HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。 已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。 Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。” 钓鱼攻击与凭证窃取详情如下： 监测显示，UNC6661 会冒充信息技术人员致电目标受害者组织员工，以指导更新多因素认证设置为幌子，诱导员工点击凭证窃取链接。该攻击活动的监测记录时段为 2026 年 1 月上旬至中旬。 得手后，攻击者利用窃取的凭证为自己的设备注册MFA，随后横向渗透网络，从SaaS平台窃取数据。在至少一起案例中，攻击者还利用已控制的邮箱，向加密货币公司的联系人发送更多钓鱼邮件，并事后删除以掩盖踪迹。最终的勒索环节则由UNC6240（ShinyHunters）发起勒索攻击活动。 监测发现，自2026年1月初起，UNC6671同样会冒充信息技术人员实施欺骗，诱骗受害者在仿冒的钓鱼网站上提交凭证和MFA码。在部分事件中，攻击者成功入侵了Okta客户账户，UNC6671 还会利用 PowerShell 从 SharePoint 及 OneDrive 中下载敏感数据。 UNC6661 与 UNC6671 的差异体现在两方面：一是注册凭证窃取域名所用的注册商不同（UNC6661 使用 NICENIC，UNC6671 使用 Tucows）；二是 UNC6671 攻击后发送的勒索邮件，与已知的 UNC6240 攻击指标无重合。这表明攻击背后可能涉及不同团伙，体现出此类网络犯罪组织的松散性特征。此外，针对加密货币企业的攻击目标选择，表明威胁行为者或在寻求更多牟利途径。 为应对SaaS平台面临的此类威胁，谷歌提出了一系列强化防护、完善日志与加强检测的建议： 优化服务台流程，包括要求工作人员通过实时视频通话完成身份核验。 限制访问可信出口点及物理位置；强制使用高强度密码；取消短信、电话及邮件作为身份验证方式。 限制管理平面访问权限；审计暴露的密钥信息；强化设备访问控制。 部署日志机制，提升身份操作、授权行为及软件即服务平台数据导出行为的可视性。 重点监控MFA设备注册及生命周期变更事件；警惕可能暗示邮箱被工具（如ToogleBox Email Recall）操纵的OAuth/应用授权事件；关注在非工作时间发生的异常身份验证活动。 谷歌表示：“此类攻击并非厂商产品或基础设施存在安全漏洞所致。相反，它再次凸显了社会工程学攻击的有效性，并强调了各组织应尽可能转向采用防钓鱼的MFA方案。诸如FIDO2安全密钥或通行密钥等方法，能够有效抵御社会工程攻击，而推送通知或短信验证则不具备同等的防护能力。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。 这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。 在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。 美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。” 大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。” 近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。 这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。 例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。” 与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。 Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。” 此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。” 更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。     消息来源： thehackernews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CrowdStrike警告称，一起网络钓鱼攻击正冒充该网络安全公司，通过虚假的招聘邮件诱骗目标对象下载门罗币（Monero）加密货币挖矿软件XMRig。 2025年1月7日，该公司发现了这起恶意攻击活动，根据钓鱼邮件的内容判断，该活动开始的时间应该不会太早。 攻击始于一封发送给求职者的钓鱼邮件，邮件自称来自CrowdStrike的招聘代理，感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理（CRM）应用程序”。 这据说是公司为了“通过推出新的申请者CRM应用程序来简化入职流程”而做出的努力。 点击邮件中嵌入链接的候选人会被带到一个名为“cscrm-hiring[.]com”的网站，该网站提供Windows或macOS系统的应用程序下载链接。 滥用CrowdStrike品牌的恶意网站（图片来源：CrowdStrike） 下载的工具会在获取额外有效载荷之前进行沙箱检查，以确保其不在分析环境中运行，例如检查进程号、CPU核心数以及调试器的存在。 一旦这些检查完成且结果为阴性（即受害者符合感染条件），应用程序会生成一条虚假的错误信息，称安装程序文件可能已损坏。 虚假错误信息（图片来源：CrowdStrike） 在后台，下载器会获取一个包含运行XMRig所需参数的配置文件文本。 然后，它会从GitHub存储库中下载一个包含挖矿软件的ZIP压缩包，并在“%TEMP%\System\”目录中解压文件。 挖矿软件将在后台运行，消耗极少的处理能力（最多10%），以避免被检测。 在“开始”菜单的“启动”目录中添加了一个批处理脚本，以确保在重启之间持续运行，同时在注册表中写入了一个登录时自动启动的键。 有关此次攻击活动的更多详情及其相关的入侵指标，请参阅CrowdStrike的报告。 求职者应始终通过验证电子邮件地址是否属于公司官方域名，并从公司官方页面上联系相关人员来确认对方是否为真正的招聘人员。 请警惕紧急或异常请求、看似过于美好的机会，或要求下载据称招聘所需的可执行文件的邀请。雇主很少（甚至从不）要求候选人在面试过程中下载第三方应用程序，也绝不会要求预先付款。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。 与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。 这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包窃取活动，此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具，通常部署在假冒或受攻击的网站上。 2024年，Scam Sniffer观察到30起大规模（超过100万美元）通过钱包窃取器进行的盗窃事件，其中单笔最大盗窃案涉案金额高达5540万美元。 这一事件发生在年初，当时比特币价格上涨推动了钓鱼活动的增加。第一季度，通过钱包窃取攻击共盗走1.87亿美元。 每月损失金额和受影响钱包数量（来源：Scam Sniffer） 今年第二季度，一个名为“Pink Drainer”的知名窃取服务宣布退出，该服务此前曾伪装成记者在钓鱼攻击中攻击Discord和Twitter账户，以进行加密货币窃取。 尽管这导致钓鱼活动有所减少，但诈骗者在第三季度逐渐恢复了势头，其中Inferno服务在8月和9月共造成1.1亿美元损失，位居榜首。 最后，在第四季度，活动有所平息，仅占2024年总损失的10.3%左右。当时，Acedrainer也成为主要参与者之一，占据了窃取器市场的20%，ScamSniffer表示。 窃取器每月活动情况（来源：Scam Sniffer） 大部分损失（85.3%）发生在以太坊上，金额高达1.52亿美元，其中质押（40.9%）和稳定币（33.5%）是目标最集中的领域。 关于2024年观察到的趋势，Scam Sniffer强调了使用假冒的CAPTCHA和Cloudflare页面以及IPFS来逃避检测的做法，以及签名类型的转变，这有助于实施资金盗窃。 具体而言，大多数盗窃案依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。前者根据EIP-2612标准批准代币支出，后者更新智能合约所有权或管理权限。 另一个值得注意的趋势是，Google Ads和Twitter广告作为钓鱼网站流量的来源的使用增加，攻击者利用被攻破的账户、机器人和假冒代币空投来实现其目标。 X上推动加密货币窃取器的假冒账户数量（来源：Scam Sniffer） 为防止Web3攻击，建议仅与受信任和已验证的网站进行交互，与官方项目网站核对URL，在签名前阅读交易批准提示和权限请求，并在执行前模拟交易。 许多钱包还提供针对钓鱼或恶意交易的内置警告，因此请确保启用这些功能。最后，使用代币撤销工具确保没有激活可疑权限。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。 Microsoft Visio 文件传统上用于绘制流程图和网络地图等专业图表，但现在已被武器化。Perception Point 的报告显示：“在最近的网络钓鱼活动中，Visio 文件正被用来传递恶意 URL，在两步攻击路径中创建一个欺骗性传递点。” 这种方法利用了用户对 SharePoint 和 Microsoft Visio 等熟悉平台的信任。通过在被入侵的 SharePoint 账户托管的 .vsdx 文件中嵌入恶意 URL，攻击者可以绕过许多标准安全措施。 攻击分为两步，旨在逃避检测和利用用户行为： 第一步：诱惑 攻击者首先利用被攻破的电子邮件账户向目标发送网络钓鱼电子邮件。“这些电子邮件因其来源而看似合法，通常包含令人信服的叙述，如紧急商业提案或采购订单。”这些电子邮件可能包含一个链接或 .eml 文件附件，其中包含一个指向 SharePoint 托管的 Visio 文件的 URL。 第二步：陷阱 点击链接后，受害者会重定向到一个托管 Visio 文件的受攻击 SharePoint 页面。该文件包含一个嵌入式 “行动召唤 ”按钮，通常标注为 “查看文档”。受害者被指示按住 Ctrl 键并点击，这个简单的操作可以绕过自动安全系统。一旦点击，嵌入的 URL 就会将用户引导到一个伪造的 Microsoft 365 登录页面，该页面的目的是收集凭证。“该报告解释说：”与链接互动会将受害者重定向到一个冒充 Microsoft 365 的钓鱼页面。   这种网络钓鱼技术结合了复杂的技术和心理操纵。通过要求用户执行按住 Ctrl 键等手动操作，攻击者可以躲避自动电子邮件安全扫描仪和检测工具。此外，合法品牌（包括组织徽标）的使用也增加了恶意 Visio 文件的可信度。 Perception Point 的研究人员观察到，使用这种方法的攻击明显增加，目标是全球数百家组织。报告警告说，这些活动 “旨在逃避检测和利用用户的信任”，强调了在企业环境中保持警惕的重要性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301944 封面来源于网络，如有侵权请联系删除