HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型高精密语音钓鱼攻击活动已出现，该攻击将传统语音钓鱼与现代协作工具相结合，用以投放隐蔽性极强的恶意软件。 攻击者借助微软 Teams 通话功能以及远程支持工具 “快速助手”，实现对企业安全边界的突破。 他们通过冒充高级 IT 人员制造紧迫感，瓦解受害者的防备心理，进而启动多阶段感染流程，以此规避常规检测机制。 攻击的初始阶段，攻击者会使用外部账号发起 Teams 通话，并伪造显示名称，伪装成企业内部合法管理员。 随后，威胁行为者诱骗目标设备启动微软 “快速助手”（一款 Windows 系统原生工具），这一操作可绕过多数会标记第三方远程访问软件的常规安全管控。一旦建立远程访问连接，攻击者便会着手投放恶意载荷。 该攻击活动由 SpiderLabs 安全分析师率先发现，分析师指出，此类攻击已明显转向利用受信任的系统内置实用工具来实施入侵。 该攻击活动的危害性极大，原因在于其主要依赖社会工程学手段，而非软件漏洞发起攻击。 攻击者通过.NET 恶意软件封装器，可直接在内存中执行代码，最大程度减少在终端设备上留下的取证痕迹。 这种无文件攻击方式给传统的事件响应工作带来极大阻碍，因为磁盘上可供调查人员分析的攻击遗留痕迹极少。 感染机制技术分析 此次攻击的核心是一条复杂的感染链路，涉及一个.NET Core 8.0 可执行文件。名为 updater.exe 的恶意文件充当着嵌入式库 loader.dll 的封装载体。 该加载器在执行后，会先与位于 jysync [.] info 的命令与控制服务器建立连接，获取特定加密密钥。 这些密钥对后续阶段至关重要 —— 恶意软件会凭借密钥下载加密的载荷文件。 解密过程结合了 AES-CBC 算法与 XOR 运算，以此解锁恶意程序集。 尤为关键的是，解密后的代码绝不会写入磁盘，而是通过.NET 反射技术直接加载至系统内存中，从而实现极高的驻留性与隐蔽性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯威胁行为者正发起新一轮钓鱼攻击活动，通过伪造欧洲大型安全会议的相关信息，暗中窃取受害者的云服务凭证。 攻击者发送的邀请函看似正规，往往与贝尔格莱德安全会议、布鲁塞尔印太对话会等会议相关联，引导目标用户进入仿冒会议主办方搭建的精致注册页面。 在这一专业伪装的背后，攻击者会将用户导向恶意的微软 365 及谷歌账户登录流程，以此获取对受害者电子邮件与文件的长期访问权限。 沃莱克西蒂安全分析师确认，这些攻击活动与代号为UTA0355的俄罗斯黑客组织有关。该组织在 2025 年持续优化对开放授权协议与设备代码的滥用手段。 该黑客组织并不会在初始阶段发送明显带有恶意的链接，而是先通过电子邮件、即时通讯软件 WhatsApp 或 Signal 建立信任关系，随后再诱导受害者进入看似常规的单点登录 “注册” 流程。 在很多情况下，就连发送钓鱼邮件的账户和即时通讯账号，都是攻击者从真实的政策研究机构或学术网络中攻陷的合法账号。 一旦目标用户点击链接，bsc2025[.]org、brussels-indo-pacific-forum[.]org等仿冒会议网站就会要求用户输入 “企业邮箱”，随后跳转至伪造的微软官方登录页面。 攻击者的核心伎俩在于，从浏览器的网址链接中捕获 OAuth 令牌与设备代码，并对这些信息进行复用。 在部分攻击案例中，攻击者还会以 “完成注册流程” 为借口，要求用户将完整的登录网址粘贴回聊天窗口。 钓鱼攻击得手后，入侵者的技术操作痕迹隐蔽但条理清晰。UTA0355 组织通常会在微软企业身份认证平台（Microsoft Entra ID）中注册一台新设备，并盗用受害者真实的设备名称，以此混入目标机构的资产清单，躲避监测。 攻击者会通过代理节点发起访问请求，部分请求还会携带安卓系统的用户代理字符串，与受害者实际使用的硬件设备并不匹配。这一特征也意味着，对系统日志的细致核查至关重要。 在多数安全信息与事件管理平台（SIEM）中，可通过设置以下简单检测规则标记此类异常匹配情况： SigninLogs | where DeviceDetailOperatingSystem startswith "Android" | where DeviceDetailDisplayName has "iPhone" 上述检测逻辑也可转化为基于 Python 语言的日志筛选脚本： if "Android" in ua and "iPhone" in device_name: flag_suspicious(session_id) 一份完整的技术分析报告指出，此类攻击中真正的 “恶意软件” 并非传统的二进制程序，而是被武器化的 OAuth 协议与设备代码登录流程。 攻击的 “有效载荷” 其实是用户在操作过程中提交的授权许可与各类令牌。凭借这些信息，攻击者能够获得应用程序编程接口（API）层面的权限，访问受害者的邮箱、文件及身份数据，且这一过程基本不会被终端安全工具察觉。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。 “攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。” 过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。 这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。 此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。 攻击源头与技术特征 经评估，攻击始于虚假成人网站 —— 毫无防备的用户通过恶意广告或其他社会工程学手段被引导至这些网站后，会突然收到 “紧急安全更新” 提示。研究人员发现部分网站版本包含俄语开发者注释，暗示攻击团伙可能为俄语系威胁行为者。 “Windows 更新界面完全通过 HTML 和 JavaScript 代码构建，受害者与钓鱼网站的任何元素交互后便会弹出，” 安全研究员埃利亚德・金希（Eliad Kimhy）表示，“该页面会通过 JavaScript 尝试全屏显示，同时生成一个背景为蓝色、文字为白色的高度仿真 Windows 更新窗口，让人联想到 Windows 著名的蓝屏死机（blue screen of death）界面。” 此次攻击的显著特征是大量使用混淆技术隐藏 ClickFix 相关代码，并通过禁用 Esc、F11、F5 及 F12 键阻止用户退出全屏弹窗。不过由于逻辑缺陷，用户仍可通过 Esc 和 F11 键关闭全屏模式。 初始执行的命令是一个 MSHTA 负载，通过合法的 mshta.exe 二进制文件启动，该负载包含的 JavaScript 代码会执行 PowerShell 命令，从远程服务器获取另一个 PowerShell 脚本。这些恶意域名经过特殊设计：直接访问会跳转至谷歌（Google）或 Steam 等良性网站。 “仅当通过 irm 或 iwr PowerShell 命令访问时，域名才会返回恶意代码，” 安克诺斯解释道，“这增加了额外的混淆层，阻碍安全人员分析。” 提权尝试与多负载投递 下载的 PowerShell 脚本集成了多种混淆与反分析机制，包括使用垃圾代码增加分析难度。脚本还会尝试提权，并为命令与控制（C2）服务器地址及负载存放路径添加微软 Defender 杀毒软件排除项。 为实现权限提升，恶意软件利用 Start-Process cmdlet 命令结合 “-Verb RunAs” 参数，以管理员权限启动 PowerShell，并持续弹出 UAC（用户账户控制）请求，直至受害者授权。该步骤成功后，脚本会释放更多负载，例如用于连接 C2 服务器的简易远程访问木马（RAT），后续可能进一步投递其他恶意软件。 研究发现，该 PowerShell 脚本最多可投递 8 种不同负载，安克诺斯将其称为 “最典型的广撒网攻击（spray and pray）”。这些负载包括 Rhadamanthys 窃密软件、Vidar 窃密软件 2.0 版本、RedLine 窃密软件、Amadey 木马，以及其他未明确标识的加载器和远程访问木马。 “只要其中一款负载成功运行，受害者就可能面临密码、加密货币钱包等资产被盗的风险，” 金希指出，“对于部分加载器，攻击者还可能后续投递其他恶意程序，导致攻击迅速升级。” 关联攻击活动：隐写术隐藏窃密软件 与此同时，亨特雷斯（Huntress）安全公司披露了另一项多阶段恶意软件执行链：攻击者同样以伪装成 Windows 更新的 ClickFix 为诱饵，通过隐写术（steganography）将攻击最终阶段隐藏在图片中，投递 Lumma、Rhadamanthys 等窃密软件。 与 JackFix 攻击类似，复制到剪贴板并粘贴至运行对话框的 ClickFix 命令，会通过 mshta.exe 运行 JavaScript 负载，该负载可在内存中直接执行远程托管的 PowerShell 脚本。 PowerShell 代码用于解密并启动一个.NET 程序集负载 —— 名为 Stego Loader 的加载器，该加载器负责执行隐藏在加密 PNG 图片中的 Donut 打包壳代码。提取的壳代码随后被注入目标进程，最终部署 Lumma 或 Rhadamanthys 窃密软件。 值得注意的是，亨特雷斯列出的用于获取 PowerShell 脚本的域名之一 “securitysettings [.] live”，也被安克诺斯标记为 JackFix 攻击的关联域名，表明这两起攻击活动可能存在关联。 “威胁行为者频繁更换承载第一阶段 MSHTA 负载的 URI 路径（如 /tick.odd、/gpsc.dat、/ercx.dat 等），” 安全研究员本・福兰（Ben Folland）与安娜・范（Anna Pham）在报告中指出，“此外，威胁行为者已将第二阶段负载的托管域名从 securitysettings [.] live 更换为 xoiiasdpsdoasdpojas [.] com，但两个域名均指向同一 IP 地址 141.98.80 [.] 175，该 IP 也用于投递第一阶段（即 mshta.exe 运行的 JavaScript 代码）。” 防御建议 ClickFix 攻击的成功源于其简单有效的攻击逻辑：诱骗用户自行感染设备，从而绕过安全防护。企业可通过以下方式防御此类攻击： 加强员工培训，提升对 ClickFix 类威胁的识别能力； 通过修改注册表或组策略（Group Policy）禁用 Windows 运行对话框（Run box）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正提醒公众警惕一场针对 WordPress 网站的恶意攻击活动：攻击者通过注入恶意 JavaScript 代码，将网站访客重定向至可疑站点。 网站安全公司 Sucuri 的研究员普贾・斯里瓦斯塔瓦在上周发布的分析报告中指出：“访客会被注入‘无交互感染型恶意软件’（drive-by malware），例如伪装成 Cloudflare 验证页面的恶意内容。” 该公司表示，其启动调查的起因是一位客户的 WordPress 网站向访客推送了可疑的第三方 JavaScript 代码。最终调查发现，攻击者对网站主题相关文件 “functions.php” 进行了恶意篡改。 注入 “functions.php” 的代码中包含谷歌广告（Google Ads）的引用，此举很可能是为了规避检测。但实际上，这段代码相当于一个 “远程加载器”，会向域名 “brazilc [.] com” 发送 HTTP POST 请求，而该域名会返回一个包含两个组件的动态载荷： 一个托管在远程服务器 “porsasystem [.] com” 上的 JavaScript 文件（截至发稿时，已有 17 个网站引用过该文件），其中包含实现网站重定向的代码； 一段 JavaScript 代码，用于创建一个 1×1 像素的隐藏 iframe（内嵌框架），并在框架中注入模仿 Cloudflare 合法资源的代码，例如 “cdn-cgi/challenge-platform/scripts/jsd/main.js”—— 该 API 是 Cloudflare 机器人检测与验证平台的核心组件。 数字取证与事件响应（DFIR）外包服务 值得注意的是，域名 “porsasystem [.] com” 已被标记为 “Kongtuke” 流量分发系统（TDS）的一部分。该系统还有多个别名，包括 404 TDS、Chaya_002、LandUpdate808 和 TAG-124。 根据 2025 年 9 月 19 日 Mastodon 平台上名为 “monitorsg” 的账号分享的信息，该攻击感染链的流程如下：用户访问已被入侵的网站后，会触发 “porsasystem [.] com/6m9x.js” 的执行，随后跳转至 “porsasystem [.] com/js.php”，最终将受害者引导至 ClickFix 风格的页面，以分发恶意软件。 上述发现凸显了保护 WordPress 网站的必要性，具体措施包括：确保插件、主题及网站软件保持最新版本；设置强密码；定期扫描网站以检测异常情况；警惕未经授权创建的管理员账号（此类账号常被用于在恶意软件被检测和清除后，仍能维持对网站的持久控制）。 利用 IUAM ClickFix 生成器创建 ClickFix 页面 与此同时，帕洛阿尔托网络公司（Palo Alto Networks）的 Unit 42 团队披露了一款名为 “IUAM ClickFix 生成器” 的钓鱼工具包。攻击者可借助该工具包，利用 ClickFix 社会工程学技术感染用户设备，并通过模仿 “浏览器验证挑战”（常用于拦截自动化流量）创建可自定义的钓鱼着陆页。 安全研究员阿米尔・埃尔萨德表示：“这款工具能让威胁行为者创建高度可定制的钓鱼页面，这些页面会模仿内容分发网络（CDN）和云安全服务商常用的‘浏览器验证挑战响应界面’（用于防御自动化威胁）。这种伪造的界面设计得足以让受害者信以为真，从而提升钓鱼诱饵的成功率。” 这类定制化钓鱼页面还具备剪贴板操控功能 —— 这是 ClickFix 攻击中的关键步骤；同时能检测用户使用的操作系统，以便针对性地调整感染流程，并推送兼容的恶意软件。 目前已发现至少两起案例：威胁行为者利用该工具包生成的页面，部署了 DeerStealer 和 Odyssey Stealer 等信息窃取恶意软件，其中 Odyssey Stealer 专门针对苹果 macOS 系统设计。 IUAM ClickFix 生成器的出现，印证了此前微软发布的一则预警：自 2024 年底起，地下论坛中商用 ClickFix 构建工具的数量持续增加。另一款集成了类似功能的知名钓鱼工具包是 “Impact Solutions”。 微软在 2025 年 8 月曾指出：“这些工具包支持创建包含多种诱饵的着陆页，其中就包括伪装成 Cloudflare 的页面；还能生成恶意命令，诱骗用户将其粘贴到 Windows‘运行’对话框中。工具包开发商声称可保证绕过杀毒软件和网页防护（部分甚至宣称能绕过微软 Defender SmartScreen），并能确保载荷的持久化运行。” 毋庸置疑，这类工具进一步降低了网络犯罪的门槛，使得攻击者无需具备深厚技术知识或投入大量精力，就能发起规模化、复杂的跨平台攻击。 借助缓存走私技术，ClickFix 攻击更具隐蔽性 此前研究人员还发现了一场新型攻击活动：该活动对 ClickFix 攻击模式进行了创新，采用了一种名为 “缓存走私”（cache smuggling）的隐蔽技术，无需在目标主机上显式下载任何恶意文件，就能规避检测。 Expel 公司首席威胁研究员马库斯・哈钦斯表示：“这场攻击活动与以往的 ClickFix 变种不同，其恶意脚本不会下载任何文件，也不会与互联网进行通信。实现这一点的关键，是利用浏览器缓存将任意数据预先存储到用户设备上。” 互联网安全中心（CIS）构建工具包 该网络安全公司记录的这场攻击中，ClickFix 风格的钓鱼页面伪装成 “Fortinet VPN 合规检查器”，并采用 “FileFix 战术” 欺骗用户：诱使用户打开 Windows 文件资源管理器，然后将恶意命令粘贴到地址栏中，最终触发恶意载荷的执行。 这段隐藏的恶意命令会通过 conhost.exe 程序运行一个 PowerShell 脚本。该脚本的特别之处在于，它不会下载任何额外的恶意软件，也不会与攻击者控制的服务器通信。相反，它会执行一段伪装成 JPEG 图片的混淆载荷 —— 而这段载荷在用户访问钓鱼页面时，就已被浏览器缓存到本地。 哈钦斯解释道：“无论是网页本身还是 PowerShell 脚本，都没有显式下载任何文件。只需让浏览器缓存这个伪造的‘图片’，恶意软件就能将整个压缩文件植入本地系统，而无需通过 PowerShell 命令发起任何网络请求。” “这种技术的潜在影响令人担忧：缓存走私可能成为一种规避防护的手段 —— 原本用于检测‘恶意文件下载与执行’的防护机制，将无法识别此类攻击。表面上下载的是一个看似无害的‘image/jpeg’文件，但实际上其内容会被提取，并通过隐藏在 ClickFix 钓鱼诱饵中的 PowerShell 命令执行。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 诈骗者伪装成Netflix招聘人员，正通过新的钓鱼攻击活动针对社交媒体和营销经理，意图劫持其公司的Facebook账户。以下是需要警惕的迹象。 关键要点： 冒充Netflix招聘人员的钓鱼邮件，以虚假高端职位引诱营销人员。 钓鱼网站诱骗受害者实时提交其Facebook商业账户凭证。 被劫持的账户可能用于投放恶意广告、勒索赎金或传播更多诈骗。 Malwarebytes的新研究指出，诈骗者向营销员工发送钓鱼邮件，冒充Netflix招聘人员，声称提供高薪职位。 “初始邮件看似来自猎头或人力资源（HR）招聘专家，”Malwarebytes恶意软件情报研究员Pieter Arntz表示。 邮件内容声称：“我希望这封邮件能恰当地传达给您。您作为远见卓识的营销领袖的声誉引起了我们的注意，我想与您分享Netflix的一个非凡机会。” 用高薪职位引诱受害者 该研究指出，这些钓鱼活动专门设计用于窃取营销经理、社交媒体运营人员（尤其是管理公司Facebook主页或商业账户者）的凭证。 钓鱼邮件中提供的职位包括“营销副总裁”“数字营销经理”和“社交媒体总监”等。 研究强调，攻击者获取Facebook商业账户权限后，可“利用公司的支付方式投放恶意广告、勒索赎金以归还账户控制权，或利用公司声誉传播更多诈骗”。 Arntz指出，诈骗者似乎对目标进行了开源情报（OSINT）收集，提供的职位级别与求职者的资历相匹配。 攻击流程 若求职者点击邮件中的链接，会被导向伪造的Netflix网站，要求创建“职业档案”，并提供关联Facebook账户的选项。 黑客设计的虚假网站混合了真实Netflix内容和钓鱼活动的内容。 “此时所有危险信号都应被触发，”Arntz称。无论求职者选择“通过Facebook继续”或“通过邮箱继续”，都会弹出新页面要求登录Facebook账户。 “第三方网站提供Facebook登录选项是常见做法，因此求职者点击该链接可以理解，”他解释道。 实时窃取凭证 受害者输入登录信息后，页面会自动弹出提示：“您输入的密码错误！请重试。” Arntz强调，这一登录页面证明攻击“非常复杂”：诈骗者通过WebSocket技术实时拦截凭证，能在“几秒内登录受害者的真实Facebook账户”，甚至可能“在需要时触发多因素认证（MFA）验证”。 此外，由于攻击实时发生，受害者无法察觉账户正被入侵。攻击者可利用这段时间“强制用户退出账户、向好友发送垃圾信息或进行其他任意操作”。 防护措施 Malwarebytes建议求职者采取以下防护步骤： 对未主动申请的职位邀约保持警惕； 仔细检查网站URL和邮件地址是否存在拼写错误或不一致； 确认浏览器地址栏的域名与预期一致，并核对网站内容真实性。 该机构还建议公众学习识别钓鱼攻击，尤其需警惕黑客日益使用AI生成的钓鱼邮件和虚假网站。此外，需确保浏览器、软件和操作系统及时更新，并启用具备网页防护功能的实时反恶意软件解决方案。 若怀疑遭受钓鱼攻击，应“立即更改密码、启用多因素认证，并通知公司的IT/安全团队”。 Malwarebytes表示，此次钓鱼活动通过CloudFlare服务托管，Netflix与CloudFlare均已获知研究结果。         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场活跃的网络钓鱼活动正在通过冒充英国内政部（Home Office）来攻击持有英国担保执照（sponsor licence）、负责担保外籍员工和学生的机构。 这项复杂的攻击活动高度模仿英国政府官方通信及网页，旨在窃取担保执照持有者的担保管理系统（Sponsorship Management System, SMS）登录凭证。网络安全公司Mimecast的调查显示，被窃取的凭证被用于实施一系列精心策划的移民欺诈、勒索及其他牟利活动。其中最复杂的骗局涉及伪造工作邀约和签证担保计划，攻击者向受害者收取15,000至20,000英镑（约合16万至22万元人民币），以换取根本不存在的就业机会。 攻击目标涵盖持有担保执照的所有行业和领域的英国机构，尤其针对积极管理签证担保项目且频繁使用SMS系统的公司。研究人员指出：“攻击者展现出对英国移民系统内政府通信模式及用户期望的深入理解。” Mimecast威胁研究工程师萨曼莎·克拉克（Samantha Clarke）透露，2025年7月上半月监测到约8000封相关钓鱼邮件。攻击在8月初升级，仅当月前六天就发送了约2500封邮件。值得注意的是，英国内政部已于7月10日通过SMS系统及向担保机构关键联系人的直接通信发出警告，提醒防范可能危及SMS账户安全的钓鱼诈骗。 组织收到伪造的政府警告 攻击始于向目标机构发送包含紧急通知的电子邮件，声称涉及SMS系统警报或通知，要求收件人立即处理。SMS是担保方用于管理执照并履行向英国内政部通报情况变更义务的在线工具。这些邮件内含链接，会将用户导向伪造的登录页面，诱导其输入SMS认证凭证。 Mimecast于8月12日发布的报告列举了钓鱼邮件的常见主题，包括“您担保管理系统收到新消息”和“来自SMS的消息通知”。用户点击邮件链接后，首先跳转至设有CAPTCHA验证的页面（作为过滤机制），随后被重定向至高度模仿真实SMS界面的钓鱼页面。研究人员表示，该页面通过直接复制官方登录页HTML代码、引用官方资源及对表单提交过程进行关键篡改实现伪装。用户输入的凭证最终被发送至攻击者控制的脚本，而非合法认证系统。 后续移民欺诈与勒索活动 攻击者获取凭证后，实施多种牟利计划： 在暗网论坛出售被入侵账户的访问权； 对受影响机构进行勒索； 协助签发虚假担保证明（Certificate of Sponsorship, CoS）； 利用伪造签证文件创建虚假工作邀约及签证担保计划。 Mimecast建议持有担保执照的英国机构部署能识别政府仿冒行为及可疑链接模式的防钓鱼工具。此外，企业应实施链接重写（URL rewriting）及沙盒分析技术，以便在用户互动前检测链接安全性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能相关网站的流量激增，标志着用户与AI互动方式的重大转变。Menlo Security最新研究显示，2024年2月至2025年1月期间，AI工具平台访问量从70亿次增至105.3亿次，增幅达50%。这一转变主要源于用户持续依赖浏览器访问生成式AI（GenAI）工具。尽管部分AI部署已转向桌面或私有应用，约80%的生成式AI使用仍发生在浏览器环境中。 该趋势的持续源于三大核心因素：浏览器具备跨设备普适性，可无缝集成其他服务平台，并支持开发者快速大规模部署AI工具。Acuvity联合创始人兼CEO Satyam Sinha指出：“过去一年中，关于AI风险和威胁的认知显著提升。客户反馈表明，他们正为如何优先处理这些问题感到困扰。” 当前生成式AI生态现状 Menlo Security通过分析2025年5-6月全球数百家企业30天内的AI交互数据，揭示关键洞察： • 单月生成式AI网站访问量达560万次 • 活跃GenAI域名6500个，远超应用数量（3000个） • ChatGPT周活用户超4亿，95%以上使用免费版 • 亚太区75%企业已采用生成式AI • 由AI驱动的零时差钓鱼攻击同比激增130% Darktrace高级副总裁Nicole Carignan强调：“理解不断演变的威胁态势及攻击者操纵AI的技术，对有效防护AI系统至关重要。网络安全是AI安全的基石。” 安全风险随普及率同步攀升 报告指出，“影子AI”使用加剧了安全隐患：68%员工通过个人账户使用ChatGPT等免费工具，57%曾输入敏感数据。Mimoto CEO Kris Bondi警告：“生成式影子AI缺乏防护机制，其潜在危害远超传统影子IT。隐蔽性更放大了风险。” Zimperium的Krishna Vishnubhotla补充道：“生成式AI正使钓鱼攻击的速度与逼真度急剧升级。依赖过时防御已不足够——安全策略必须与威胁同步进化。”随着AI生态的快速扩张，防护策略亦需加速迭代。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。 自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。 这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。 攻击背后的复杂社会工程 被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。 这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。 这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。 在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。 在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。 一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。 关键入侵迹象 Volexity强调了几点组织可以监控的潜在入侵迹象，包括： 使用Visual Studio Code客户端ID进行的OAuth登录活动 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL 新注册的、链接到代理IP地址的设备 异常的双重身份验证审批请求 与用户典型电子邮件客户端不匹配的应用程序ID 根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。 “基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。 该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360最新报告揭露，一场利用虚假新闻网站（BNS）实施跨国投资诈骗的犯罪行动已蔓延至50个国家。这些伪装成CNN、BBC、CNBC或地区媒体的BNS网页发布虚假报道，杜撰公众人物、央行或金融品牌支持新型被动收入项目的消息，旨在快速建立信任并将读者引向Trap10、Solara Vynex等专业级诈骗平台。 诈骗者通过谷歌、Meta及博客网络的赞助广告引流，使用“知名人物最新爆料”等标题党文案搭配官方照片/国旗增强可信度。用户点击后将跳转至假新闻页，最终导向虚假交易平台。多数骗局采用双阶段结构：第一阶段通过广告和假文章诱骗受害者；第二阶段在受害者上钩后启动，所谓“投资顾问”会致电索取身份证件，要求加密货币存款，并以持续“账户验证”拖延提款。这种分层机制帮助诈骗团伙建立虚假信任、延缓怀疑，直至榨干受害者资产。 当前CTM360的Webhunt平台已追踪到17,000余个此类网站。它们普遍托管于.xyz/.click/.shop等廉价顶级域，部分攻击者甚至入侵真实网站的子目录托管BNS内容以增加关停难度。诈骗网页往往根据目标地区定制化呈现——使用当地语言、篡改媒体Logo、结合区域意见领袖及银行信息提升欺骗性。 多数受害者在搜索在线投资或被动收入方法时遭遇骗局，易被模仿正规财经建议的赞助广告诱导。假内容精准匹配高意向搜索词，如“自动化加密货币交易”、“名人背书投资”等定制化诱饵。当受害者进入诈骗平台注册后，“投资经理”会通过专业话术敦促其存入约240美元激活账户。虚假利润仪表盘随即开始模拟盈利，而越深入参与就越被胁迫追加投资。 此类骗局不仅滥用信任，更收集敏感数据用于钓鱼攻击、身份盗窃及二次诈骗，使诱饵新闻网站成为三位一体的跨界威胁：兼具投资欺诈、品牌冒充与数据收割功能。这种模式正日益出现在杀猪盘、虚假KYC平台及联盟欺诈网络中，其生态演变值得重点追踪。 基于MITRE框架开发的CTM360欺诈导航工具完整绘制了骗局全流程：从资源架设、广告投放、受害者交互到数据窃取与资金变现。BNS在传播阶段扮演关键角色，成为庞大欺诈链条的入口节点。目前CTM360持续监控相关活动，并向受影响国家/机构提供关停支持、威胁情报及风险防护服务。 （注：CTM360是集成外部攻击面管理、数字风险防护、网络威胁情报、品牌保护与反钓鱼等功能的统一安全平台，提供覆盖明网/深网/暗网的无缝监测及无限关停服务。该方案无需用户配置安装，所有数据预填充且定向匹配机构需求，全程由CTM360托管运营。）         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文