HackerNews 编译，转载请注明出处：

据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。

此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包， 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络；...

HackerNews 编译，转载请注明出处： 谷歌旗下威胁情报公司Mandiant于周五发布报告称，发现一类 “威胁活动呈扩张态势” 的攻击，其攻击手法与黑客组织ShinyHunters发起的勒索导向攻击高度一致。 该类攻击借助高级语音钓鱼（又称钓鱼电话）及仿冒目标企业的虚假凭证窃取站点，通过收集单点登录凭证及多因素认证验证码，非法侵入受害者环境。攻击最终目标是针对云原生软件即服务应用，窃取敏感数据与内部通信内容，并对受害者实施勒索。...

网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。...

CrowdStrike警告称，一起网络钓鱼攻击正冒充该网络安全公司，通过虚假的招聘邮件诱骗目标对象下载门罗币（Monero）加密货币挖矿软件XMRig。 2025年1月7日，该公司发现了这起恶意攻击活动，根据钓鱼邮件的内容判断，该活动开始的时间应该不会太早。 攻击始于一封发送给求职者的钓鱼邮件，邮件自称来自CrowdStrike的招聘代理，感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理（CRM）应用程序”。...

HackerNews 编译，转载请注明出处： 去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。 与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。...

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。 Microsoft Visio 文件传统上用于绘制流程图和网络地图等专业图表，但现在已被武器化。Perception Point 的报告显示：“在最近的网络钓鱼活动中，Visio 文件正被用来传递恶意 URL，在两步攻击路径中创建一个欺骗性传递点。”...