HackerNews 编译，转载请注明出处： 加密货币用户正成为一场持续进行的社会工程攻击的目标。该攻击利用伪造的初创公司，诱骗用户下载恶意软件，用以窃取Windows和macOS系统上的数字资产。 “这些恶意行动假冒人工智能、游戏和Web3公司，使用伪造的社交媒体账户以及托管在Notion和GitHub等合法平台上的项目文档。” Darktrace研究员塔拉·古尔德在一份提供给The Hacker News的报告中表示。 这个精心策划的社交媒体骗局已运作多时。在2024年12月，其前身版本曾利用虚假视频会议平台，通过在Telegram等通讯应用接触用户后，以讨论投资机会为借口诱骗受害者加入会议。 最终下载了所谓会议软件的用户，会遭到Realst等窃密木马的暗中感染。当时，该活动被Cado Security（已于今年早些时候被Darktrace收购）以其中一个虚假视频会议服务的名字命名为“Meeten”。不过，有迹象表明此类活动可能自2024年3月起就已开始，当时Jamf Threat Labs曾披露黑客使用“meethub[.]gg”域名分发Realst木马。 Darktrace的最新研究显示，该活动不仅仍在活跃构成威胁，还采用了更广泛的诱饵主题，涉及人工智能、游戏、Web3和社交媒体。 此外，攻击者还被观察到利用被攻陷的公司及员工（主要是经过验证的）X账户来接近潜在目标，为其虚假公司营造合法假象。 “他们利用软件公司常用的网站，如X、Medium、GitHub和Notion，”古尔德说，“每家公司都有外观专业的网站，包含员工信息、产品博客、白皮书和路线图。” 其中一个不存在的公司是Eternal Decay (@metaversedexay)，它声称是一款基于区块链的游戏，并在X上分享了合法图片的经过数码修改的版本，制造其曾参加各种会议的假象。最终目标是通过建立线上形象，使这些公司尽可能显得真实，从而提高感染成功率。 部分其他已识别的虚假公司列举如下（包括其关联的X账户）： BeeSync (X: @BeeSyncAI, @AIBeeSync) Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp) Cloudsign (X: @cloudsignapp) Dexis (X: @DexisApp) KlastAI (X: 链接指向Pollens AI的X账户) Lunelior NexLoop (X: @nexloopspace) NexoraCore NexVoo (X: @Nexvoospace) Pollens AI (X: @pollensapp, @Pollens_app) Slax (X: @SlaxApp, @Slax_app, @slaxproject) Solune (X: @soluneapp) Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox) Wasper (X: @wasperAI, @WasperSpace) YondaAI (X: @yondaspace) 攻击链始于这些由攻击者控制的账户通过X、Telegram或Discord向受害者发送信息，以支付加密货币为诱饵，敦促他们测试其软件。 如果目标同意测试，他们会被重定向到一个虚构网站。在该网站上，受害者需要输入“员工”提供的注册码才能下载软件：根据使用的操作系统，提供的是一个Windows的Electron应用程序或一个苹果的磁盘映像（DMG）文件。 在Windows系统上，打开恶意应用程序会向受害者显示一个Cloudflare验证页面，同时秘密扫描设备信息，随后下载并执行一个MSI安装程序。虽然此时加载的确切恶意程序性质尚不清楚，但据信在此阶段运行的是一个信息窃取程序。 而在macOS版本的攻击中，最终将部署“Atomic macOS Stealer” (AMOS)。这是一个已知的信息窃取木马，能够窃取文档以及网页浏览器和加密货币钱包中的数据，并将其外泄至外部服务器。 该DMG二进制文件还会负责获取一个shell脚本。该脚本利用一个启动代理（Launch Agent）在系统上建立持久化机制，确保应用在用户登录时自动启动。此外，该脚本还会检索并运行一个Objective-C/Swift二进制程序，用于记录应用程序使用时间和用户交互时间戳，并将这些信息发送到远程服务器。 Darktrace还指出，该活动在战术层面与名为”CrazyEvil”的流量分发（traffers）组织所策划的攻击存在相似之处。该组织以诱骗受害者安装StealC、AMOS和Angel Drainer等恶意软件而闻名。 “虽然尚不清楚这些活动[…]是否可归因于CrazyEvil或其下属团队，但其描述的技术本质上相似，”古尔德表示。“此活动突显了威胁行为者为使这些假公司看起来合法以窃取受害者加密货币所作出的努力，同时也反映了其使用的恶意软件在不断升级更新的规避版本。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Dota 2的玩家注意了，你使用的游戏模式很可能被黑客盯上了。 2月13日消息，未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式，这些模式可能已经被利用来建立对玩家系统的后门访问。 威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003（CVSS 评分8.8），谷歌在2021年10月已修复该漏洞。 “由于V8在Dota中没有沙盒化，这个漏洞本身就可以对Dota玩家进行远程代码执行，”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。 目前，游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。游戏模式本质上是一种自定义功能，既可以扩展现有游戏，也可以以一种偏离标准规则的方式提供全新玩法。 虽然向Steam商店发布自定义游戏模式需要经过Valve的审查，但威胁行为者还是成功地绕过了审查。 这些游戏模式已经被下架，它们是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。据称，该威胁行为者还发布了名为“Brawl in Petah Tiqwa ”的第五种游戏模式，没有包含任何恶意代码。 “test addon plz ignore”中嵌入了一个针对V8缺陷的漏洞，该漏洞可以被用来执行自定义的shellcode。 另外三个采取了更隐蔽的方法，其恶意代码被设计成与远程服务器联系以获取JavaScript有效载荷，这也可能是对CVE-2021-38003的利用，因为该服务器已不能访问。 Avast表示，目前还不知道开发者创建这些游戏模式背后的最终目的是什么。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/game/357530.html 封面来源于网络，如有侵权请联系删除