，将快捷方式恢复至原始状态以掩盖痕迹。 总体而言，这款银行恶意软件通过监控窗口标题和活动浏览器域名，针对 33 家金融机构和数字资产平台，仅在任何目标应用或网站被打开时才会启动，通过提供虚假覆盖层来窃取凭据。 此次披露之际，威胁行为者正利用 WhatsApp 在巴西的普及性，通过该消息平台的桌面网页版分发名为 SORVEPOTEL 的蠕虫。该攻击依赖滥用此前已认证的聊天，直接向受害者发送恶意诱饵，最终导致部署 Maverick、Casbaneiro 或 Astaroth 等银行恶意软件。 Blackpoint Cyber 表示：“通过被劫持的 SORVEPOTEL 会话发送的一条 WhatsApp 消息，就足以将受害者引入多阶段链路，最终导致 Astaroth 植入程序完全在内存中运行。” “本地自动化工具、无监督浏览器驱动程序和用户可写运行时的结合，创造了一个异常宽松的环境，使蠕虫和最终载荷都能以最小阻力建立自身。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2023年3月以来，60个包含凭证窃取代码的恶意Ruby软件包（gems）累计下载量已超27.5万次。这些恶意包由安全公司Socket发现，主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao自动化工具的韩国用户。 RubyGems作为Ruby编程语言的官方包管理器，负责Ruby库（即gems）的分发、安装和管理，其功能类似于JavaScript的npm或Python的PyPI。 攻击者使用zon、nowon、kwonsoonje和soonje等多个别名账户，将恶意包发布至RubyGems.org平台，通过分散操作增加追踪和拦截难度。以下是部分具有欺骗性命名或仿冒特征的典型包示例： WordPress自动化工具：wp_posting_duo, wp_posting_zon Telegram机器人工具：tg_send_duo, tg_send_zon SEO/反向链接工具：backlink_zon, back_duo 博客平台仿冒工具：nblog_duo, nblog_zon, tblog_duopack, tblog_zon Naver Café交互工具：cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment 这60个恶意包均具备看似合法的图形界面（GUI）并宣称提供相应功能。但实际上，它们会作为钓鱼工具，将用户在登录表单输入的凭证发送至攻击者硬编码的命令控制（C2）服务器地址（programzon[.]com、appspace[.]kr、marketingduo[.]co[.]kr）。窃取的数据包含： 明文用户名和密码 用于设备指纹识别的MAC地址 用于追踪攻击效果的软件包名称 部分工具会返回虚假的成功或失败消息，但并未向实际服务发起真正的登录或API调用。Socket研究人员在俄语暗网市场发现的凭证日志与此次攻击活动相关，这些日志的交互记录指向攻击者控制的营销工具站点marketingduo[.]co[.]kr。 尽管Socket已向RubyGems团队报告全部恶意包，但其中至少16个目前仍可获取。RubyGems供应链攻击并非首次出现，此类威胁已持续数年。例如今年6月，Socket曾报告另一起仿冒移动开发自动化工具Fastlane的恶意Ruby包事件，专门针对Telegram机器人开发者。 开发者应严格审查从开源仓库获取的库文件，警惕混淆代码等可疑特征，同时评估发布者信誉与更新历史，并将依赖库锁定在“已知安全”的版本。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在亚马逊弹性容器服务（Amazon Elastic Container Service, ECS）中演示了一种“端到端权限提升链条”攻击方法。攻击者可利用该漏洞进行横向移动、访问敏感数据并控制整个云环境。 该攻击技术被安全研究公司Sweet Security的研究员Naor Haziz命名为“ECScape”，他于今日在拉斯维加斯举行的Black Hat USA安全会议上公布了这一发现。 “我们发现了一种方法，可以滥用一项未记录的ECS内部协议，获取同一EC2实例上其他ECS任务所属的AWS凭证，”Haziz在分享给The Hacker News的报告中说，“一个拥有低权限IAM（身份与访问管理）角色的恶意容器，可以获取在同一主机上运行的更高权限容器的权限。” Amazon ECS是一项完全托管的容器编排服务，允许用户部署、管理和扩展容器化应用程序，并与Amazon Web Services（AWS）集成以在云中运行容器工作负载。 Sweet Security发现的漏洞本质上允许权限提升：运行在ECS实例上的低权限任务，可以通过窃取凭证劫持同一EC2机器上更高权限容器的IAM权限。 换言之，ECS集群中的恶意应用程序可以伪装成更高权限的任务。这是通过利用在地址169.254.170[.]2运行的元数据服务实现的，该服务暴露了与任务IAM角色关联的临时凭证。 虽然这种方法确保每个任务在运行时获得其IAM角色的凭证，但ECS代理身份的泄露可能允许攻击者冒充该代理并获取主机上任何任务的凭证。完整攻击序列如下： 获取主机的IAM角色凭证（EC2实例角色）以冒充代理 发现代理通信的ECS控制平面端点 收集必要的标识符（集群名称/ARN、容器实例ARN、代理版本信息、Docker版本、ACS协议版本和序列号），使用任务元数据端点和ECS内省API作为代理进行身份验证 伪造并签署代理通信服务（Agent Communication Service, ACS）WebSocket请求，冒充代理并将“sendCredentials”参数设置为“true” 收集该实例上所有运行中任务的凭证 “伪造的代理通道也能保持隐蔽，”Haziz表示，“我们的恶意会话模仿了代理的预期行为——确认消息、递增序列号、发送心跳——因此不会显得异常。” “通过冒充代理的上游连接，ECScape彻底瓦解了该信任模型：一个被攻陷的容器可以被动收集同一EC2实例上所有其他任务的IAM角色凭证，并立即以这些权限行动。” 在共享EC2主机上运行ECS任务时，ECScape可能造成严重后果，因为它为跨任务权限提升、凭证泄露和元数据窃取打开了大门。 在负责任的披露后，亚马逊强调了客户在适用情况下采用更强隔离模型的必要性，并明确在其文档中指出：在EC2中没有任务隔离，“容器可能访问同一容器实例上其他任务的凭证”。 作为缓解措施，建议： 避免在同一实例上部署高权限任务与不可信或低权限任务 使用AWS Fargate实现完全隔离 禁用或限制任务的实例元数据服务（IMDS）访问 限制ECS代理权限 设置CloudTrail警报以检测IAM角色的异常使用 “核心教训是应将每个容器视为可能被攻陷的对象，并严格限制其爆炸半径，”Haziz说，“AWS便捷的抽象（任务角色、元数据服务等）方便了开发者，但当多个具有不同权限级别的任务共享底层主机时，其安全性仅取决于隔离它们的机制——而这些机制可能存在微妙的弱点。” 此漏洞披露正值近期报告多起云安全漏洞之际，包括： 谷歌Cloud Build与GitHub集成中的竞争条件漏洞（可能绕过维护者审查执行未审核代码） Oracle云基础设施（OCI）代码编辑器中的远程代码执行漏洞（可劫持Cloud Shell环境） 名为“I SPy”的攻击技术（利用Microsoft Entra ID中的服务主体进行权限提升和持久化） Azure机器学习服务中的权限提升漏洞（允许存储账户访问者执行任意代码） 旧版AmazonGuardDutyFullAccess策略的范围漏洞（可能导致组织被完全接管） 滥用Azure Arc进行权限提升和持久化的攻击技术 Azure内置Reader角色权限过高及API漏洞（可被串联利用泄露VPN密钥） 谷歌Gerrit中的供应链漏洞“GerriScary”（允许向ChromiumOS等关键项目提交未授权代码） 谷歌云平台配置错误（暴露了互联网交换点内部子网络） “ConfusedFunction”权限提升漏洞的扩展（可适配AWS和Azure平台） “最有效的缓解策略是确保云环境中所有服务账户（SA）遵循最小权限原则，且没有遗留云SA仍在使用，”Talos表示，“确保所有云服务和依赖项均已应用最新安全补丁。若存在遗留SA，请用最小权限SA替换它们。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击激增。eSentire威胁响应部门（TRU）最新报告显示：2024年至2025年一季度期间，该机构处理的1.9万起身份相关安全事件同比激增156%，此类威胁在其服务的2000余家企业中占比高达59%。 钓鱼即服务（PhaaS）推动凭证窃取 Tycoon 2FA平台成为主要推手：该钓鱼即服务平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），已超越EvilProxy等竞品成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元（约合人民币1450-2170元）获取以下服务： 伪装成可信来源的邮件模板 突破MFA防护的中间人攻击模块 反调试与规避检测工具 内置凭证窃取功能 客户支持及定期更新 攻击者利用该平台实施商业邮件欺诈（BEC）：主要针对应收账款部门员工，窃取其凭证后篡改支付路径，将企业资金转入攻击者控制账户。 信息窃取器提供低成本替代方案 攻击者通过Lumma窃密程序等工具批量获取凭证：地下市场中单份窃密日志仅售10美元（约合人民币72元），每份日志可能包含数十项高价值数据： 邮箱/银行服务登录凭据 密码管理器数据库 加密钱包及浏览器扩展数据 VPN/FTP客户端及本地文件 该窃密程序自2022年活跃至今，其内置自动化过滤机制可快速识别高价值数据，大幅缩短凭证利用周期，并通过”Russian Market”等黑市加速销赃。 凭证窃取呈现高回报特性 据FBI统计：2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元（约合人民币3980亿元）损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。 防御建议 eSentire TRU预测此类威胁将持续蔓延，呼吁企业采取三项核心措施：部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文