HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。

该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。

已将相关活动归类为多个攻击集群进行追踪，包括 UNC6661、UNC6671 及 UNC6240（即ShinyHunters），以此覆盖这些组织可能存在的作案手法演变或模仿已知攻击战术的情况。

Mandiant指出：“尽管这种瞄准身份提供商和SaaS平台的攻击模式，与我们先前观察到的、ShinyHunters品牌勒索攻击前的威胁活动一致，但随着攻击者为了勒索而寻求获取更多敏感数据，其瞄准的云平台范围仍在持续扩大。此外，在近期事件中，他们似乎升级了勒索策略，包括骚扰受害企业的员工等。”

钓鱼攻击与凭证窃取详情如下：

...

HackerNews 编译，转载请注明出处：

网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。

思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。

这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。

在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。

美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。”

大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。”

近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。

这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。

例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。”

与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。

Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。”

此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。”

更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。

...

HackerNews 编译，转载请注明出处：

CrowdStrike警告称，一起网络钓鱼攻击正冒充该网络安全公司，通过虚假的招聘邮件诱骗目标对象下载门罗币（Monero）加密货币挖矿软件XMRig。

2025年1月7日，该公司发现了这起恶意攻击活动，根据钓鱼邮件的内容判断，该活动开始的时间应该不会太早。

攻击始于一封发送给求职者的钓鱼邮件，邮件自称来自CrowdStrike的招聘代理，感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理（CRM）应用程序”。

这据说是公司为了“通过推出新的申请者CRM应用程序来简化入职流程”而做出的努力。

点击邮件中嵌入链接的候选人会被带到一个名为“cscrm-hiring[.]com”的网站，该网站提供Windows或macOS系统的应用程序下载链接。

滥用CrowdStrike品牌的恶意网站（图片来源：CrowdStrike）

下载的工具会在获取额外有效载荷之前进行沙箱检查，以确保其不在分析环境中运行，例如检查进程号、CPU核心数以及调试器的存在。

一旦这些检查完成且结果为阴性（即受害者符合感染条件），应用程序会生成一条虚假的错误信息，称安装程序文件可能已损坏。

虚假错误信息（图片来源：CrowdStrike）

在后台，下载器会获取一个包含运行XMRig所需参数的配置文件文本。

然后，它会从GitHub存储库中下载一个包含挖矿软件的ZIP压缩包，并在“%TEMP%\System\”目录中解压文件。

挖矿软件将在后台运行，消耗极少的处理能力（最多10%），以避免被检测。

在“开始”菜单的“启动”目录中添加了一个批处理脚本，以确保在重启之间持续运行，同时在注册表中写入了一个登录时自动启动的键。

有关此次攻击活动的更多详情及其相关的入侵指标，请参阅CrowdStrike的报告。

求职者应始终通过验证电子邮件地址是否属于公司官方域名，并从公司官方页面上联系相关人员来确认对方是否为真正的招聘人员。

请警惕紧急或异常请求、看似过于美好的机会，或要求下载据称招聘所需的可执行文件的邀请。雇主很少（甚至从不）要求候选人在面试过程中下载第三方应用程序，也绝不会要求预先付款。

...

HackerNews 编译，转载请注明出处：

去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。

与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。

这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包窃取活动，此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具，通常部署在假冒或受攻击的网站上。

2024年，Scam Sniffer观察到30起大规模（超过100万美元）通过钱包窃取器进行的盗窃事件，其中单笔最大盗窃案涉案金额高达5540万美元。

这一事件发生在年初，当时比特币价格上涨推动了钓鱼活动的增加。第一季度，通过钱包窃取攻击共盗走1.87亿美元。

每月损失金额和受影响钱包数量（来源：Scam Sniffer）

今年第二季度，一个名为“Pink Drainer”的知名窃取服务宣布退出，该服务此前曾伪装成记者在钓鱼攻击中攻击Discord和Twitter账户，以进行加密货币窃取。

尽管这导致钓鱼活动有所减少，但诈骗者在第三季度逐渐恢复了势头，其中Inferno服务在8月和9月共造成1.1亿美元损失，位居榜首。

最后，在第四季度，活动有所平息，仅占2024年总损失的10.3%左右。当时，Acedrainer也成为主要参与者之一，占据了窃取器市场的20%，ScamSniffer表示。

窃取器每月活动情况（来源：Scam Sniffer）

大部分损失（85.3%）发生在以太坊上，金额高达1.52亿美元，其中质押（40.9%）和稳定币（33.5%）是目标最集中的领域。

关于2024年观察到的趋势，Scam Sniffer强调了使用假冒的CAPTCHA和Cloudflare页面以及IPFS来逃避检测的做法，以及签名类型的转变，这有助于实施资金盗窃。

具体而言，大多数盗窃案依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。前者根据EIP-2612标准批准代币支出，后者更新智能合约所有权或管理权限。

另一个值得注意的趋势是，Google Ads和Twitter广告作为钓鱼网站流量的来源的使用增加，攻击者利用被攻破的账户、机器人和假冒代币空投来实现其目标。

X上推动加密货币窃取器的假冒账户数量（来源：Scam Sniffer）

为防止Web3攻击，建议仅与受信任和已验证的网站进行交互，与官方项目网站核对URL，在签名前阅读交易批准提示和权限请求，并在执行前模拟交易。

许多钱包还提供针对钓鱼或恶意交易的内置警告，因此请确保启用这些功能。最后，使用代币撤销工具确保没有激活可疑权限。

...

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。

...