HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大零售巨头 Canadian Tire 2025 年 10 月发生的数据泄露事件影响超过 3800 万个账户。 该公司表示，事件于 10 月 2 日被发现，涉及对电商数据库的未授权访问。 该零售巨头 10 月宣布：“该数据库包含在 Canadian Tire、SportChek、Mark’s/L’Équipeur 和 Party City 中一个或多个平台拥有电商账户的客户的基本个人信息。” Canadian Tire 当时称，泄露信息包括姓名、电子邮箱、出生日期、加密密码，部分账户还涉及不完整的信用卡号码。 该公司表示，仅有不到 15 万个账户的出生日期信息泄露。 Canadian Tire 还强调，泄露的密码和信用卡信息无法用于登录用户账户或进行欺诈交易与购物，且 Canadian Tire 银行信息及 Triangle Rewards 会员数据未受影响。 本周，与该事件相关的数据集已被添加到数据泄露通知网站 Have I Been Pwned。 据该网站显示，此次攻击约有 4200 万条记录泄露，其中包括 3830 万个电子邮箱地址。 除 Canadian Tire 公布的信息外，泄露数据还包括地址、电话号码和性别信息。 Have I Been Pwned 指出：“密码以 PBKDF2 哈希形式存储，部分记录还包含出生日期和部分信用卡数据（卡类型、有效期、掩码卡号）。” Canadian Tire 已通过电子邮件通知受影响用户，但尚未公开确认受影响人数。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大组织已成为一个名为STAC6565的威胁活动集群策划的针对性网络攻击行动的焦点。 网络安全公司Sophos表示，其在2024年2月至2025年8月期间调查了与该威胁行为者相关的近40起入侵事件。该攻击行动被高度确信与一个名为Gold Blade的黑客组织存在重叠，该组织也被追踪为Earth Kapre、RedCurl和Red Wolf。 这个出于经济动机的威胁行为者据信自2018年底开始活跃，最初针对俄罗斯的实体，随后将其目标扩展到加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国的实体。该组织有使用网络钓鱼邮件进行商业间谍活动的历史。 然而，最近的攻击浪潮发现RedCurl参与了使用一种名为QWCrypt的定制恶意软件家族进行的勒索软件攻击。该威胁行为者武器库中的一个显著工具是RedLoader，它将被感染主机的信息发送到命令与控制服务器，并执行PowerShell脚本来收集与受攻击的Active Directory环境相关的详细信息。 Sophos研究员Morgan Demboski表示：“这次攻击行动反映了该组织异常狭窄的地理关注点，近80%的攻击针对加拿大组织。曾经主要专注于网络间谍活动的Gold Blade，已将其活动演变为混合操作，通过一个名为QWCrypt的自定义加密程序，将数据盗窃与有选择的勒索软件部署结合起来。” 其他主要目标包括美国、澳大利亚和英国，在此期间，服务、制造、零售、技术、非政府组织和交通行业受到的影响最为严重。 据悉，该组织以“黑客雇佣兵”模式运作，代表客户进行定制化入侵，同时附带部署勒索软件以从入侵中获利。尽管Group-IB在2020年的一份报告提出了该组织可能是俄语组织的可能性，但目前没有迹象可以证实或否认这一评估。 Sophos将RedCurl描述为一个“专业化的行动”，称该威胁行为者因其完善和发展其攻击手法以及发起隐蔽勒索攻击的能力而与其他网络犯罪集团不同。也就是说，没有证据表明它是国家资助或有政治动机的。 该网络安全公司还指出，其行动节奏以一段时间的无活动为标志，随后是使用改进战术的突然攻击激增，这表明该黑客组织可能正在利用停工期来更新其工具集。 STAC6565始于针对人力资源人员的鱼叉式网络钓鱼电子邮件，诱骗他们打开伪装成简历或求职信的恶意文档。至少从2024年11月起，该活动就利用Indeed、JazzHR和ADP WorkforceNow等合法求职平台上传武器化的简历，作为求职申请过程的一部分。 Demboski解释说：“由于招聘平台使人力资源人员能够查看所有收到的简历，将有效载荷托管在这些平台上并通过一次性电子邮件域发送，不仅增加了文档被打开的可能性，而且还逃避了基于电子邮件的保护措施的检测。” 在一个事件中，发现上传到Indeed的一份虚假简历会将用户重定向到一个设有陷阱的URL，最终通过RedLoader链导致部署QWCrypt勒索软件。在2024年9月、2025年3月/4月和2025年7月，至少观察到了三种不同的RedLoader投递序列。投递链的某些方面此前已由Huntress、eSentire和Bitdefender详细描述过。 2025年7月观察到的主要变化涉及使用由虚假简历投放的ZIP存档。存档中存在一个冒充PDF的Windows快捷方式文件。该LNK文件使用“rundll32.exe”从托管在Cloudflare Workers域名后的WebDAV服务器获取重命名版本的“ADNotificationManager.exe”。 然后，攻击启动合法的Adobe可执行文件，从同一WebDAV路径侧加载RedLoader DLL。该DLL继续连接到外部服务器以下载并执行第二阶段有效载荷，这是一个独立的二进制文件，负责连接到不同的服务器，并检索第三阶段独立可执行文件以及一个恶意的DAT文件和一个重命名的7-Zip文件。 两个阶段都依赖微软的程序兼容性助手来执行有效载荷，这种方法在以前的攻击活动中也出现过。唯一的区别是，有效载荷的格式在2025年4月转变为EXE文件，而不是DLL文件。 Sophos表示：“该有效载荷解析恶意的.dat文件并检查互联网连接。然后它连接到另一个攻击者控制的C2服务器，创建并运行一个自动化系统发现的.bat脚本。该脚本解压Sysinternals AD Explorer并运行命令以收集主机信息、磁盘、进程和已安装的防病毒产品等详细信息。” 执行结果被打包成一个加密的、受密码保护的7-Zip存档，并传输到攻击者控制的WebDAV服务器。还观察到RedCurl使用开源反向代理RPivot和Chisel SOCKS5进行C2通信。 攻击中使用的另一个工具是Terminator工具的定制版本，该工具利用签名的Zemana AntiMalware驱动程序，通过所谓的自带易受攻击驱动程序攻击来结束与防病毒相关的进程。至少在2025年4月的一个案例中，威胁行为者在通过SMB共享将其分发到受害者环境中的所有服务器之前，对这两个组件都进行了重命名。 Sophos还指出，大多数这些攻击在安装QWCrypt之前就被检测到并得以缓解。然而，其中三起攻击——一起在4月，两起在2025年7月——导致了成功的部署。 它补充道：“在4月的事件中，威胁行为者手动浏览并收集了敏感文件，然后暂停活动超过五天，才部署加密程序。这种延迟可能表明攻击者在试图将数据货币化或未能找到买家后转向了勒索软件。” QWCrypt部署脚本针对目标环境进行了定制，通常在文件名中包含特定于受害者的ID。该脚本一旦启动，会检查Terminator服务是否正在运行，然后采取措施禁用恢复功能，并在网络中的终端设备（包括组织的虚拟机管理程序）上执行勒索软件。 在最后阶段，该脚本运行一个清理批处理脚本，删除现有的卷影副本和每个PowerShell控制台历史文件，以阻碍取证恢复。 Sophos表示：“Gold Blade对招聘平台的滥用、休眠与爆发的周期循环以及对投递方法的持续完善，展示了一种通常不与经济动机行为者相关的操作成熟度。该组织维护着一个全面且组织良好的攻击工具包，包括开源工具的修改版本和自定义二进制文件，以促进多阶段恶意软件投递链。” 此次披露之际，Huntress表示，它注意到针对虚拟机管理程序的勒索软件攻击大幅激增，从今年上半年的3%跃升至下半年迄今为止的25%，这主要是由Akira组织推动的。 研究人员Anna Pham、Ben Bernstein和Dray Agha写道：“勒索软件操作者直接通过虚拟机管理程序部署勒索软件有效载荷，完全绕过了传统的终端保护。在某些情况下，攻击者利用OpenSSL等内置工具对虚拟机卷进行加密，避免了上传自定义勒索软件二进制文件的需要。这种转变突显了一个日益增长且令人不安的趋势：攻击者正在瞄准控制所有主机的基础设施，并且通过访问虚拟机管理程序，对手极大地放大了其入侵的影响。” 鉴于威胁行为者对虚拟机管理程序的关注度提高，建议使用本地ESXi账户，实施多因素身份验证，执行强密码策略，将虚拟机管理程序的管理网络与生产和普通用户网络隔离，部署跳板机以审核管理员访问权限，限制对控制平面的访问，并将ESXi管理接口访问限制在特定的管理设备上。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心近日披露，黑客活动分子已多次入侵该国关键基础设施系统，对一家水处理设施、一家石油天然气公司及一家农业企业的工业控制系统进行了篡改。 加拿大网络中心发布此次警报，旨在警示新的网络威胁，并为受影响组织提供检测、缓解措施及支持。这些攻击已引发误报警报、运营中断，并可能导致受影响系统出现危险状况。 “近几周来，网络中心和加拿大皇家骑警已收到多起涉及可通过互联网访问的工业控制系统的事件报告，”加拿大网络安全中心发布的警报称，”其中一起事件影响了一家水处理设施，攻击者篡改了水压数值，导致该社区服务品质下降。另一起事件涉及一家加拿大石油天然气公司，其自动储罐测量系统遭操纵，触发误报警报。第三起事件则涉及加拿大某农场的谷物干燥仓，其温湿度参数被篡改，若未能及时发现将可能导致不安全状况。” 黑客活动分子通过利用暴露在互联网上的工业控制系统设备来吸引关注、诋毁组织声誉并损害加拿大国家形象。攻击者旨在入侵可编程逻辑控制器、监控与数据采集系统、楼宇管理系统及工业物联网系统，从而对公共安全构成威胁。 加拿大网络机构指出，职责不清与协调不力往往导致关键系统暴露于风险之中。政府、市政机构及各组织必须明确责任划分、紧密协作，并加强所有服务的安全防护，特别是在水务、食品和制造等缺乏网络安全监管的领域。 每个组织都应维护一份可通过互联网访问的工业控制系统设备的最新清单，以虚拟专用网络和双因素认证替代直接暴露在公网的服务，并应用网络中心的”就绪目标”以强化防御。当无法避免服务暴露时，团队应部署入侵防御系统、定期进行渗透测试，并持续管理漏洞。市政和企业领导应直接与供应商合作，确保所有系统的安全部署、维护及退役。关键基础设施组织应定期开展桌面推演，以优化协调机制并提升事件响应能力。若发现可疑活动，各组织应及时向网络中心或加拿大皇家骑警报告，以支持加拿大全国范围内的网络韧性建设。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过接管多个机场的公共广播系统（PA 系统）、航班信息显示屏及公共播报系统，造成了严重混乱。 据官员及新闻报道，周二（事件发生日），黑客入侵了四座机场的公共广播系统 ，其中三座位于加拿大，一座位于美国，并播放吹捧哈马斯、批评唐纳德・特朗普的内容。 加拿大不列颠哥伦比亚省基洛纳国际机场的 “广告流媒体服务” 曾 “短暂遭入侵，未授权内容被播放”，加拿大皇家骑警（基洛纳分部）证实了该情况。 加拿大皇家骑警表示，正联合其他机构对此次黑客入侵事件展开调查，暂不提供更多细节。 不列颠哥伦比亚省维多利亚国际机场的发言人称，黑客曾在机场公共广播系统中播放外语内容及音乐。 该发言人称，黑客通过入侵第三方软件获取了公共广播系统的控制权，机场随后切换至内部系统才重新夺回控制权。 加拿大网络安全中心正协助该机场及加拿大皇家骑警开展调查。 美国运输部长肖恩・达菲周三在社交媒体发文称，黑客以类似方式入侵了美国宾夕法尼亚州哈里斯堡国际机场的公共广播系统。 他表示，美国联邦航空管理局（FAA）及机场官员正对此入侵事件进行调查。 截至目前，美国联邦航空管理局尚未回应置评请求。 安大略省温莎国际机场官员透露，周二晚间，黑客同样入侵了该机场的航班信息显示屏及公共广播系统，并播放 “未授权图像及播报内容”。 该机场在声明中称，此次入侵针对的是机场使用的 “某云基软件供应商”，“后续系统已迅速恢复正常”。 上述四座机场均为小型支线机场。2024 年，其中客流量最大的基洛纳国际机场旅客吞吐量仅略超 200 万人次；而不列颠哥伦比亚省最大机场 —— 温哥华国际机场的年旅客吞吐量则超过 2500 万人次。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据悉，加拿大皇家骑警已关停加密货币交易所 TradeOgre，并查获逾 4000 万美元据信源自犯罪活动的加密资产。这是加拿大执法部门首次取缔加密货币交易所，同时也是该国历史上规模最大的资产扣押行动。 TradeOgre 是一家小型交易平台，主打用户隐私保护，除交易小众山寨币外，还涉及难以追踪的门罗币（一种加密货币）交易。 该平台此前因允许用户无需通过 “了解你的客户”（KYC）政策完成身份验证而闻名，且一直未遵守加拿大相关法律法规。 非法加密货币平台 加拿大洗钱调查小组（MLIT），在接到欧洲刑警组织的线索后，于 2024 年 6 月启动了对 TradeOgre 运营活动的调查。 7 月底，该平台突然停止运营，运营方未发布任何通知，这引发部分用户猜测其可能存在 “跑路诈骗”的行为。 不过，执法部门向科技媒体 BleepingComputer 证实，当时是警方为推进此次执法行动而关停了该网站。 加拿大皇家骑警表示，该平台属非法运营，原因是 “其未以货币服务企业身份在加拿大金融交易与报告分析中心（FINTRAC）注册，且未对客户进行身份识别”。 由于用户注册账户时无需提供身份证明，调查人员认为，网络犯罪分子可能利用 TradeOgre 进行洗钱活动。 该平台部分用户对此作出回应，称并非所有用户都是犯罪分子。例如，加密货币钱包 MetaMask 的泰勒・莫纳汉就坦言，她和朋友们一直在使用 TradeOgre。 莫纳汉表示：“非常期待看到相关证据，也希望你们（执法部门）能为所有在未获通知、未经正当程序的情况下被你们‘夺走’资金的无辜者提供追索途径。” 加拿大皇家骑警在给 BleepingComputer 的声明中称，无法 “确认所有被扣押的加密货币均源自非法交易”。 加拿大皇家骑警表示：“对于特定类型的犯罪活动（如勒索款项支付）是否通过该平台进行，我们无法置评；同时，也无法提供可能利用该平台洗钱的犯罪资金来源相关细节。” 尽管如此，BleepingComputer 获悉，据称由于该平台具备匿名性且支持门罗币交易，它被用于转移网络犯罪所得。 加拿大皇家骑警指出，对于 TradeOgre 的非犯罪用户，“若加拿大皇家骑警决定申请没收相关加密货币，这些用户可通过加拿大法院体系寻求追索”。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

近期，加拿大政府超 194万数据遭泄露，其中涉及多项用户个人隐私信息。 据知道创宇暗网雷达监测，近期，加拿大政府数据遭泄露。 其中，泄露的样本数据包括：客户端名称&ID、客户端PIN、客户端最后连接时间、客户电话号码、客户所属组织名称、客户端链接、性别、出生日期等。 黑客发布的暗网信息截图 知道创宇网雷达信息截图 样本信息截图 目前，该数据售价2000美元。 据了解，2023年10月，加拿大政府两家承包商因遭受LockBit勒索软件攻击，导致数量不明的政府雇员敏感信息泄露。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

不久前，加拿大政府以能够帮助犯罪分子盗车为由，禁止境内禁售黑客工具 Flipper Zero 和类似设备。近日，Flipper Zero 制造商对禁令做出了回应，表示设备被错误地指控可以为汽车盗窃提供便利。 加拿大拟禁止 Flipper Zero 2024 年 2 月初，加拿大工业部长 François-Philippe Champagne 宣布了一项禁止进口 “黑客设备 “Flipper Zero的提案。据悉，理由是犯罪分子能够利用这些设备盗窃汽车。 Flipper Zero 是一款便携式可编程测试工具，可帮助通过多种协议(包括RFID、无线电、NFC、红外和蓝牙)试验和调试各种硬件和数字设备，获得了不少极客和黑客的青睐。 加拿大当局发布了统计数据，显示境内的汽车盗窃案正在呈上升趋势，达到了每年 9 万多起，加拿大立法者认为这与 Flipper Zero 和类似黑客工具的可用性有关。 随后，Flipper Devices 制造商做出回应，指出加拿大政府的指责显然缺乏依据，Flipper Zero 无法窃取使用无钥匙进入系统的汽车。在一篇新的博客文章中，Flipper Devices 公司还表示加拿大政府的禁令通常由那些并不真正了解安全工作原理的人提出的，不仅不能解决汽车盗窃问题，还会延缓技术进步。 此外，Flipper Devices 公司进一步表示，汽车盗窃需要价格在 5000 美元到 15000 美元之间的信号中继器，这些都可以随时在网上买到。 用于汽车盗窃的中继器 偷车贼使用中继器设备接近车主的前门，将遥控钥匙的被动信号重新传输给站在车附近的同伙，车辆就会解锁。 攻击过程 中继器设备中具有多个无线电模块和数瓦特功率，可以帮助偷车贼盗取车辆。然而，Flipper Zero 仅仅依靠单个无线电模块，功率被限制在 10 毫瓦以内，它的功率严重不足，很难应用于汽车盗窃。Flipper Devices 方面还提到，盗车时需要“隔墙”向钥匙扣传输信号，窃贼需要巨大的天线和功能强大的中继器，从以往有视频记录的汽车盗窃案件来看，窃贼都背了一个装有盗窃设备的巨大背包。 Flipper Zero 运营商还批评了加拿大政府的禁令具有高度“选择性”。Flipper Zero 使用的内部电子设备已经被许多其他设备广泛使用了很多年。 内部组件 最后，Flipper Zero 团队呼吁安全研究和部分社区提供支持，希望用户签署请愿书，反对禁止 Flipper Zero 和类似设备。该设备的加拿大粉丝还创建了 “拯救 Flipper “网站，以提高人们的意识，敦促公民联系他们的议会代表，要求他们反对拟议的措施。   转自Freebuf，原文链接：https://www.freebuf.com/news/395475.html 封面来源于网络，如有侵权请联系删除

网络钓鱼即服务（PhaaS）平台 “LabHost “一直在帮助网络犯罪分子攻击北美银行，尤其是加拿大的金融机构，近日的攻击活动明显增加。 PhaaS 平台向网络犯罪分子提供整套网络钓鱼工具、托管网页的基础设施、电子邮件内容生成和活动概述服务，可按月订购。 LabHost 并不是一家新的提供商，但在 2023 年上半年为加拿大银行推出定制网络钓鱼工具包后，其受欢迎程度急剧上升。 Fortra 在跟踪网络犯罪分子的活动后报告说，LabHost 已经超越了之前的 PhaaS 平台 Frappo，LabHost 现在成为了针对加拿大银行客户的大多数网络钓鱼攻击背后“助力”。 虽然 LabHost 在 2023 年 10 月初曾出现过一次破坏性的中断，但目前它的各项服务已恢复正常，每月都会协助网络网络犯罪分子发起数百次攻击。 观测到的 PhaaS 活动（Fortra） 两周前，ortra 首次在其博客上发布了一篇文章，提醒人们注意新出现的威胁，但昨天又增加了有关 LabHost 及其内部运作的更多细节，据推测，这是在他们用自己的账户潜入该公司后发布的。 LabHost内部情况 LabHost 提供三个会员等级，分别为： 标准（179 美元/月） 高级（249 美元/月） 世界（300 美元/月） 第一个级别主要针对加拿大银行，第二个级别包括美国银行，第三个级别针对除北美以外的全球 70 家机构。 除了针对银行的钓鱼工具包，这些模板还包括针对 Spotify 等在线服务、DHL 等邮政快递服务以及地区电信服务提供商的钓鱼网页。购买了 LabHost 面板访问权限的网络犯罪分子可获得多个安装选项定制攻击。 网络钓鱼定制选项 LabHost 通过将网络钓鱼过程与实时网络钓鱼管理工具 “LabRat “相连接，使攻击者能够窃取目标账户的 2FA 保护。 Fortra 解释称，LabHost提供的所有诈骗工具包都与名为LabRat的实时活动管理工具一同运行。LabRat 允许网络钓鱼者控制和监控他们的主动攻击，这种功能在中间人攻击中被用来获取双因素验证码、验证有效凭证和绕过其他安全检查。 用于实施攻击的 LabRat 工具 LabHost 在 10 月中断后重新开始运营时，还推出了一种名为 “LabSend “的新短信垃圾邮件发送工具，该工具在短信中嵌入了指向 LabHost 钓鱼页面的链接。 Fortra的报告提到，LabSend工具可以在多个SID之间协调自动钓鱼活动，随机化短信的部分内容，以躲避编入目录的恶意垃圾短信的检测。在发送短信诱饵后，LabSend 还能够使用可定制的信息模板自动回复受害者的消息。 在 Telegram 上推广 LabSend 新功能 网络钓鱼即服务（Phishing-as-a-Service）平台能够协助初级黑客更便捷地接触网络犯罪，这大大增加了威胁行为者的数量，导致网络安全事件加剧。 除了LabHost外，研究人员还警告大家警惕 “Greatness “和 “Robin Banks” 两大PhaaS 平台，这两个平台都是在 2022 年中期推出的，其特点是绕过 MFA、定制网络钓鱼工具包和管理面板。   转自Freebuf，原文链接：https://www.freebuf.com/news/392751.html 封面来源于网络，如有侵权请联系删除