西班牙捣毁 GXC Team 网络犯罪集团
HackerNews 编译,转载请注明出处: 西班牙国民警卫队(Guardia Civil)已捣毁 “GXC Team” 网络犯罪组织,并抓获其所谓的头目 —— 一名 25 岁的巴西男子,代号为 “GoogleXcoder”。 “GXC Team” 运营着一个 “犯罪即服务”(CaaS,Crime-as-a-Service)平台,通过 Telegram(电报)和一个俄语黑客论坛,提供人工智能驱动的钓鱼工具包、安卓恶意软件及语音诈骗工具。 西班牙国民警卫队宣布:“国民警卫队已捣毁西班牙境内最活跃的钓鱼犯罪组织之一,抓获了一名 25 岁的巴西男子。该男子被认为是西班牙语环境下,大规模盗取账号凭证工具的主要提供者。” 网络安全公司 Group-IB 一直对该组织进行追踪,并表示 “GXC Team” 的攻击目标包括西班牙、斯洛伐克、英国、美国和巴西的银行、交通及电子商务机构。 “GXC Team” 组织概况 该组织的钓鱼工具包可仿冒数十家西班牙及国际机构的网站,且至少支持 250 个钓鱼网站的运行。此外,该威胁组织还开发了至少 9 种安卓恶意软件,这些软件能拦截短信和一次性密码(OTP),可用于劫持用户账号及验证欺诈性交易。“GXC Team” 还为客户提供全面的技术支持和诈骗活动定制服务,堪称一个 “专业级、高收益” 的犯罪平台。 今年 5 月 20 日,西班牙警方开展行动,在坎塔布里亚、巴利亚多利德、萨拉戈萨、巴塞罗那、马略卡岛帕尔马、圣费尔南多及拉利内亚德孔波斯特拉等地同步实施突袭。 在此次行动中,警方查获了包含钓鱼工具包源代码、客户沟通记录及财务记录的电子设备。执法人员还追回了从受害者处盗取的加密货币,并关停了用于推广诈骗活动的 Telegram 频道,其中一个频道名为 “偷光奶奶的一切”。 当局表示,此次全国范围的突袭行动之所以能开展,得益于对查获设备的分析,以及对 “GoogleXcoder” 加密货币交易记录的追踪 —— 而该头目在一年多前就已被逮捕。 西班牙国民警卫队解释道:“由于案件复杂性,对查获设备的法医鉴定及加密货币交易记录的追踪持续了一年多。这些工作使得我们能够重建整个犯罪网络,并成功识别出 6 名与该犯罪组织服务直接相关的人员。” 目前针对 “GXC Team” 的调查仍在进行中,西班牙当局表示,未来可能会采取进一步行动,抓获该网络犯罪集团的更多成员。 消息来源:bleepingcomputer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
伪造 CAPTCHA 的钓鱼活动影响超过 1150 个组织
HackerNews 编译,转载请注明出处: Netskope 威胁实验室发现了一起广泛的钓鱼活动,该活动利用嵌入 PDF 文档中的伪造 CAPTCHA 图像来窃取信用卡信息和分发恶意软件。自 2024 年下半年以来,这场活动已经影响了超过 1150 个组织和 7000 名用户。 攻击者利用搜索引擎优化(SEO)技术,引诱受害者访问托管钓鱼 PDF 的恶意网站。这些 PDF 通常伪装成用户指南、手册、模板和表格,使用 “pdf”、“免费”、“下载” 和 “可打印” 等关键词。当受害者打开 PDF 时,会看到一个伪造的 CAPTCHA 图像,并被指示在运行窗口中复制和粘贴一个命令。该命令执行一个恶意的 PowerShell 脚本,下载并安装 Lumma Stealer 恶意软件。 这场钓鱼活动针对各个行业的组织,其中技术、金融服务和制造业受影响尤为严重。 该恶意软件使攻击者能够: 窃取存储的浏览器凭证 盗取加密货币钱包 截获银行凭证 捕获屏幕截图和键盘输入 鉴于其广泛的传播和隐蔽的感染链,Lumma Stealer 对个人用户和企业网络都构成了重大风险。 该活动已被观察到在 260 个独特的域名上进行,包括 Webflow、GoDaddy、Strikingly、Wix 和 Fastly 等热门内容交付网络。一些钓鱼 PDF 还被上传到在线库和 PDF 存储库,进一步扩大了攻击面。 Netskope 威胁实验室强调,从互联网下载 PDF 文件时,即使来自看似可信的来源,也应保持谨慎。用户应避免点击未知发件人的链接或打开附件,并在输入个人信息前始终仔细检查网站 URL。 消息来源:Security Online; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客利用 Webflow CDN PDF 的 CAPTCHA 技巧绕过安全扫描器
HackerNews 编译,转载请注明出处: 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络(CDN)上的虚假 PDF 文档进行的广泛网络钓鱼活动,其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者,使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF,该图像中嵌入了一个钓鱼链接,诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉(Jan Michael Alcantara)表示。 自 2024 年下半年以来,这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时,会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像,导致点击该图像的用户被带到了一个钓鱼页面,而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式,攻击者试图为这一过程披上一层合法的外衣,欺骗受害者认为他们进行了一次安全检查,同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面,以访问所谓的文档。然而,当受害者尝试完成此步骤时,他们会收到一个弹出消息,要求输入个人和信用卡信息。 “在输入信用卡信息后,攻击者会发送一条错误消息,表明信息未被接受。” 迈克尔・阿尔坎塔拉说,“如果受害者再次提交两到三次信用卡信息,他们将被重定向到一个 HTTP 500 错误页面。” 与此同时,SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包(不要与同名的银行恶意软件混淆),该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售,提供六个月的更新和绕过技术。 像网络钓鱼即服务(PhaaS)一样,它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证(2FA)代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务(如 Gmail、Yahoo 和 Microsoft)之间的流量。” 安全研究员丹尼尔・凯利(Daniel Kelley)表示,“作为中间人,它实时捕获登录凭证、令牌和会话 cookie,有效绕过了 2FA。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
GenAI 账户凭证被盗,暗网每日交易量达 400 条
近日,eSentire威胁响应小组(TRU)发现网络犯罪分子正利用生成式人工智能(GenAI)平台的普及,通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍,每天大约有400个GenAI账户凭证在暗网平台上交易,包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取,该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭,但它的存在突显了问题的严重性,被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势,网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告,这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权,包括客户数据、财务记录、知识产权和员工的个人可识别信息(PII)。 此外,针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据,这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁,包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险,比如OpenAI在2023年遭遇的数据泄露事件,凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的,平均每天有200个账户在暗网上挂牌。 为了降低这些风险,公司必须实施强有力的安全措施,如使用监控、先进的多因素认证(MFA)方法和暗网监控服务。 转自Freebuf,原文链接:https://www.freebuf.com/articles/407427.html 封面来源于网络,如有侵权请联系删除
最新发现:针对沙特政府服务门户网站的钓鱼活动
近日,多个冒充沙特政府服务门户网站Absher的钓鱼网站被建立起来,向公民提供虚假服务并窃取他们的凭证。这一发现来自CloudSEK的网络安全研究人员,他们在周四发布了一份关于该威胁的咨询。 安全专家写道:”威胁者通过发送短信,以及一个链接,敦促人们在Absher门户网站上更新他们的信息,来锁定个人。该钓鱼网站向用户展示了一个假的登录门户,损害了登录凭证”。 据CloudSEK称,在假的 “登录 “操作之后,网站上出现一个弹出窗口,提示向注册的手机号码发送一个四位数的一次性密码(OTP),可能是用来绕过合法的Absher门户网站的多因素认证(MFA)。任何四位数的数字都被接受为OTP,无需验证,受害者就能成功登录到假的门户网站。 一旦假的登录过程完成,用户就会被要求填写一个 “注册 “表格,泄露敏感的个人身份信息(PII),并被重定向到一个新的页面,提示他们选择一家银行。随后,将被引导到一个假的银行登录门户,旨在窃取他们的凭证。 安全研究人员指出,在提交网银登录信息后,弹出一个加载图标,页面被卡住,而用户的银行凭证已经被泄露。 据CloudSEK称,沙特地区的政府服务最近已成为网络犯罪分子的主要目标,他们破坏了用户的凭证,并利用它们进行进一步的网络攻击。”已经注册了多个网络钓鱼域名,以获取沙特阿拉伯个人的PII。 为了减轻这些攻击的影响,CloudSEK呼吁政府组织监测针对公民的网络钓鱼活动,并告知和教育他们这些危险,例如,告诉他们不要点击可疑的链接。在CloudSEK发现针对沙特阿拉伯的肯德基和麦当劳客户的单独的网络钓鱼活动的几周后,发布了这一警告。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/xfd7IaClhEJaO388bSDsZA 封面来源于网络,如有侵权请联系删除
伊朗黑客组织 TEMP.Zagros 转变攻击战术,针对亚洲和中东地区开展大规模网络钓鱼攻势
近日,FireEye 发布安全分析报告称,一个名为 TEMP.Zagros(又被称为 MuddyWater)的伊朗黑客自 2018 年 1 月至 3 月期间针对亚洲和中东地区发起了大规模的网络钓鱼攻势。在近期的活动中,该黑客利用了最新的代码执行和持久性技术向这些地区分发一个基于宏的恶意文档,与以往不同的是,该文档删除了一个 VBS 文件和一个包含 Base64 编码的 PowerShell 命令的 INI 文件。一旦被成功执行,恶意文档将会安装一个 POWERSTATS 后门。 在该恶意活动中,TEMP.Zagros 的战术、技术、程序、以及目标在一个月之内发生了较大的改变。上图为该钓鱼活动的简要时间轴。 TEMP.Zagros 通常会使用具有地缘政治主题的网络钓鱼攻击电子邮件和恶意宏文件,例如声称来自巴基斯坦国民议会或银行技术发展与研究所的文件。在分析这些文件时,FireEye 观察到TEMP.Zagros 重用了 AppLocker 旁路和用于间接代码执行的横向移动技术。此外,研究人员还在 TEMP.Zagros 使用的恶意代码中发现了中文字符串,这些字符串被留作虚假标志使得查询归属变得更加困难。 FireEye 分析报告: 《 Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
投资者当心!黑客伪造比特币交易工具投放 Orcus RAT 木马
近年来比特币价格呈现爆发式增长,价格已逾黄金 10 倍,估值甚至超过部分国家货币,仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注,近日安全研究人员发现,有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马(RAT),其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。 来自 FortiGuards 实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动,有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或 Gunthy 开发的新的合法比特币交易机器人 Gunbot,可帮助监测不同交易平台之间的价格差异。若出现盈利的机会,软件将会根据用户此前的设定在平台之间自动买卖比特币。 研究人员表示,垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的,它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件,其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。 “乍一看,下载的可执行文件似乎是一个良性的库存系统工具,包含很多对 SQL 命令的库存程序的引用。然而,通过进一步的分析,我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验,只是使用了在别处购买的网络钓鱼组件,又或者是对方并不在意钓鱼行为被检测到,只要有用户触发了 VB脚本他们便能够得逞。 据脚本的评论表明,网络钓鱼背后的黑客无意隐瞒其行为 自 2016 年以来,恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传,因为它具有 RAT 软件能够提供的所有功能,并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务(DDoS)攻击。就像其他远程访问木马一样,Orcus还具有密码检索和关键日志功能,可以窃取受害者在其设备上输入的所有内容,并且还可以实时远程执行被感染机器上的任意代码。另外,它还可以在网络摄像头上禁用指示灯,以避免提醒用户他们的网络摄像头处于活动状态,如果用户试图关闭进程则会触发系统蓝屏(BSOD),这也使得用户难以将其从系统中移除。 调查显示,该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org,通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。 研究人员指出,该域名似乎已经注册到了 “ Cobainin Enterprises ”,并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中,研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围,无论开发者如何辩解,这些应用程序被用于网络犯罪活动都已成事实。 相关阅读: 来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》 消息来源:IBTimes,编译:榆榆,审校 :FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。