黑客利用新型 QuirkyLoader 恶意软件传播 Agent Tesla、AsyncRAT 与 Snake Keylogger
HackerNews 编译,转载请注明出处: 网络安全研究人员披露新型恶意软件加载器QuirkyLoader的运作细节。该工具自2024年11月起被用于垃圾邮件攻击,通过邮件分发从信息窃取程序到远程访问木马等多种恶意载荷。 恶意载荷分发与攻击手法 传播渠道:攻击者混合使用合法邮件服务商及自建邮件服务器发送垃圾邮件。 载荷类型:通过QuirkyLoader分发的恶意软件包括Agent Tesla、AsyncRAT、Formbook、Masslogger、Remcos RAT、Rhadamanthys窃取程序及Snake键盘记录器。 技术核心:邮件附带恶意压缩包,内含三个文件——合法可执行程序、恶意DLL文件及加密载荷。攻击采用DLL侧加载技术:运行合法程序时同步加载恶意DLL,该DLL随后解密载荷并通过进程镂空技术将其注入以下任一进程: AddInProcess32.exe、InstallUtil.exe或aspnet_wp.exe。 针对性攻击活动 IBM X-Force观察到近期两起攻击活动: 1、中国台湾定向攻击(2025年7月) 针对网络安全公司Nusoft Taiwan(新北市)员工,旨在部署Snake键盘记录器窃取浏览器敏感数据、键盘输入及剪贴板内容。 2、墨西哥无差别攻击(2025年7月) 随机分发载荷,主要投放Remcos RAT与AsyncRAT远程控制木马。 技术特征与规避手段 开发语言:攻击者持续使用.NET语言编写DLL加载模块。 编译技术:采用预编译(AOT)技术将代码转为原生机器码,使二进制文件呈现类似C/C++程序的静态特征,增加分析难度。 攻击规模:过去数月活动有限,但近期攻击频率显著上升。 关联威胁趋势 1、二维码钓鱼(Quishing)演进 攻击者采用新型规避技术:将恶意二维码分裂为两部分,或将其嵌入合法二维码中。此类攻击通过钓鱼工具包(如Gabagool和Tycoon)传播,可绕过传统安全检测。 2、PoisonSeed钓鱼工具包 攻击者利用该工具包窃取凭证及双因素认证(2FA)代码,通过劫持账户发起加密货币诈骗。其钓鱼域名仿冒Google、SendGrid、Mailchimp等知名服务,并采用精准验证钓鱼技术:后台实时验证邮箱有效性,同时向用户展示伪造的Cloudflare验证页面,通过验证后呈现仿冒登录表单窃取凭证。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
最新研究发现:超半数垃圾邮件出自 AI 之手
HackerNews 编译,转载请注明出处: 根据Barracuda与哥伦比亚大学、芝加哥大学研究人员合作进行的一项研究,目前有超过半数(51%)的恶意和垃圾邮件是使用AI工具生成的。 该研究团队分析了Barracuda在2022年2月至2025年4月期间检测到的垃圾邮件数据集。他们使用训练有素的检测器,自动识别恶意或未经请求的电子邮件是否由AI生成。 该过程发现,从2022年11月到2024年初,由AI生成的垃圾邮件比例呈稳步上升趋势。2022年11月,全球首个公开可用的大型语言模型(LLM)ChatGPT正式发布。 2024年3月,AI生成的诈骗邮件比例出现大幅激增。此后该比例出现波动,最终在2025年4月达到峰值51%。 哥伦比亚大学电气工程与计算机科学副教授阿萨夫·西顿(Asaf Cidon)在接受采访时表示,目前尚无法确定这一突然激增的明确原因。他解释道:“很难确切知道原因,但这可能由多种因素导致:例如,攻击者使用了新发布的AI模型,或者攻击者发送的垃圾邮件类型发生了变化,从而提高了AI生成邮件的比例。” 研究人员还观察到,在商业邮件诈骗(BEC)中,AI生成内容的使用比例增长要缓慢得多,在2025年4月仅占所有尝试的14%。这很可能是因为此类攻击(即冒充组织中特定高管要求电汇或金融交易)的精准性要求较高,而AI目前在这方面的效果可能还不够理想。 然而,西顿预计,随着AI技术的进步,它在BEC诈骗尝试中的使用比例将会上升。“特别是考虑到近期非常有效且廉价的语音克隆模型兴起,我们认为攻击者会将深度伪造语音融入BEC攻击中,以便更好地冒充特定人物,例如CEO。”他说道。 研究人员发现,攻击者使用AI主要有两个原因:规避邮件检测系统,以及让恶意信息对收件人显得更可信。 分析显示,与人工撰写的邮件相比,AI生成的邮件通常行文更正式、语法错误更少、语言复杂度更高。这使得它们更有可能绕过检测,并且在收件人看来显得更专业。研究人员在6月18日发布的报告中指出:“当攻击者的母语与其目标不同时,这点尤其有帮助。在Barracuda的数据集中,大多数收件人位于广泛使用英语的国家。” 研究人员还观察到攻击者使用AI测试不同的措辞变体,以找出哪些能更有效地绕过防御。他们表示,这个过程类似于传统营销中的A/B测试。 研究发现,在传达紧迫感方面,LLM生成的邮件与人工生成的邮件并无显著差异。紧迫感是网络钓鱼攻击中的常见策略,旨在迫使收件人快速做出情绪化反应。这表明,AI主要用于提高邮件的渗透率和可信度,而非促成策略的改变。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
推特色情机器人账号泛滥,马斯克的“治推谋略”何在?
据BleepingComputer消息,推特虚假机器人账户泛滥的问题不仅还未得到解决,其中传播色情信息的机器人账户近期反而严重泛滥。 在安全研究小组MalwareHunterTeam最近的一项调查研究中曝光了多个传播虚假消息的机器人账户,它们为真实用户发出的帖子进行大量点赞,其目的是吸引用户点击查看它们帐户的个人资料,利用其中的链接将用户引诱至色情内容网站。 MalwareHunterTeam 揭露的部分色情机器人账户 美国记者Chris Geidner表示,在自己的推文仅仅发布几分钟后,他就收到了来自色情机器人的回复。英国 IT 专业人士 Mikel Garcia发布了多个垃圾邮件机器人的屏幕截图,这些机器人通过发送私信推销各种虚假“诱惑”,包括一些意味不明的“兼职工作”。 来自垃圾邮件机器人的回复 来自机器人账户的私信 尽管马斯克在去年收购推特时曾表示“我们将击败垃圾机器人,否则就死定了!”,但目前该平台仍未实施任何有效的措施进行遏制,以至现在如同“打地鼠”一般,封禁一批,立马又会冒出另一批。 就在7月1日,马斯克表示将限制用户每天可以浏览的推文数量,并将对验证用户与非验证用户设定不同的浏览限额,以减少“极端程度的数据抓取”和“系统操纵”,目前尚不清楚这样做也是为了应对这些虚假机器人账户泛滥的问题。 马斯克在正式入主推特后不久,就推出了全新的Twitter Blue付费订阅服务,旨在功能和安全性上给用户给予更多支持和保障,但威胁行为者已多次滥用 Twitter Blue 验证帐户来推行加密诈骗,早已违背了该服务验证的初衷。 BleepingComputer评论道:“如果不实施简化流程来阻止虚假帐户和机器人,Twitter 现有的垃圾邮件问题将继续存在。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/370910.html 封面来源于网络,如有侵权请联系删除
以拉丁美洲为目标的银行木马盗取多达 90,000 份账户凭证
一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关,其目的是窃取凭证并提供其他有效载荷。 拉丁美洲网络安全公司 Metabase Q 的 Ocelot 团队在与黑客新闻分享的一份报告中表示,这项活动于 2022 年 8 月开始,目前正在进行中。 certutil 方法使 Mispadu 能够绕过各种安全软件的检测,并从超过 17,500 个独特的网站获取超过 90,000 个银行账户凭证,其中包括许多政府网站:智利 105 个,墨西哥 431 个,秘鲁 265 个。 Mispadu(又名 URSA)于 2019 年 11 月首次被 ESET记录,描述了其进行货币和凭据盗窃以及通过截屏和捕获击键充当后门的能力。 “他们的主要策略之一是破坏合法网站,搜索易受攻击的 WordPress 版本,将它们变成他们的命令和控制服务器,从那里传播恶意软件,过滤掉他们不想感染的国家,丢弃不同类型的基于被感染国家的恶意软件。”研究人员 Fernando García 和 Dan Regalado 说。 据说它还与其他针对该地区的银行木马有相似之处,例如Grandoreiro、Javali和Lampion。涉及Delphi 恶意软件的攻击链利用电子邮件消息敦促收件人打开虚假的逾期发票,从而触发多阶段感染过程。 如果受害者打开通过垃圾邮件发送的 HTML 附件,它会验证该文件是从桌面设备打开的,然后重定向到远程服务器以获取第一阶段的恶意软件。 RAR 或 ZIP 存档在启动时旨在利用流氓数字证书(一个是 Mispadu 恶意软件,另一个是 AutoIT 安装程序)通过滥用合法的 certutil 命令行实用程序来解码和执行木马。 Mispadu 能够收集受感染主机上安装的防病毒解决方案列表,从 Google Chrome 和 Microsoft Outlook 窃取凭据,并促进检索其他恶意软件。 这包括一个混淆的 Visual Basic Script dropper,用于从硬编码域下载另一个有效载荷,一个基于.NET 的远程访问工具,可以运行由参与者控制的服务器发出的命令,以及一个用 Rust 编写的加载器,再反过来,执行 PowerShell 加载程序以直接从内存运行文件。 更重要的是,该恶意软件利用恶意覆盖屏幕来获取与在线银行门户和其他敏感信息相关的凭据。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/XWi07oilpA2ind0tlS8J_w 封面来源于网络,如有侵权请联系删除
CERT-UA 警告恶意垃圾邮件传播 Jester 信息窃取程序
近期,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester Stealer的信息窃取程序。 据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后,整个感染过程就开始了。经过政府专家的调查,发现该恶意可执行文件是从受感染的网络资源中下载的。 对此,乌克兰计算机应急响应小组及时发布了相应的公告,公告中称:政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。如果你打开文档并激活宏,下载并运行该EXE文件,这将激活恶意程序JesterStealer并对您的计算机造成一定伤害。 据研究,JesterStealer能够从Internet浏览器、MAIL/FTP/VPN 客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭据和身份验证令牌。 该信息窃取恶意软件实现了反分析功能(反虚拟机/调试/沙盒),但它没有实现任何持久性机制。威胁参与者使用静态配置的代理地址通过 Telegram 泄露数据。从发布的公告中得知,通过静态定义的代理地址(包括在 TOR 网络中)窃取的数据在 Telegram 中传输给攻击者。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332628.html 封面来源于网络,如有侵权请联系删除
Emotet 垃圾邮件软件在全球范围内攻击邮箱
Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。 Emotet垃圾邮件攻击卷土重来 15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。 据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。 Emotet附件如何感染设备 打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。 一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。 目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。 防御Emotet 恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。 然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。 消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
黑客组织 TA505 正在垃圾邮件活动中使用新的恶意软件 Gelup 和 FlowerPippi
据Trend Micro的研究人员称,TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件,它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现,在今年6月,有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序,其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后,通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道,少量垃圾邮件样本还使用了恶意的URL,导致名为FlawedAmmyy的远程访问木马(RAT)下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术,这是“模拟受信任目录(欺骗受信任目录中文件的执行路径),滥用自动提升的可执行文件,并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术,并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长,恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务,或者添加注册表运行项,这取决于用户权限。 Gelup执行的命令(Trend Micro) FlowerPippi是黑客组织TA505最近部署的第二个恶意软件,除了后门功能外,它还具有下载技巧,使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出,该后门用于收集和过滤受害者电脑中的信息,并运行从命令控制(C2)服务器接收到的任意命令。 FlowerPippi 执行的命令 (Trend Micro) 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外,微软安全情报部门在大约两周前发布了一条安全警告,称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马(RAT)使韩国的目标受感染。 Redmond的研究人员表示,虽然黑客们利用的微软办公软件漏洞(CVE-2017-11882 )在两年前就已经被修补,但黑客们仍广泛地利用该漏洞进行攻击,“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一,可以用于各种各样的攻击。大约在一周前,Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马(RAT)的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2],其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手
讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。 稿源:,稿件以及封面源自网络;
Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损
据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测
外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER 下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。