HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府正试图在该国境内屏蔽 WhatsApp，其对不受其管控的通讯平台的打击力度正不断加大。 WhatsApp 在 X 平台上宣布了针对自身的这一举措，称其是 “倒退之举”，“只会让俄罗斯民众的安全程度降低”。 WhatsApp 向其俄罗斯用户保证，将继续尽一切所能维持他们的通讯连接。 据俄罗斯媒体报道，该国互联网监管机构 Roskomnadzor 近期将 whatsapp.com 与web.whatsapp.com 域名从国家域名系统中剔除，官方给出的解释是打击犯罪与欺诈行为。 实际操作中，将这些域名从国内域名系统路由中剔除后，只有使用虚拟专用网络工具或外部解析器的用户才能访问 WhatsApp 服务。 然而，据报道，目前更严厉的措施已经落地，俄方正试图在俄罗斯境内全面屏蔽 WhatsApp。 这款即时通讯软件的母公司 Meta 自 2022 年起，在俄罗斯被认定为 “极端主义” 组织。 2025 年 8 月，WhatsApp 在俄罗斯首次遭遇限制措施，当时 Roskomnadzor 开始对其语音和视频通话进行限流。 2025 年 10 月，俄当局试图阻止新用户注册 WhatsApp。 据报道，俄罗斯总统新闻秘书 Dmitry Peskov 表示，只要 Meta 遵守俄罗斯当地法律，俄当局愿意允许 WhatsApp 在该国恢复运营。 在针对 WhatsApp 的屏蔽措施实施前不久，俄方已对 Telegram 采取了类似行动，据报道，本周早些时候 Telegram 在俄罗斯遭到大规模限流。 Telegram 创始人 Pavel Durov 对此情况回应称，俄罗斯正试图鼓励本国公民使用由克里姆林宫管控的 MAX 即时通讯应用。 MAX 是由 VK 开发的一款颇具争议的通讯平台，自 2025 年 9 月起，俄罗斯境内销售的所有电子设备均强制预装该应用。 尽管 MAX 被宣传为一款可保护国家通讯免受外国监控的安全应用，但多家独立测评机构对其加密漏洞、政府访问权限以及大规模数据收集的风险提出了担忧。 目前，俄罗斯用户或许仍可通过使用虚拟专用网络工具继续访问自己选择的通讯软件，但此类工具同样面临政府的打击风险。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta公司周二宣布，将在WhatsApp中新增”严格账户设置”功能，为因身份或职业面临高级网络攻击风险的特定用户提供额外安全防护。这款类似苹果iOS”锁定模式”和安卓”高级保护”的功能，旨在通过牺牲部分使用便捷性，为记者、公众人物等个体提供更强大的间谍软件防护。 启用该安全模式后，部分账户设置将自动调整为最高限制级别，同时自动屏蔽非联系人发送的附件和媒体文件。Meta公司表示：”这项锁闭式功能只需轻点几下即可大幅提升安全等级——自动屏蔽未知发件人的附件媒体、静音陌生来电，并限制其他可能影响应用功能的设置。” 用户可通过”设置 > 隐私 > 高级”路径启用该功能。Meta表示该功能将在未来几周内逐步向全球用户推送。 与此同时，这家社交媒体巨头宣布将在媒体分享功能中采用Rust编程语言，以保护用户的照片、视频和消息免受间谍软件攻击。该公司称此次更新是”全球范围内规模最大的Rust语言库部署”。 Meta指出，采用Rust语言使其能够开发出安全、高性能、跨平台的媒体共享库（”wamedia”），并正在通过三重策略应对内存安全问题： 产品设计层面最大限度减少攻击面暴露 持续投入对现有C/C++代码的安全保障 新代码默认选用内存安全型编程语言 公司补充道：”WhatsApp已部署控制流完整性、强化内存分配器、安全缓冲区处理API等多重防护措施。这是在用户无感知情况下提升安全性的重要进展，也是我们纵深防御战略的组成部分。” 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点，但要把各类签名完全隐藏仍面临长期挑战。 攻击者若想把高级间谍软件投递给某名用户，往往会选择拥有 30 亿用户的 WhatsApp 做渠道。他们先利用 0day（无需受害者交互即可投毒）把 payload 推送到用户端。2025 年曝出的 Paragon 间谍软件事件，就是通过这类 0day 对数十名用户下手。 WhatsApp 0day 极其罕见，全利用链在灰/白市常被叫到 100 万美元。 “先识系统、再选漏洞” 在真正动用 0day 前，攻击者必须知道目标运行什么操作系统，才能匹配相应漏洞。过去两年多名研究者演示：只需知道手机号，即可在侦察阶段无感地收集到以下信息—— 用户主力设备与所有已关联设备 各设备的 OS 类型、设备“年龄” 是在手机 App 还是桌面浏览器上使用 WhatsApp 原因在于 WhatsApp 给各端分配的加密密钥 ID（key ID）具有可预测特征。 研究进展 ZenGo 钱包联合创始人兼 CTO Tal Be’ery 是这项调查的主要推动者之一。他和同伴将发现报告给 Meta 后，一度未见动作，直到近期 Be’ery 用自己编写的非公开工具测试时发现： Android 端的关键 ID 已开始被随机化； iPhone 端仍用“初始值很小、隔几天才递增”的策略，因此依旧能高置信区分出 Android 与 iPhone。 Be’ery 在周一发表的博客中肯定 Meta“迈出了第一步”，但批评其静默推送、无 CVE、无赏金，且与报告者沟通不足。他认为后续若把相关字段在所有平台都随机化，这一隐私漏洞将被“彻底消灭”。 WhatsApp 回应 WhatsApp 对 SecurityWeek 表示，公司持续在不同向量上强化安全，同时需兼顾 30 亿用户的体验。关于“操作系统可被推断”，官方指出： 设备指纹识别并非 WhatsApp 独有，iMessage 等平台也存在； OS 本身为优化体验会暴露差异（如 iMessage 输号即可判断对方是否苹果设备）； 推断 OS 需先有 0day 才能转化为实际攻击，行业普遍将其定级为“低危”，通常不分配 CVE；Be’ery 报告的情形未达到 WhatsApp 阈值。 不过，WhatsApp 承认该报告帮助其修复了另一处“无效消息处理”缺陷，并优化了同类漏洞的赏金流程，已向研究员发放奖金。 数据与行动 Meta 自启动赏金计划以来已支付 2500 万美元，其中 2025 年发放 400 万。 WhatsApp 推出 Research Proxy 工具，方便学者对其协议做安全研究。 在反间谍软件战线，Meta 继续诉讼、情报共享与用户教育并举——去年已胜诉 NSO Group，后者被勒令停止攻击 WhatsApp 并支付数百万惩罚性赔偿金（NSO 已提起上诉）。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  WhatsApp的多设备加密协议长期存在元数据泄露问题，使得攻击者能够对用户设备的操作系统进行指纹识别，从而有助于精准投递恶意软件。近期研究显示Meta已进行部分修复，但透明度问题依然存在。 Meta旗下的WhatsApp拥有超过30亿月活跃用户，其使用端到端加密来保障消息安全；然而，其多设备功能却会暴露设备信息。 在该设置下，发送方与接收方的每个设备建立独立会话，使用的是在设备而非服务器上生成的唯一加密密钥。 密钥ID在实现上的差异，会揭示设备运行的是Android还是iOS系统，这对网络攻击链中的侦查环节至关重要。 攻击者可被动利用此漏洞，无需用户交互即可通过查询WhatsApp服务器获取会话密钥，从而识别操作系统类型，进而向Android设备部署精准漏洞利用程序和恶意软件，同时避免触及iOS设备或惊动受害者。 2024年初，Tal A. Be’ery在WOOT’24上的研究揭露了基于Signal协议实现的、按设备建立的会话会泄露设备数量、类型和身份信息。 同年晚些时候，攻击者已能精确定位特定设备进行漏洞利用。2025年，Gabriel Karl Gegenhuber等人在WOOT’25上详细阐述了操作系统指纹识别方法：Android的签名预密钥ID每月从0开始缓慢递增，而iOS的模式则截然不同。 Tal A. Be’ery使用定制工具验证了这一点，确认攻击者可将这些泄露信息串联起来：先检测操作系统，然后悄无声息地投递针对特定操作系统的恶意负载。 近期，WhatsApp已将Android签名预密钥ID的分配方式更改为在整个24位范围内随机取值，从而阻断了该攻击途径。这一变动是通过监测工具发现的，标志着Meta改变了先前认为此问题”无法采取行动”的立场。 然而，一次性预密钥仍然具有区分度：iOS的ID起始值较低且每隔几天递增，而Android则使用完全随机的范围。修复后经过调整的工具仍能可靠地检测出操作系统。 这使得高级持续性威胁能够利用WhatsApp作为传播恶意软件的渠道，正如Paragon间谍软件案例所示。查询过程中不会向用户发出任何通知，从而保持了攻击的隐蔽性。 批评者指出，此次修复措施的推出并未像处理另一个类似问题那样，向研究人员发出警报、提供漏洞赏金或分配CVE编号。CVE通过CVSS评分记录问题，而非用于指责；此类疏漏阻碍了问题的追踪。 虽然修复措施在持续改进，但实现跨平台的完全随机化并提高CVE透明度，将能更好地保护数十亿用户，促进社区协作。在当前风险持续存在的情况下，用户应限制关联设备数量并监控账户活动。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一、WhatsApp 蠕虫传播银行木马攻击 威胁组织 Water Saci正不断升级攻击战术，采用复杂的多层级感染链，通过 HTML 应用程序文件和 PDF 文档，借助 WhatsApp 传播蠕虫病毒，向巴西用户投放银行木马。 此次攻击浪潮的显著特征是，攻击者将恶意代码从 PowerShell 迁移至 Python 变体，通过 WhatsApp Web 以蠕虫形式扩散恶意软件。 趋势科技研究员杰弗里・弗朗西斯・博纳奥布拉、莎拉・珀尔・卡米林、乔・苏亚雷斯、拜伦・赫莱拉、伊恩・克尼菲克及伊曼纽尔・帕诺皮奥指出：“他们新采用的多格式攻击链，以及可能利用AI将传播脚本从 PowerShell 转换为 Python 的做法，体现了分层攻击思路。这一策略使水萨西能够绕过传统安全控制，利用多渠道用户信任，显著提升感染率。” 攻击流程解析 钓鱼诱导：用户通过 WhatsApp 收到来自可信联系人的消息，诱导其打开恶意 PDF 或 HTA 附件，触发感染链。其中，PDF 诱饵会提示受害者点击嵌入式链接更新 Adobe Reader。 HTA 文件执行：接收 HTA 文件的用户打开后，会被诱骗立即执行 Visual Basic 脚本，该脚本随后运行 PowerShell 命令，从远程服务器获取下一阶段载荷 —— 木马的 MSI 安装程序和负责通过 WhatsApp Web 传播恶意软件的 Python 脚本。 Python 脚本优势：趋势科技表示，“这款新发现的变体具备更广泛的浏览器兼容性、面向对象的代码结构、增强的错误处理能力，以及通过 WhatsApp Web 实现更快的恶意软件自动化分发。这些改进使传播速度更快、抗故障能力更强，且更易于维护和扩展。” 恶意软件功能与靶向攻击 安装与持久化：MSI 安装程序通过 AutoIt 脚本投放银行木马，并检查名为 “executed.dat” 的标记文件，确保同一时间仅运行一个木马实例（若文件不存在则创建，并向攻击者控制的服务器 “manoelimoveiscaioba [.] com” 发送通知）。 地域靶向：脚本会验证 Windows 系统语言是否为巴西葡萄牙语，仅当满足该条件时才继续扫描受感染系统的银行相关活动，包括检测巴西主要银行应用、安全及反欺诈模块的文件夹（如布拉德斯科银行、华沙安全软件、Topaz OFD、西库银行、伊塔乌银行等）。 侦察行为：脚本还会分析用户的谷歌浏览器浏览历史，搜索预设的巴西银行网站（如桑坦德银行、巴西银行、联邦储蓄银行、西克雷迪银行、布拉德斯科银行）；同时检查已安装的杀毒软件和安全工具，收集详细的系统元数据。 核心攻击动作：木马监控打开的窗口并提取标题，与银行、支付平台、交易所及加密货币钱包的关键词列表进行匹配。若检测到目标窗口，脚本会查找安装程序释放的 TDA 文件，解密后注入 “空心化” 的 “svchost.exe” 进程，随后加载包含银行木马的 DMP 文件。趋势科技解释：“若存在 TDA 文件，AutoIt 脚本会将其解密并作为中间 PE 加载器（第二阶段）载入内存；若仅发现 DMP 文件（无 TDA），则跳过中间加载器和进程空心化步骤，直接将银行木马载入 AutoIt 进程内存，形成更简洁的两阶段感染。” 持久化机制：木马通过持续监控新生成的 “svchost.exe” 进程维持持久化，若进程被终止，会重新启动并等待受害者下次打开目标金融服务浏览器窗口时，重新注入载荷。 战术升级与威胁特征 此次攻击的重大战术转变在于，投放的银行木马并非该组织此前使用的 Maverick，而是与 Casbaneiro（又名 Metamorfo、Ponteiro）木马在结构和行为上存在连续性的恶意软件。这一判断基于其采用的 AutoIt 交付与加载机制、窗口标题监控、注册表持久化及基于 IMAP 的备用命令与控制（C2）机制 —— 类似特征早在 2019 年就已出现在针对拉丁美洲（LATAM）的银行木马中。 木马启动后，会执行 “激进的” 反虚拟化检查以规避分析和检测，通过 Windows 管理规范查询收集主机信息，修改注册表实现持久化，并与 C2 服务器 “serverseistemasatu [.] com” 建立连接，发送收集到的信息并接收后门命令，实现对受感染系统的远程控制。 其核心功能包括： 发送系统信息 启用键盘记录 启动 / 停止屏幕捕获 修改屏幕分辨率 模拟鼠标移动和点击 执行文件操作 上传 / 下载文件 枚举窗口 创建伪造银行界面（Overlay）捕获凭证和交易数据 此外，Python 脚本作为 PowerShell 版本的增强版，借助 Selenium 浏览器自动化工具，可通过 WhatsApp Web 会话向所有联系人分发恶意软件。趋势科技指出，“有充分证据表明，水萨西可能使用了大型语言模型（LLM）或代码转换工具将传播脚本从 PowerShell 迁移至 Python，两款版本功能高度相似，且控制台输出中包含表情符号。” 趋势科技总结：“水萨西攻击事件标志着巴西网络威胁进入新时代 —— 攻击者利用 WhatsApp 等热门即时通讯平台的信任度和覆盖范围，策划大规模、自传播的恶意软件攻击。通过将熟悉的通信渠道武器化，并运用高级社会工程学，威胁组织能够迅速攻陷受害者设备，绕过传统防御，维持银行木马的持久感染。此次攻击表明，合法平台可能被转化为强大的恶意软件传播载体，同时凸显了该地区网络犯罪活动的日益复杂化。” 二、RelayNFC 安卓恶意软件针对巴西发起 NFC 中继攻击 与此同时，巴西银行用户正遭受一款名为 RelayNFC 的新型安卓恶意软件攻击。该恶意软件此前未被公开记录，专门实施近场通信中继攻击，窃取非接触式支付数据。相关攻击活动始于 2025 年 11 月初。 Cyble 安全团队在分析报告中表示：“RelayNFC 实现了完整的实时 APDU 中继通道，使攻击者能够在受害者卡片未实际在场的情况下完成交易。该恶意软件基于 React Native 和 Hermes 字节码构建，增加了静态分析难度，有助于规避检测。” 攻击流程与技术细节 传播方式：主要通过钓鱼攻击传播，攻击者搭建葡萄牙语诱饵网站（如 “maisseguraca [.] site”），以 “保障支付卡安全” 为借口，诱骗用户安装恶意软件。 数据窃取：与 SuperCard X、PhantomCard 等其他 NFC 中继恶意软件家族类似，RelayNFC 扮演 “读卡器” 角色，指示受害者将支付卡轻触手机以收集卡片数据。读取完成后，恶意软件会提示用户输入 4 位或 6 位 PIN 码，捕获的信息通过 WebSocket 连接发送至攻击者服务器。 实时中继交易：Cyble 解释：“当攻击者通过其销售终端（POS）仿真设备发起交易时，C2 服务器会向受感染手机发送特制的‘apdu’类型消息，包含唯一请求 ID、会话标识符和编码为十六进制字符串的 APDU 命令。RelayNFC 接收指令后，解析数据包、提取 APDU 数据，并直接转发至受害者设备的 NFC 子系统，相当于物理支付卡的远程接口。” 潜在战术扩展 Cyble 的调查还发现了另一个钓鱼网站（“test.ikotech [.] online”），该网站分发的 APK 文件部分实现了主机卡模拟（HCE）功能，表明威胁组织正在测试不同的 NFC 中继技术。HCE 允许安卓设备模拟支付卡，使受害者的卡片交互能够在合法销售终端（PoS）与攻击者控制的设备之间传输，从而实现实时 NFC 中继攻击。目前该功能仍在开发中，因为 APK 文件未在包清单中注册 HCE 服务。 Cyble 指出：“RelayNFC 攻击事件凸显了针对支付系统的 NFC 中继恶意软件的快速演变，尤其是在巴西地区。威胁组织结合钓鱼传播、基于 React Native 的混淆技术，以及通过 WebSocket 实现的实时 APDU 中继，打造了一套高效的远程 EMV 交易欺诈机制。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维也纳大学的一个研究团队发现了一个WhatsApp安全漏洞，攻击者可利用此漏洞批量获取约35亿账户的信息。Meta公司随后修复了该漏洞，以阻止这种批量信息枚举技术。 用户通过向WhatsApp服务器查询电话号码来发现联系人，这种机制本身使得电话号码枚举成为可能。尽管平台设有标准的速率限制机制，但研究人员仍能以每小时超过1亿个号码的速度进行探测，且未被拦截，这暴露了平台在大规模枚举攻击面前的脆弱性。研究发现，在2021年Facebook数据泄露事件中遭泄露的电话号码，有近一半目前仍在WhatsApp上活跃使用。 研究人员在报告中指出：”这种架构本质上就支持电话号码枚举，因为服务必须允许合法用户查询联系人可用性。虽然速率限制是防止滥用的标准防御手段，但我们重新审视了这个问题，并证明WhatsApp在面对大规模枚举时依然高度脆弱。在我们的研究中，我们能够以每小时超过一亿个电话号码的速度进行探测，而未遭遇拦截或有效的速率限制。” 研究人员开发了一种方法，能为全球245个国家/地区生成符合格式的可疑手机号码，将全球候选号码范围缩小至630亿。他们分析了35亿个WhatsApp账户，收集的数据包括电话号码、时间戳、个人资料图片、”个性签名”文本以及端到端加密公钥，由此创建了目前规模最大、且符合伦理研究规范的数据集之一。将此数据集与2021年通过Facebook数据爬取获得的5亿条记录进行比较后，发现其中一半号码仍在活跃使用，显示了早期数据泄露的长期影响。 该团队进行了一次”人口普查”，揭示了账户活跃度、设备类型、操作系统市场份额和资料使用情况，凸显了尽管平台采用端到端加密，但仍存在大量数据可见性。他们还在明令禁止使用该服务的地区（如中国、缅甸、朝鲜、伊朗）识别出了活跃账户，表明封禁措施效果有限。对X25519密钥的分析显示，存在大量密钥复用以及跨设备重复使用一次性预密钥的情况，这表明某些实现存在安全隐患或可能存在欺诈行为。一些美国号码甚至使用了全零的私钥，这强烈暗示其随机数生成器存在缺陷或使用了非标准软件。 Meta公司试图淡化此问题，声称用户的聊天消息、联系人或其他私人数据并未因此泄露，且个人资料照片或”个性签名”文本仅在用户将其设置为”所有人”可见时才会被查看。研究人员在2024年至2025年间逐步报告了此问题，但Meta表示直至2025年8月才收到完整的技术细节。相关的缓解措施于9月初开始部署，并在10月追加了进一步的保护机制。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一项新攻击活动的细节：攻击者结合社会工程学与 WhatsApp 劫持手段，向巴西用户分发一款名为 Eternidade Stealer 的德尔福（Delphi）语言银行木马。 Trustwave SpiderLabs 的研究人员纳撒尼尔・莫拉莱斯、约翰・巴斯马约尔和尼基塔・卡济米尔斯基在提交给《黑客新闻》的技术分析报告中表示：“该恶意软件利用互联网消息访问协议（IMAP）动态获取命令与控制（C2）服务器地址，方便威胁行为体更新其控制服务器。” “它通过 WhatsApp 蠕虫活动传播，目前攻击者已改用 Python 脚本 —— 取代了此前的 PowerShell 脚本 —— 来劫持 WhatsApp 并扩散恶意附件。” 此次发现紧随另一项名为 “Water Saci” 的攻击活动之后，后者同样以巴西用户为目标，通过一款名为 SORVEPOTEL 的 WhatsApp Web 蠕虫传播，进而植入.NET 银行木马 Maverick。该木马被认为是.NET 银行恶意软件 Coyote 的升级版。 Eternidade Stealer 攻击集群是一系列攻击活动的组成部分，这些活动利用 WhatsApp 在巴西的普及性，攻陷目标用户设备后，将这款即时通讯应用作为传播载体，对巴西机构发动大规模攻击。 攻击技术特点与地域针对性 另一个显著趋势是，针对拉丁美洲的威胁行为体仍偏好使用德尔福语言编写恶意软件。这不仅因为该语言技术效率高，还源于它曾在该地区的软件开发领域被广泛教授和使用。 攻击始于一个经过混淆处理的 Visual Basic 脚本，脚本中的注释主要以葡萄牙语编写。脚本执行后会释放一个批处理脚本，负责交付两个有效载荷，使感染链分化为两条： Python 脚本：通过 WhatsApp Web 以蠕虫方式传播恶意软件 MSI 安装程序：借助 AutoIt 脚本启动 Eternidade Stealer 这款 Python 脚本与 SORVEPOTEL 类似，会与远程服务器建立通信，并利用开源项目 WPPConnect 实现自动化操作 —— 在被劫持的 WhatsApp 账户中发送消息。它会收集受害者的完整联系人列表，同时过滤掉群组、企业联系人及广播列表。 随后，恶意软件会捕获每个联系人的 WhatsApp 手机号、姓名及是否为已保存联系人等信息，通过 HTTP POST 请求发送至攻击者控制的服务器。最终阶段，它会使用消息模板，填入基于时间的问候语和联系人姓名，向所有联系人发送恶意附件。 攻击的第二条链路从 MSI 安装程序释放多个有效载荷开始，其中包含一个 AutoIt 脚本。该脚本通过检测操作系统语言是否为巴西葡萄牙语，判断受感染设备是否位于巴西，若不满足则自动终止运行，体现出威胁行为体高度本地化的攻击目标。 恶意软件功能与控制机制 脚本随后会扫描运行进程和注册表项，确认是否存在安全软件，同时收集设备配置信息并发送至 C2 服务器。攻击的最终步骤是，恶意软件通过进程注入（process hollowing）技术，将 Eternidade Stealer 有效载荷注入 “svchost.exe” 进程。 作为一款德尔福语言编写的凭据窃取器，Eternidade 会持续扫描活动窗口和运行进程，查找与银行门户网站、支付服务及加密货币交易所和钱包相关的字符串，包括布拉德斯科银行、BTG 百达银行、MercadoPago 支付平台、Stripe 支付服务、币安、Coinbase、MetaMask 钱包、Trust Wallet 钱包等。 研究人员表示：“这种行为属于典型的银行木马或覆盖式窃取器战术 —— 恶意组件会保持休眠状态，直到受害者打开目标银行或钱包应用才被激活。这确保攻击仅在相关场景触发，且不会被普通用户或沙箱环境发现。” 一旦检测到匹配项，恶意软件会联系 C2 服务器，相关地址从一个terra.com[.] br 邮箱的收件箱中获取 —— 这与 Water Saci 近期采用的战术一致。这种方式让威胁行为体能够更新 C2 服务器、维持持久控制，同时规避检测和下架操作。若恶意软件无法使用硬编码凭据登录该邮箱，会启用嵌入在源代码中的备用 C2 地址。 与服务器成功建立连接后，恶意软件会等待接收指令并在受感染设备上执行，使攻击者能够记录键盘输入、捕获屏幕截图和窃取文件。部分关键指令如下： <|OK|>：收集系统信息 <|PING|>：监控用户活动并上报当前活跃窗口 <|PedidoSenhas|>：根据活跃窗口发送自定义覆盖界面，窃取凭据 攻击基础设施与全球影响 Trustwave 表示，对威胁行为体基础设施的分析发现了两个面板：一个用于管理重定向系统，另一个是登录面板，可能用于监控受感染设备。重定向系统包含日志，记录了访问总数及试图连接 C2 地址的被拦截次数。 该系统仅允许巴西和阿根廷的设备访问，被拦截的连接会被重定向至 “google [.] com/error”。面板统计数据显示，454 次访问中有 452 次因地理围栏限制被拦截，仅 2 次访问被导向攻击目标域名。 在 454 条通信记录中，196 条来自美国，其次是荷兰（37 条）、德国（32 条）、英国（23 条）、法国（19 条）和巴西（3 条）。Windows 操作系统占 115 条连接，面板数据显示还有来自 macOS（94 条）、Linux（45 条）和 Android（18 条）的连接。 Trustwave 指出：“尽管该恶意软件家族及传播载体主要针对巴西，但可能的运营范围和受害者覆盖范围却遍及全球。网络安全防御人员应警惕可疑的 WhatsApp 活动、意外的 MSI 安装程序或脚本执行行为，以及与该持续攻击活动相关的威胁指标。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta正在打击东南亚的大型诈骗中心，这些中心同时运作多种欺诈活动。Meta表示已检测并封禁超过680万个WhatsApp账户，并将在该平台推出新的安全功能。 默认情况下，WhatsApp允许任何人邀请其他用户加入群组，除非用户自行更改隐私设置。这一功能常被网络犯罪分子滥用，用于实施加密货币投资诈骗、传销计划及其他骗局。 黑客只需获得用户电话号码即可将其拉入群组，而这些号码在数据泄露事件中持续暴露或被出售于暗网市场。 “WhatsApp始终允许任何获知您电话号码的人发送消息或将您拉入群组。这就像任何人获知您的联系方式后都能发送短信或邮件一样。默认情况下，您的群组隐私设置处于‘所有人’可添加的状态。”支持页面如此说明。 这一机制虽未改变，但当用户被未知联系人拉入群组时，现在将收到警示。“我们将推出新的安全概览功能。当您被不在通讯录中的联系人添加至一个可能不熟悉的WhatsApp新群组时，系统会向您展示该群组的关键信息和安全提示，”Meta表示。 该警示将提供选项：用户无需查看聊天内容即可直接退出群组，或进入聊天界面查看更多上下文。“无论选择如何，在您明确表示愿意留在群组前，该群组的所有通知将被静音，”Meta补充道。 Meta同时认识到诈骗者常尝试通过私聊信息首次接触用户。WhatsApp正在测试新方法，以在与不请自来的发件人互动前提升用户警觉性。“我们正探索在您与通讯录外联系人发起聊天时发出警示，通过展示对方更多背景信息助您做出明智决定。” 今年上半年，WhatsApp已封禁超过680万个与诈骗中心关联的账户。其中许多账户在诈骗分子利用其进行恶意活动前已被检测并删除。这款即时通讯应用拥有近30亿月活跃用户。 据Meta透露，WhatsApp与OpenAI合作挫败了来自柬埔寨的诈骗活动。诈骗者使用ChatGPT编写初始信息→引导至WhatsApp聊天→转移至Telegram→以“点赞TikTok视频换取报酬”为诱饵。最终这些收益均为虚假，诈骗者会要求受害者向加密货币账户存款。 “诈骗手法包括：虚假点赞换酬金、租赁摩托车传销计划、加密货币投资骗局等。” 若您不希望被陌生人拉入群组，请更改WhatsApp群组隐私设置：进入设置→隐私→群组，在此选择“我的联系人”或其他限制选项。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文