HackerNews 编译，转载请注明出处： 一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。 Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出：”该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。” 这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。 这是典型的”离地生存”式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。 攻击链分析 初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。 值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。 研究人员表示：”恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。” 投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。 随后从Dropbox获取两个受密码保护的7-Zip压缩包： gmail2.7z：包含数据窃取和加密货币挖矿的可执行文件 gmail_ma.7z：包含持久化和清理工具 凭证窃取组件利用ChromElevator项目，绕过应用绑定加密（ABE）保护从Chromium内核浏览器提取敏感数据。其他工具包括： mozilla.vbs：窃取Mozilla Firefox配置文件和凭证的VBScript walls.vbs：外泄桌面文件的VBScript载荷 mservice.exe：XMRig加密货币挖矿程序，从被入侵的摩洛哥WordPress站点获取挖矿配置后启动 WinRing0x64.sys：合法Windows内核驱动，用于解锁CPU完整挖矿性能 RuntimeHost.exe：持久化木马组件，修改Windows防火墙规则并定期与C2服务器通信 浏览器数据通过两个mail[.]ru发件账户（”olga.aitsaid@mail.ru“和”3pw5nd9neeyn@mail.ru“，共享相同密码）经SMTP外泄至威胁行为体控制的另一邮箱（”vladimirprolitovitch@duck.com“）。 凭证窃取和外泄完成后，攻击链立即清理所有投递工具以最小化取证痕迹，仅保留挖矿程序和木马组件。 Securonix总结：”FAUX#ELEVATE活动展示了一场组织严密的多阶段攻击行动，将多种技术整合为单一感染链。对企业安全团队而言，该活动尤为危险之处在于执行速度——从初始VBS执行到凭证外泄，完整感染链仅需约25秒；以及对企业域加入机器的选择性瞄准，确保每台被入侵主机都能通过企业凭证窃取和持久化资源劫持提供最大价值。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 UNC4899 的朝鲜籍威胁行为者被认为是 2025 年一起针对加密货币机构的复杂云环境入侵行动的幕后黑手，该行动窃取了价值数百万美元的加密货币。 此次活动以中等可信度归因于该国背景的攻击者，该组织还以代号 Jade Sleet、PUKCHONG、Slow Pisces 以及 TraderTraitor 被追踪。 “这起事件值得关注，因为它结合了社会工程、利用个人设备到企业设备的点对点（P2P）数据传输机制、工作流程，并最终转向云环境，使用云上生存（LOTC）技术。” 这家科技巨头在分享给《黑客新闻》的《2026 年上半年云威胁展望报告》中指出。 据称，攻击者在获得云环境访问权限后，滥用合法的 DevOps 工作流程窃取凭据、突破容器限制，并篡改 Cloud SQL 数据库，为窃取加密货币提供便利。 谷歌云表示，这条攻击链呈现出一种演进过程：从入侵开发者个人设备开始，到入侵其企业工作站，再跳转至云环境，对财务逻辑进行未授权修改。 一切始于威胁行为者使用社会工程手段，诱骗开发者下载一个压缩包文件，声称这是某个开源项目协作的一部分。随后，该开发者通过 AirDrop 将同一个文件传输到了公司设备上。 “受害者使用其 AI 辅助集成开发环境（IDE）与压缩包内容进行交互，最终执行了其中嵌入的恶意 Python 代码，该代码生成并执行了一个伪装成 Kubernetes 命令行工具的二进制程序。” 谷歌表示。 该二进制程序随后连接到攻击者控制的域名，并充当受害者企业设备的后门，使攻击者能够通过已认证会话和可用凭据跳转至谷歌云环境。此步骤之后是初始侦察阶段，旨在收集各类服务和项目的信息。 攻击进入下一阶段：攻击者发现了一台堡垒主机，并修改其多因素认证（MFA）策略属性以访问该机器，并执行更多侦察，包括浏览 Kubernetes 环境中的特定 Pod。 随后，UNC4899 采用云上生存（LotC）方式配置持久化机制：修改 Kubernetes 部署配置，使新建 Pod 时自动执行一条 bash 命令。该命令会下载一个后门。 威胁行为者执行的其他部分步骤如下： ·     修改与受害者 CI/CD 平台解决方案相关的 Kubernetes 资源，注入可将服务账号令牌显示在日志中的命令。 ·     攻击者获取高权限 CI/CD 服务账号令牌，从而提权并进行横向移动，专门针对处理网络策略和负载均衡的 Pod。 ·     利用窃取的服务账号令牌对以特权模式运行的敏感基础设施 Pod 进行认证，逃逸容器，并部署后门以实现持久访问。 ·     威胁行为者在将注意力转向负责管理客户信息（如用户身份、账户安全和加密货币钱包信息）的工作负载之前，又进行了一轮侦察。 ·     攻击者利用该工作负载提取了以不安全方式存储在 Pod 环境变量中的静态数据库凭据。 ·     随后滥用这些凭据通过 Cloud SQL Auth Proxy 访问生产数据库，并执行 SQL 命令修改用户账户，包括对多个高价值账户进行密码重置和 MFA 种子更新。 ·     攻击最终以使用被攻陷账户成功提取价值数百万美元的数字资产告终。 谷歌表示，该事件 “凸显了个人设备到企业设备的点对点数据传输方式及其他数据桥接、特权容器模式，以及云环境中机密信息不安全处理所带来的重大风险”。“企业应采取纵深防御策略：严格验证身份、限制端点上的数据传输、在云运行环境中实施严格隔离，以缩小入侵事件的影响范围。” 为应对此类威胁，建议企业实施上下文感知访问与抗钓鱼 MFA、确保仅部署受信任镜像、隔离被攻陷节点使其无法与外部主机建立连接、监控异常容器进程、采用健壮的机密信息管理、执行策略禁用或限制使用 AirDrop 或蓝牙进行点对点文件共享，以及禁止在企业设备上挂载未受管理的外部介质。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一套此前未公开、包含 23 个 iOS 漏洞利用代码的工具集 “Coruna”，已被多个威胁组织用于定向间谍活动和以牟利为目的的攻击。 Coruna 套件包含5 条完整 iOS 漏洞利用链，其中最复杂的利用非公开技术和防护绕过手段，支持 iOS 13.0 至 17.2.1（2023 年 12 月发布）。 谷歌威胁情报小组（GTIG）研究人员于 2025 年 2 月首次观察到与 Coruna 相关的活动，该活动归属于某监控软件厂商的客户。 当时，研究人员获取了其 JS 投递框架以及针对 CVE-2024-23222 的利用代码，该漏洞是可在 iOS 17.2.1 实现远程代码执行（RCE）的 WebKit 漏洞。苹果已于 2024 年 1 月 22 日在 iOS 17.3 修复该漏洞，此前该漏洞曾被用于 0day 攻击。 同年夏季再次发现同一混淆框架，被疑似俄罗斯网络间谍组织 UNC6353 用于水坑攻击，针对访问被攻陷乌克兰网站的 iPhone 用户，这些网站涉及电商、工业设备、零售工具与本地服务。 Coruna 套件投放时间线（来源：谷歌） Coruna 漏洞套件能力 GTIG 分析师在 2025 年底获取完整套件后发现，其包含 5 条完整利用链，共使用 23 个漏洞，包括： ·     WebKit 远程代码执行 ·     指针认证码（PAC）绕过 ·     沙箱逃逸 ·     内核提权 ·     页面保护层（PPL）绕过 “这些漏洞利用代码附带详尽文档，包括英文母语者编写的文档字符串与注释。最先进的利用代码使用了非公开漏洞利用技术与防护绕过手段。”GTIG 研究人员表示。 部分利用代码复用了三角行动（Operation Triangulation） 中首次发现的漏洞，该行动于 2023 年 6 月由卡巴斯基曝光。该公司后续发现，这些利用代码滥用了苹果设备中未公开的硬件特性。 据 GTIG 研究人员介绍，Coruna 会对设备与系统版本进行指纹识别，然后选择对应的利用链执行。如果设备开启了锁定模式（Lockdown Mode） 反间谍保护或隐私浏览，该框架会停止运行。 适用于 iOS 15.8.5 的 Coruna 利用链（来源：谷歌） 投放 PlasmaGrid 恶意程序 GTIG 分析发现，Coruna 利用链成功后投放的最终载荷之一是名为 PlasmaLoader 的加载器，研究人员将其追踪为 PlasmaGrid，该恶意程序会注入到 iOS 根守护进程 powerd 中。 但该恶意程序并不具备典型间谍软件的功能。它会从 C2 服务器下载额外模块，针对 MetaMask、Phantom、Exodus、BitKeep、Uniswap 等加密货币钱包应用。 威胁组织使用虚假金融与加密货币相关网站投递漏洞套件，诱导访客使用 iOS 设备访问页面。 目标数据包括钱包助记词（BIP39）、“备份助记词”“银行账户” 等敏感字符串，以及存储在苹果备忘录中的数据。 窃取的数据会使用 AES 加密后外传，发送到硬编码的 C2 地址。为提高抗关停能力，该后门还包含以字符串 “lazarus” 为种子的域名生成算法（DGA），生成 .xyz 域名。 GTIG 无法确定 Coruna 如何从服务于监控厂商的间谍活动，流向针对加密货币用户的牟利型恶意活动。 GTIG 在报告中指出：“扩散途径尚不明确，但表明存在活跃的‘二手’0day 漏洞交易市场。” 监控厂商对 Coruna 这类漏洞套件实施严格权限管控，用于为政府客户提供高度定向行动的产品中。苹果一贯表示，此类安全漏洞仅被用于针对高价值目标的有限攻击。 移动安全公司 iVerify 表示，Coruna 是迄今为止最典型的案例之一，证明 “高级间谍软件级能力” 从商业监控厂商流向国家级攻击者，并最终落入大规模犯罪活动手中。 这印证了 iVerify 长期以来的观点：移动威胁格局正在快速演变，“曾经仅用于针对国家元首的工具，现在正被用于攻击普通 iPhone 用户。” 谷歌已将分析 Coruna 时识别的所有网站与域名加入安全浏览名单，并建议 iOS 用户升级到最新版本。若无法更新，建议开启锁定模式（Lockdown Mode）。 除了 Coruna 漏洞套件包含的漏洞及其代号外，GTIG 报告还提供了后门与相关模块的失陷指标（IOC），以及攻击基础设施信息。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Step Finance 发布公告称，因公司高管团队设备遭黑客入侵，平台损失价值 4000 万美元的数字资产。 该平台于1月31日检测到此次入侵，并联系了网络安全研究人员，后者帮助其追回了部分被盗资产。 Step Finance是一个构建于Solana区块链上的去中心化金融（DeFi）平台和分析工具，允许用户可视化展示、跟踪、分析并管理自身加密资产及持仓情况。 该平台被视为最活跃且使用最广泛的Solana仪表板之一，还可通过自身界面支持交易执行、代币兑换、质押及其他去中心化金融操作。平台同时发行自有代币 $STEP，该代币交易量相对有限。 1 月 31 日，Step Finance 发布公告称，平台多个金库钱包遭入侵，威胁行为者利用了某一 “已知攻击载体” 实施攻击。 Step Finance 在初始声明中表示：“今日早些时候（亚太时段），我方多个金库钱包遭一名技术老练的攻击者入侵。” 该平台已向有关部门报备，并与网络安全专业团队紧密协作，快速制定漏洞修复及风险补救措施。 区块链分析机构 CertiK 当时通报，被盗资产折合 261854 枚 SOL 代币，价值约 2890 万美元，但 Step Finance 经调查确认，本次损失总额约为 4000 万美元。 得益于Token22保护机制和合作伙伴的协调，目前已追回价值约 370 万美元的 Remora 相关资产及 100 万美元的其他持仓。 受此次事件影响，平台已暂停部分业务，全力推进安全防护加固工作。Step Finance 指出，其旗下子平台 Remora Markets 未受此次事件波及，且所有 rToken 代币仍保持 1:1 全额储备。 平台建议用户在调查结束前，暂停所有 $STEP 代币相关操作。平台将对漏洞攻击前的系统状态进行快照留存，针对 $STEP 代币持有者的解决方案目前正在推进中。 Step Finance 未披露攻击细节及攻击者身份，这引发了外界对该事件可能是 “卷款跑路” 或 “内鬼作案” 的猜测，相关质疑目前尚未得到妥善回应。 该平台 4000 万美元的损失数额虽触目惊心，但仅占 1 月全球加密资产失窃总金额的约十分之一。CertiK 本周早些时候发布的数据显示，今年 1 月全球加密资产失窃总金额达 3.98 亿美元，其中仅约 436.6 万美元被追回。 2025 年全年共发生 147 起已确认的加密领域黑客攻击事件，总损失近 28.7 亿美元；而历史损失最高年份仍为 2022 年，当年 179 起成功攻击造成的损失达 37.1 亿美元。 消息来源:bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲执法当局逮捕了5名嫌疑人，他们涉嫌参与一项“精心策划”的在线投资诈骗计划，从法国、德国、意大利和西班牙的100多名受害者那里窃取了超过1亿欧元（约合1.18亿美元）。 据欧洲司法合作署称，此次协调行动在西班牙和葡萄牙的五个地点以及意大利、罗马尼亚和保加利亚进行了搜查。与网络犯罪团伙相关的银行账户和其他金融资产被冻结。 该行动的主要实施者被指控通过运营一个在线投资平台多年，进行大规模诈骗和洗钱，通过承诺在各种加密货币投资中获得高额回报，诱骗毫无戒心的人交出资金。 一旦存款完成，资金就被转移到立陶宛的银行账户中进行洗钱。试图从该平台提取资产的受害者被要求支付额外费用，随后用于实施诈骗的网站消失了。 保加利亚、意大利、立陶宛、葡萄牙、罗马尼亚和西班牙的多个司法和执法机构参与了该诈骗计划的调查。 “这一诈骗至少自2018年以来一直在进行，涉及23个不同的国家，例如，作为转移诈骗所得的地区或受害者所在地。”欧洲司法合作署表示，该机构与欧洲刑警组织（Europol）的支持下协调了此次行动。 根据美国联邦贸易委员会（FTC）的数据，2024年美国人因诈骗损失创纪录的125亿美元，比前一年增加了25%，其中投资诈骗造成的损失最高，达到57亿美元，高于2023年的46亿美元和2022年的38亿美元。 “大多数（79%）报告投资相关诈骗的人损失了金钱，中位数损失超过9000美元，”联邦贸易委员会表示。“与在线开始的诈骗相比，人们因更‘传统’的联系方式（如电话、短信或电子邮件）而损失了大约19亿美元。” 这一披露正值区块链分析公司Chainalysis透露，2025年9月2日，一名Venus协议用户成为社会工程学攻击的目标，以及如何通过早期检测和迅速行动，使被盗资金约1300万美元得以恢复。 “攻击源于社会工程学：恶意行为者利用受损的Zoom客户端获得系统访问权限，”Chainalysis表示。 “在渗透受害者的机器后，攻击者操纵用户提交了一笔区块链交易，从而获得了该账户的委托人身份。这使他们能够代表受害者借入和赎回资产，有效地耗尽了资金。” 区块链分析公司表示，Venus在恶意交易发生后的20分钟内暂停了其协议，有效地阻止了攻击者进一步转移资金。在接下来的12小时内，Venus强制清算攻击者的钱包，追回了被盗资金，并恢复了全面服务。 “Venus通过治理提案冻结了攻击者仍然控制的300万美元资产，”Chainalysis指出。“攻击者不仅没有获利；他们实际上还因社区果断行动而损失了300万美元。” 欧洲司法合作署的打击行动也与首尔大都会警察厅（SMPA）本月早些时候采取的类似行动相呼应，该行动破坏了一个网络犯罪行动，估计从258名高调受害者那里窃取了约3000万美元，包括企业高管。 “这一行动非常复杂：在成功黑客攻击受害者的个人信息并窃取资金后，犯罪分子会冒充机构员工，接近受害者的家人以收集更多个人信息，为额外的盗窃行为做准备，”Chainalysis指出。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正滥用Meta的广告平台，通过虚假的“免费TradingView Premium应用”优惠来传播针对Android设备的Brokewell恶意软件。 该活动以加密货币资产为目标，自至少7月22日起通过大约75条本地化广告持续进行。 Brokewell恶意软件在2024年初就已出现，其功能广泛，包括窃取敏感数据、远程监控和控制受感染的设备。 接管设备 网络安全公司Bitdefender的研究人员调查了该活动中的广告，这些广告使用了TradingView的品牌标识和视觉元素，以“免费高级版应用”的承诺诱骗潜在受害者。 他们指出，该活动专门针对移动用户设计，如果从其他操作系统访问广告，只会看到无害内容。 然而，从Android设备点击广告，会被重定向到一个模仿原始TradingView网站的页面，该页面提供了一个托管在tradiwiw[.]online/的恶意tw-update.apk文件。 “被投放的应用会请求无障碍权限，一旦获得权限，屏幕就会被一个假的更新提示覆盖。在后台，该应用正在授予自身所有需要的权限。”研究人员在本周的一份报告中表示。 此外，该恶意应用还通过模拟需要锁屏密码的Android更新请求，试图获取设备的解锁PIN码。 据Bitdefender称，这个假的TradingView应用是“Brokewell恶意软件的一个高级版本”，拥有“庞大的工具库，旨在监控、控制和窃取敏感信息”： 扫描BTC、ETH、USDT、银行账号（IBANs） 窃取并导出Google Authenticator中的代码（绕过双因素认证） 通过覆盖虚假登录界面来窃取账户 录制屏幕和键盘输入、窃取Cookie、激活摄像头和麦克风并跟踪位置 劫持默认短信应用以拦截消息，包括银行和双因素认证代码 远程控制 – 可通过Tor或Websocket接收命令来发送短信、拨打电话、卸载应用甚至自毁。 研究人员提供了该恶意软件工作原理的技术概述，以及一份包含130多个命令的扩展列表。 Bitdefender表示，此活动是一个更大规模操作的一部分，该操作最初使用冒充“数十个知名品牌”的Facebook广告来针对Windows用户。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多家加密货币公司联合行动，成功阻止了通过“浪漫诱骗”诈骗手段窃取的近5000万美元资金落入犯罪分子手中。 区块链分析公司Chainalysis表示，其与加密货币交易所Binance、OKX以及稳定币公司Tether合作，查封了这笔资金。Chainalysis利用其调查工具，识别出与东南亚某“浪漫诱骗”组织相关的数个地址。 这类骗局通常结合情感欺骗和投资欺诈：诈骗者在约会网站上寻找目标人群，通过建立信任进行“情感培养”，随后说服受害者参与某种虚假的投资骗局。 Chainalysis识别出诈骗者用于接收来自数百个受害者钱包付款的五个钱包——其中一些钱包在2022年11月至2023年7月期间发送了超过100万美元。 Chainalysis解释称：“资金转移后，诈骗者将所得收益发送至一个归集钱包，该钱包又将4690万美元的USDT（Tether）转移到三个中间地址。随后，这些资金又流向了五个不同的钱包。” Tether随后将调查结果分享给一家亚太地区的执法机构，并应其要求于2024年6月冻结了资金。目前尚不清楚为何时隔较久才公开此次行动。 Tether首席执行官Paolo Ardoino告诉Chainalysis：“与以太币和比特币等其他加密货币不同，Tether拥有冻结已知非法资金的技术能力。我们致力于与全球执法机构合作，冻结与‘杀猪盘’诈骗及各种非法活动相关的资金，最终目标是为受害者挽回损失。” 然而，这并非首次此类行动。2023年11月，Tether和OKX曾宣布与美国司法部（DOJ）合作，冻结了约2.25亿美元的USDT，这些资金与东南亚一个涉及浪漫骗局的国际人口贩卖集团有关。 “浪漫诱骗”呈上升趋势 “浪漫诱骗”正成为网络犯罪分子日益猖獗的牟利手段。Chainalysis二月份的一份报告显示，2024年与此相关的损失同比增长了40%，占加密货币诈骗总金额的三分之一。 报告还指出，2024年，“浪漫诱骗”诈骗者接收的存款数量同比增长了210%，表明受害者数量在不断增长。 今年三月，美国当局和区块链分析公司TRM Labs宣布，他们已查封了正准备流向“浪漫诱骗”诈骗者的820万美元资金。 此类犯罪通常由东南亚大型诈骗园区内遭受人口贩卖、失去自由的人员实施。根据Chainalysis的说法，Huione Guarantee等在线市场也为这种犯罪提供了便利，该市场自2021年以来已处理了超过490亿美元的加密货币交易。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文