HackerNews 编译，转载请注明出处： 执法机构宣布，他们追踪到了 SmokeLoader 恶意软件的客户，并拘留了至少五名个人。 “在一系列协调行动中，由名为‘Superstar’的运营商管理的 Smokeloader 按安装付费僵尸网络的客户面临了诸如逮捕、搜查住所、逮捕令或‘敲门谈话’等后果，”欧洲刑警组织在一份声明中表示。 据称，Superstar 运营了一项按安装付费的服务，使客户能够通过该加载器作为渠道，向受害者的机器部署下一阶段的恶意载荷。 根据欧洲执法机构的说法，该僵尸网络提供的访问权限被用于各种目的，包括键盘记录、网络摄像头访问、勒索软件部署和加密货币挖掘。 此次行动是名为“终局行动”（Operation Endgame）的持续协调行动的一部分，该行动去年导致了与多个恶意软件载荷器（如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相关的在线基础设施被拆解。 加拿大、捷克共和国、丹麦、法国、德国、荷兰和美国参与了此次后续行动，旨在针对网络犯罪生态系统的“需求侧”。 网络安全 据欧洲刑警组织称，当局通过之前查获的一个数据库追踪到注册的客户，将他们的在线身份与现实中的个人联系起来，并传唤他们接受询问。据信，有部分嫌疑人选择配合调查，并允许检查他们的个人设备以收集数字证据。 “一些嫌疑人以更高的价格转售从 SmokeLoader 购买的服务，从而为调查增加了额外的趣味性，”欧洲刑警组织表示。“一些嫌疑人曾以为他们已不在执法机构的监控范围内，但最终意识到他们仍然是目标。” 恶意软件载荷器的多种形式 这一发展与 Broadcom 旗下的赛门铁克披露的一项网络钓鱼活动的细节相吻合，该活动利用 Windows 屏保（SCR）文件格式在受害者的机器上分发基于 Delphi 的恶意软件载荷器 ModiLoader（又名 DBatLoader 和 NatsoLoader）。 这也与一项隐蔽的网络活动相吻合，该活动诱使用户运行恶意的 Windows 安装程序（MSI）文件以部署另一种名为 Legion Loader 的载荷器恶意软件。 “此次活动使用了一种称为‘粘贴劫持’（pastejacking）或‘剪贴板劫持’的方法，因为用户被指示将内容粘贴到运行窗口中，”Palo Alto Networks Unit 42 表示，并补充称，它利用了多种伪装策略，通过 CAPTCHA 页面规避检测，并将恶意软件下载页面伪装成博客网站。 网络钓鱼活动也成为了 Koi Loader 的分发渠道，后者随后用于下载和执行一种名为 Koi Stealer 的信息窃取工具，作为多阶段感染序列的一部分。 “像 Koi Loader 和 Koi Stealer 这样的恶意软件利用了反虚拟机（Anti-VM）能力，突显了现代威胁规避分析师、研究人员和沙箱的检测和分析的能力，”eSentire 在上个月发布的一份报告中表示。 不仅如此，最近几个月再次见证了 GootLoader（又名 SLOWPOUR）的回归，它通过谷歌的赞助搜索结果传播，这一技术最早于 2024 年 11 月初被发现。 攻击针对在谷歌上搜索“保密协议模板”的用户，提供虚假广告，点击后会重定向到一个网站（“lawliner[.]com”），要求用户输入电子邮件地址以接收文档。 “在用户输入电子邮件后不久，他们会收到来自 lawyer@skhm[.]org 的电子邮件，其中包含一个链接，指向他们请求的 Word 文档（DOCX），”一位名为 GootLoader 的安全研究人员表示，他多年来一直密切监控该恶意软件载荷器。 “如果用户通过了所有关卡，他们将下载一个压缩的 JavaScript 文件。当用户解压并执行 JavaScript 文件时，相同的 GootLoader 行为就会发生。” 还发现了一种名为 FakeUpdates（又名 SocGholish）的 JavaScript 下载器，它通常通过社会工程伎俩传播，诱使用户安装伪装成 Google Chrome 等网络浏览器合法更新的恶意软件。 “攻击者利用受损资源分发恶意软件，将恶意 JavaScript 注入易受攻击的网站以识别主机、执行资格检查，并显示虚假的更新页面，”谷歌表示。“恶意软件通常通过驱动下载分发。恶意 JavaScript 作为下载器，传递额外的恶意软件。” 这种虚假浏览器更新的攻击路径也被观察到分发另外两种名为 FAKESMUGGLES 的 JavaScript 恶意软件家族，它因使用 HTML 走私技术传递下一阶段载荷（如 NetSupport Manager）而得名，以及 FAKETREFF，它与远程服务器通信以检索额外的载荷（如 DarkGate）并发送基本的主机信息。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： 研究人员发现一个SmokeLoader活动，该活动正在分发恶意软件针对加密货币用户，如SystemBC和Raccoon Stealer 2.0，以及一个新的被追踪为Laplas的clipper恶意软件。 专家们在过去两周内检测到了180多个不同的clipper恶意软件样本，这一情况证实了该威胁在最近几周已被广泛部署。 Clipper是一系列恶意软件，旨在通过将受害者的钱包地址与攻击者拥有的钱包地址交换来劫持加密货币交易。 Clipper恶意软件监视受害者系统的剪贴板，然后每当用户复制数据时，它都会验证它是否是有效的加密货币钱包地址，并将其替换为攻击者的钱包地址。 Cyble发布的帖子写道：“Laplas是新的clipper恶意软件，它生成的钱包地址与受害者的钱包地址相似。受害者不会注意到地址的差异，这大大增加了clipper活动成功的机会。” 这个clipper可以瞄准多个钱包，包括比特币、以太坊、比特币现金、莱特币、Dogecoin、Monero、Ripple、ZCash、Dash、Ronin、Tron和Steam Trade URL。 以下是Laplas Clipper的定价选项： $29 / 周 $59 / 月 $159 / 3个月 $299 / 半年 $549 / 年 clipper提供了一个易于使用的仪表板，允许操作员检查受感染计算机的状态和活动TA钱包地址的详细信息。 报告总结道：“Smoke Loader是一个众所周知的、高度可配置的、有效的恶意软件，TA正在积极修复。它是一个模块化的恶意软件。这表明它可以从C&C服务器获取新的执行指令，并下载更多恶意软件以扩展功能。在这种情况下，TA使用三种不同的恶意软件家族来获取经济利益。RecordBreaker是Raccoon Stealer的复活版本，用于窃取敏感信息，SystemBC是一种多功能威胁，结合了代理和远程访问特洛伊木马功能，新的Laplas clipper执行剪贴板劫持以窃取受害者的加密货币。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，新版本的Amadey Bot恶意软件使用软件破解和注册机站点作为诱饵，正通过SmokeLoader恶意软件分发。Amadey Bot 是四年前发现的一种恶意软件，它能够执行系统侦察、窃取信息和加载额外的有效负载，虽然在2020年后它就消失了，但AhnLab的韩国研究人员报告说，一个Amadey Bot的新版本再现，并得到了现在仍然非常活跃的 SmokeLoader 恶意软件的支持。这与Amadey对Fallout和Rig漏洞利用工具包的依赖不同，这些工具包通常已经不再流行，因为它们针对的是过时的漏洞。 SmokeLoader通常会伪装成软件漏洞或keygen，让受害者在毫不知情的情况下下载并执行。由于漏洞和密钥生成器触发防病毒警告的情况很常见，用户在运行防病毒程序之前禁用防病毒程序是很常见的，这使它们很快成为分发恶意软件的理想手段。当用户执行后，它将“Main Bot”注入当前运行的 (explorer.exe) 进程，因此操作系统信任它并在系统上下载 Amadey。 获取并执行 Amadey 后，它会将自身复制到名为“bguuwe.exe”的 TEMP 文件夹中，并使用 cmd.exe 命令创建计划任务以保持持久性。接下来，Amadey 建立C2通信并向攻击者的服务器发送系统配置文件，包括操作系统版本、架构类型、已安装的防病毒工具列表等。 在其最新版本3.21中，Amadey可以发现14种防病毒产品，并且可能根据结果获取可以避开正在使用的有效负载。服务器会响应指令，并以dll的形式下载额外的插件，以及其他信息窃取者的副本，最著名的是RedLine (‘yuri.exe’)。 同时它还会使用UAC绕过和权限提升来获取和安装有效负载。Amadey为此使用了一个名为“FXSUNATD.exe”的程序，并通过 DLL 劫持向管理员执行提升。在下载有效载荷之前，还使用PowerShell在Windows Defender上添加了适当的排除。此外，Amadey会定期捕获屏幕截图并将其保存在TEMP路径中，以便和下一个POST请求一起发送到C2。 下载的其中的一个DLL插件“cred.dll”通过“rundll32.exe”运行，试图从以下软件中窃取信息： Mikrotik 路由器管理程序 Winbox Outlook FileZilla Pidgin Total Commander FTP Client RealVNC, TightVNC, TigerVNC WinSCP 当然，如果将 RedLine 加载到主机上，目标范围会急剧扩大，受害者可能会丢失帐户凭据、通信、文件和加密货币资产。为了避免Amadey Bot和 RedLine带来的危险，建议不要轻易下载承诺免费访问高级产品的破解文件、软件产品激活器或非法密钥生成器。 转自 FreeBuf，原文链接：https://www.freebuf.com/articles/340023.html 封面来源于网络，如有侵权请联系删除