最新文章

Top News
乌克兰 CERT-UA 遭仿冒,AGEWHEEZE 恶意软件被群发至百万邮箱

乌克兰 CERT-UA 遭仿冒,AGEWHEEZE 恶意软件被群发至百万邮箱

作者: hackernews 日期: 2026-04-02 分类: 今日推送

HackerNews 编译,转载请注明出处:

乌克兰计算机应急响应小组(CERT-UA)披露了一场新型网络钓鱼活动的细节。在此次活动中,该网络安全机构被仿冒,用于分发一款名为 AGEWHEEZE 的远程管理工具。

...

新型 DeepLoad 恶意软件利用 ClickFix 和 WMI 持久化窃取浏览器凭证

新型 DeepLoad 恶意软件利用 ClickFix 和 WMI 持久化窃取浏览器凭证

作者: hackernews 日期: 2026-03-31 分类: 今日推送

HackerNews 编译,转载请注明出处:

一场新攻击活动利用ClickFix社交工程手段分发此前未记录的恶意软件加载器DeepLoad。


ReliaQuest研究人员Thassanai McCabe和Andrew Currie在报告中表示:"该恶意软件可能使用AI辅助混淆和进程注入规避静态扫描,同时凭证窃取立即启动,即使主加载器被阻止也能捕获密码和会话。"


攻击链起点为ClickFix诱饵,诱骗用户在Windows运行对话框中粘贴PowerShell命令,以解决并不存在的问题为幌子。随后利用合法Windows工具"mshta.exe"下载并运行混淆的PowerShell加载器。


该加载器将实际功能隐藏在无意义的变量赋值中,可能试图欺骗安全工具。研究人员评估威胁行为体可能使用人工智能工具开发混淆层。


深度隐蔽


DeepLoad刻意融入常规Windows活动以规避检测,包括将载荷隐藏在名为"LockAppHost.exe"的可执行文件中——这是管理锁屏界面的合法Windows进程。


此外,恶意软件通过禁用PowerShell命令历史、直接调用原生Windows核心函数(而非依赖PowerShell内置命令启动进程和修改内存)来掩盖痕迹,从而绕过监控PowerShell活动的常见检测钩子。


ReliaQuest表示:"为规避基于文件的检测,DeepLoad使用PowerShell内置功能Add-Type动态生成二级组件,该功能编译并运行C#编写的代码,生成临时动态链接库(DLL)文件投放至用户Temp目录。"


这使恶意软件能够规避基于文件名的检测,因为DLL每次执行时都会编译,并以随机文件名写入。


另一值得注意的防御规避策略是DeepLoad使用异步过程调用(APC)注入,在受信任的Windows进程内运行主载荷——以挂起状态启动目标进程,将shellcode写入其内存,然后恢复进程执行,无需将解码后的载荷写入磁盘。


凭证窃取与持久化


DeepLoad旨在通过从主机提取浏览器密码促进凭证窃取。它还投放恶意浏览器扩展,在用户输入登录页面凭证时拦截,并在用户会话中持久存在,除非明确移除。


该恶意软件更危险的功能是自动检测可移动媒体设备(如U盘)连接,并使用"ChromeSetup.lnk"、"Firefox Installer.lnk"、"AnyDesk.lnk"等名称复制含恶意软件的文件,一旦双击即触发感染。


ReliaQuest解释:"DeepLoad使用Windows管理规范(WMI)在三天后无需用户操作和攻击者交互即可重新感染'干净'主机。WMI发挥双重作用:打破大多数检测规则旨在捕获的父子进程链,并创建WMI事件订阅,稍后静默重新执行攻击。"


其目标似乎是部署能够在网络杀伤链各环节执行恶意操作的多功能恶意软件,通过避免向磁盘写入痕迹、融入Windows进程、快速传播至其他机器来规避安全控制检测。


目前尚不清楚该恶意软件首次用于真实世界攻击的时间或整体活动规模。但ReliaQuest发言人告诉The Hacker News,该恶意软件"非常新","通过ClickFix投递表明其具有更广泛传播的潜力"。


该发言人补充:"与DeepLoad相关的基础设施和模板化实现可能与服务型或共享框架一致;但目前我们无法最终确定其是否作为MaaS(恶意软件即服务)模式提供。"


此次披露恰逢G DATA详细介绍另一款名为Kiss Loader的恶意软件加载器,该加载器通过钓鱼邮件附带的Windows Internet快捷方式文件(URL)分发,随后连接至TryCloudflare域名托管的远程WebDAV资源,提供伪装成PDF文档的二级快捷方式。


执行后,该快捷方式启动负责运行JavaScript组件的WSH脚本,进而检索并执行批处理脚本——显示诱饵PDF,在启动文件夹设置持久化,并下载基于Python的Kiss Loader。最后阶段,加载器使用APC注入解密并运行Venom RAT(AsyncRAT变种)。


目前尚不清楚Kiss Loader攻击的广泛程度,以及是否以MaaS模式提供。但据该加载器背后的威胁行为体声称,其来自马拉维。

...

FBI 寻找被用于传播恶意软件的 Steam 游戏受害者

FBI 寻找被用于传播恶意软件的 Steam 游戏受害者

作者: hackernews 日期: 2026-03-16 分类: 恶意软件

HackerNews 编译,转载请注明出处:

联邦调查局(FBI)正在向安装了含恶意软件 Steam 游戏的玩家征集信息,这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。

...

PhantomRaven 发起 NPM 新一轮攻击,窃取开发数据

PhantomRaven 发起 NPM 新一轮攻击,窃取开发数据

作者: hackernews 日期: 2026-03-12 分类: 网络攻击

HackerNews 编译,转载请注明出处:

来自 “PhantomRaven” 供应链攻击活动的新一轮攻击正在冲击 npm registry,数十个恶意包会从 JavaScript 开发者处窃取敏感数据

...