HackerNews 编译，转载请注明出处： 代号REF1695的牟利运营自2023年11月起利用虚假安装程序部署远控木马（RAT）和加密货币挖矿程序。Elastic Security Labs研究人员本周分析指出，除挖矿外，威胁行为体还通过CPA欺诈获利，以软件注册为幌子诱导受害者访问内容锁定页面。 近期攻击迭代还投递了此前未记录的.NET植入程序CNB Bot。攻击利用ISO文件作为感染媒介，投递受.NET Reactor保护的加载器及文本文件，明确指示用户点击"更多信息"和"仍要运行"以绕过Microsoft Defender SmartScreen对未识别应用的防护。...

HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。...

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。 "2020至2023年间，XorDDoS木马感染量显著攀升，"思科Talos研究员Joey Chen在周四的分析报告中指出，"此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，...

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马，该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵，旨在迫使收件人点击恶意链接，”Morphisec实验室研究员Nadav Lorber表示，“一旦访问，该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。”...

Cyfirma上周发布的技术分析指出：“NonEuclid远程访问木马（RAT）采用C#开发，是一款高度复杂的恶意软件，通过先进的规避技术提供未经授权的远程访问。” “它运用多种机制，包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。” 自2024年11月底以来，NonEuclid已在地下论坛中被宣传，并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。...

zLabs发现了AppLite，它是AntiDot银行木马的一个复杂的新变种，通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成 Chrome、TikTok 和企业工具等合法应用程序，能够窃取敏感凭证并完全控制受感染的设备。 该活动背后的攻击者采用了精心设计的社交工程策略来引诱受害者。他们伪装成人力资源代表或工作招聘人员，向潜在受害者发送精心制作的网络钓鱼电子邮件。这些电子邮件将用户重定向到模仿知名公司和教育机构的钓鱼网站，敦促他们下载恶意安卓应用程序。...

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。...

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。
IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式， 同时，Grandoreiro  恶意软件自身也进行了重大改进。...

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。 这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。 据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。...

俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门，可传播名为Konni RAT（又名UpDog）的远程访问木马。 调查结果来自德国网络安全公司 DCSO，该公司将此次活动与源自朝鲜针对俄罗斯的关联黑客联系起来。 Konni（又名 Opal Sleet、Osmium 或TA406）活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式，至少自 2021 年 10 月以来，该组织还与针对 MID 的攻击有关。...