HackerNews 编译，转载请注明出处：

一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。

Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出："该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。"

这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。

这是典型的"离地生存"式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。

攻击链分析

初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。

值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。

研究人员表示："恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。"

投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。

随后从Dropbox获取两个受密码保护的7-Zip压缩包：

...

HackerNews 编译，转载请注明出处：

美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。

...

HackerNews 编译，转载请注明出处：

黑客通过微软 Teams 联系金融和医疗行业的员工，诱骗他们通过快速助手（Quick Assist）授予远程访问权限，并部署一款名为 A0Backdoor 的新型恶意软件。

...

HackerNews 编译，转载请注明出处：

威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。

...

HackerNews 编译，转载请注明出处：

LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。

...

HackerNews 编译，转载请注明出处：

据观察，臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters（SLH）正提供金钱奖励，招募女性实施社会工程学攻击。

...

HackerNews 编译，转载请注明出处：

一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一场冒充加密货币经纪商 Bitpanda 的精密钓鱼攻击活动。

...

HackerNews 编译，转载请注明出处：

研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。

...

HackerNews 编译，转载请注明出处：

...