HackerNews 编译，转载请注明出处： Netskope 威胁实验室发现了一起广泛的钓鱼活动，该活动利用嵌入 PDF 文档中的伪造 CAPTCHA 图像来窃取信用卡信息和分发恶意软件。自 2024 年下半年以来，这场活动已经影响了超过 1150 个组织和 7000 名用户。 攻击者利用搜索引擎优化（SEO）技术，引诱受害者访问托管钓鱼 PDF 的恶意网站。这些 PDF 通常伪装成用户指南、手册、模板和表格，使用 “pdf”、“免费”、“下载” 和 “可打印” 等关键词。当受害者打开 PDF 时，会看到一个伪造的 CAPTCHA 图像，并被指示在运行窗口中复制和粘贴一个命令。该命令执行一个恶意的 PowerShell 脚本，下载并安装 Lumma Stealer 恶意软件。 这场钓鱼活动针对各个行业的组织，其中技术、金融服务和制造业受影响尤为严重。 该恶意软件使攻击者能够： 窃取存储的浏览器凭证 盗取加密货币钱包 截获银行凭证 捕获屏幕截图和键盘输入 鉴于其广泛的传播和隐蔽的感染链，Lumma Stealer 对个人用户和企业网络都构成了重大风险。 该活动已被观察到在 260 个独特的域名上进行，包括 Webflow、GoDaddy、Strikingly、Wix 和 Fastly 等热门内容交付网络。一些钓鱼 PDF 还被上传到在线库和 PDF 存储库，进一步扩大了攻击面。 Netskope 威胁实验室强调，从互联网下载 PDF 文件时，即使来自看似可信的来源，也应保持谨慎。用户应避免点击未知发件人的链接或打开附件，并在输入个人信息前始终仔细检查网站 URL。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Cloudflare 近日宣布了名为 Private Access Tokens 的新技术，允许站长以私人的方式验证访客是否真实。操作系统将增加对这项新技术的支持，包括即将推出的 macOS 和 iOS 版本，并将消除完成恼人的 CAPTCHAs 验证。这应该会使移动浏览变得更加愉快。 Cloudflare 概述了 PATs 的几个好处，对用户来说，它使访问网站不那么麻烦，对网络和应用程序开发人员来说，它让你知道用户是在一个真实的设备和签名的应用程序上，对 Cloudflare 客户来说， PATs 不需要设置，非常易用。 苹果是首批宣布在 iOS 16、iPadOS 16 和 macOS 13 中支持 Private Access Tokens 的主要厂商之一。而其他厂商也有望在不久的将来宣布支持，因此更多的人在未来能够避免 CAPTCHAs。 在 Cloudflare 这边，PAT 已经被纳入其管理挑战平台，所以使用这一功能的客户已经在他们的网站上支持 PAT。Cloudflare 表示，其 65% 的客户已经使用托管挑战而不是传统的验证码作为其防火墙规则中的一个响应选项。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1278791.htm 封面来源于网络，如有侵权请联系删除