HackerNews 编译，转载请注明出处： 网络安全研究人员发现，仿冒杀毒软件厂商Bitdefender的钓鱼网站正被用于分发VenomRAT远程控制木马及两款恶意工具，形成三重攻击链。该仿冒网站界面高度还原官方下载页面，但用户点击“DOWNLOAD FOR WINDOWS”按钮后，实际下载的是托管在Bitbucket与Amazon S3平台的恶意安装包。 安装包内含名为StoreInstaller.exe的可执行文件，经分析发现其捆绑了VenomRAT、StormKitty和SilentTrinity三个恶意家族的代码模块。DomainTools研究团队指出，攻击者通过模块化组合实现多重渗透： VenomRAT：基于开源项目Quasar RAT改造，具备键盘记录、凭证窃取与远程命令执行能力，建立持久控制通道 StormKitty：专门窃取加密货币钱包数据及系统登录凭证 SilentTrinity：采用隐蔽通信协议实施数据外泄，维持长期潜伏 技术溯源显示，相关恶意样本均配置相同C2服务器（67.217.228[.]160:4449与157.20.182[.]72:4449），且部分样本共享远程桌面协议（RDP）配置参数，证实攻击活动由同一组织操控。攻击者还注册多个仿冒银行与IT服务登录页的钓鱼域名，包括仿造亚美尼亚IDBank的idram-secure[.]live、伪装加拿大皇家银行的royalbanksecure[.]online，以及假冒微软门户的dataops-tracxn[.]com，域名注册时间与基础设施存在关联性。 此次攻击凸显开源恶意工具的低门槛化趋势，攻击者通过组合现有框架快速构建攻击套件。研究人员强调，虽然开源特征有助于防御方识别攻击模式，但也显著提升了攻击效率与规模。建议用户从官方渠道验证下载文件，避免在可疑页面提交敏感信息，并对邮件附件与链接保持警惕。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露一起新型恶意活动，攻击者利用仿冒Bitdefender的虚假杀毒软件下载网站，诱导用户下载名为VenomRAT的远程访问木马。此次攻击的仿冒网站“bitdefender-download[.]com”宣称提供Windows版杀毒软件下载，用户点击页面显眼的“Download for Windows”按钮后，会触发从Bitbucket仓库重定向至亚马逊S3存储桶的文件下载流程。目前该Bitbucket账户现已被封禁。 下载的ZIP压缩包（BitDefender.zip）包含名为StoreInstaller.exe的可执行文件，经分析发现其整合了VenomRAT木马配置、开源后期利用框架SilentTrinity以及StormKitty信息窃取器。VenomRAT作为Quasar RAT的变种，具备数据收集与持久化远程控制能力。DomainTools情报团队指出，该钓鱼网站基础设施与多个仿冒加拿大皇家银行、微软服务的恶意域名存在关联，这些域名此前已被用于窃取登录凭证的钓鱼活动。 攻击技术链显示，VenomRAT负责建立隐蔽通道，StormKitty窃取密码与数字钱包信息，SilentTrinity则确保攻击者维持控制权。研究人员强调：“该活动采用模块化开源组件构建的恶意软件体系，这种’自组装’策略显著提升了攻击效率与隐蔽性。” 同期曝光的另一起ClickFix式攻击活动中，攻击者伪造谷歌Meet页面，利用虚假的“麦克风权限被拒绝”错误提示诱导用户执行特定PowerShell命令，从而部署名为noanti-vm.bat的混淆批处理脚本实现远程控制。此外，针对Meta的大规模钓鱼活动借助谷歌AppSheet无代码开发平台绕过SPF、DKIM等邮件安全协议，通过动态生成唯一案例ID规避传统检测系统。钓鱼邮件伪装成Facebook支持团队，以24小时内提交申诉为由诱骗用户点击链接，跳转至中间人钓鱼页面窃取双因素认证代码。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

响应 NoMoreRansom Initiative 活动号召，罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器，LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现，以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro，导致这家挪威铝制造商停产近一周，损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称，LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击，造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态，当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示，逮捕后，警方花了几个月的时间检查突袭期间收集的数据，并发现了该组织的加密密钥，以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示：“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时，通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥，根据我们与相关执法部门的合作，这些密钥已私下与我们共享”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络，如有侵权请联系删除