HackerNews 编译，转载请注明出处：

微软近日发出警告，新型网络攻击正利用美国即将到来的报税季，大肆窃取用户凭证并传播恶意软件。

攻击者抓住报税邮件的紧迫性和时效性特点，发送伪装成退税通知、工资单、报税提醒及税务专业人士请求的钓鱼邮件，诱骗收件人打开恶意附件、扫描二维码或点击可疑链接。

微软威胁情报团队与Defender安全研究团队在上周发布的报告中指出："多数攻击针对个人用户窃取财务信息，但部分攻击专门瞄准会计师等专业人士——这类人群掌握敏感文件、拥有财务数据访问权限，且习惯在报税季接收税务相关邮件。"

部分攻击将用户导向通过"钓鱼即服务"（PhaaS）平台搭建的虚假页面，另一些则直接部署合法的远程监控管理工具（RMM），如ConnectWise ScreenConnect、Datto和SimpleHelp，使攻击者得以长期控制受害设备。

主要攻击手法包括：

...

HackerNews 编译，转载请注明出处：

美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

网络犯罪分子正越来越多地使用一种隐蔽的"浏览器套浏览器"攻击技术，企图窃取Facebook用户的登录凭证。

根据Trellix网络安全研究人员的分析，攻击者分发钓鱼邮件的数量激增，这些邮件诱使用户访问看似可信的认证界面，意图窃取用户名和密码。

据认为，攻击目的是为了劫持账户、窃取个人数据、实施身份欺诈或向用户的联系人传播诈骗。拥有超过30亿用户的Facebook，对网络罪犯来说仍然是进行攻击和诈骗的诱人目标。

这些活动通常始于钓鱼邮件：研究人员指出，攻击者通常会分发声称来自律师事务所的诱饵邮件，警告潜在受害者需要立即采取行动以避免版权侵权索赔。攻击者已知分发的其他诱饵还包括发送有关未授权登录尝试的虚假通知，或警告账户因可疑活动即将被关闭。

这些手段的设计目的都是迫使用户惊慌失措，并按照被告知的"必要步骤"操作，以防止账户被关闭。钓鱼邮件敦促用户点击看起来像是Facebook的链接以采取必要行动——尽管这些是经过伪装的虚假短链接，目的是让其看起来更可信。

令这些攻击看似可信的是，"浏览器套浏览器"弹窗看起来非常逼真，完全符合用户对Facebook登录页面的预期。弹出的浏览器窗口包含了真实的Facebook登录页面URL，这是攻击者硬编码到认证窗口中的。此外，攻击者还会在此之前部署一个虚假的验证码窗口。这两种策略都旨在诱骗受害者相信他们正在访问真正的Facebook登录页面。

这些"申诉"页面首先要求用户提供个人信息，包括姓名、电子邮件地址、电话号码和出生日期——随后在第二个页面要求用户"确认"密码。通过这些虚假页面，攻击者获得了敏感的个人信息、用户名和密码，可用于以受害者为代价实施进一步的欺诈。

"通过在受害者浏览器内创建自定义的虚假登录弹窗，此方法利用了用户对认证流程的熟悉度，使得凭据窃取在视觉上几乎无法察觉，"Trellix表示。

为帮助防范此类钓鱼攻击，建议用户为账户启用双因素认证：即使网络犯罪分子窃取了合法的登录凭证，2FA也能自动阻止账户被接管。同时，建议用户对突然出现的、意料之外的此类请求邮件保持警惕——如果担心账户通知的真实性，应直接通过浏览器登录Facebook官网，而不是点击不熟悉的链接。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件，诱骗酒店经理点击伪造的验证页面，进而部署名为PureRAT的远程访问木马。

据法国安全公司Sekoia分析，该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户，向多家酒店发送精心伪造的邮件，将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制，最终诱使用户执行恶意PowerShell命令。

攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能，并通过.NET Reactor进行混淆保护，还通过注册表实现持久化驻留。

更严重的是，攻击得手后，犯罪分子会利用窃取的酒店预订平台账户，通过WhatsApp或邮件联系真实客户，以"确认预订信息"为名诱导其进入仿冒的Booking.com或Expedia页面，进而窃取银行卡信息。

调查发现，犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息，甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人，以及提供人工验号服务的黑产供应商。

值得注意的是，ClickFix攻击页面近期持续升级，新增嵌入式视频、倒计时器和"近期验证用户"计数器等元素，还能根据受害者操作系统自动显示对应指令，并采用剪贴板劫持技术自动复制恶意代码。

Push安全公司警告称："ClickFix页面正变得日益精密，有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样，还不断演化出规避安全检测的新手法。"

...

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。

据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。

安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。”

该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。

据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括：

...

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了一场新型攻击活动，该活动疑似通过一款此前未被记录的.NET 恶意软件（代号 “CAPI 后门程序”），针对俄罗斯汽车行业与电子商务领域发起攻击。

根据 Seqrite 实验室的调查，此次攻击链的核心环节是发送钓鱼邮件，邮件中包含一个 ZIP 压缩包，攻击者通过该压缩包触发感染流程。该网络安全公司的分析基于 2025 年 10 月 3 日上传至 VirusTotal 平台的一个 ZIP 样本。

该 ZIP 压缩包内包含两个关键文件：

...

HackerNews 编译，转载请注明出处：

网络犯罪分子正针对美国高校及其他机构发起攻击活动，将员工的薪资款项转移至由攻击者控制的账户中。

微软表示，这些被称为 “工资单海盗” 的黑客通过钓鱼邮件获取 Workday等第三方平台的访问权限。微软称：“自 2025 年 3 月以来，我们发现 3 所高校中有 11 个账户被成功入侵，这些账户被用于向 25 所高校的近 6000 个邮箱账户发送钓鱼邮件。”

该公司研究人员在 2025 年上半年全程追踪到了这一攻击活动，并指出，尽管威胁行为体的目标是 Workday 账户，但其他多个存储员工人力资源或支付信息的系统也可能面临风险。

微软透露，黑客通过包含恶意链接的钓鱼邮件窃取多因素认证（MFA）验证码。获取验证码后，攻击者便能劫持受害者的 Workday 账户资料。侵入员工账户后，黑客会创建一条收件箱规则，自动删除所有来自 Workday 的预警邮件，从而在修改银行账户信息时不被发现。微软将这些威胁 actors 命名为 “Storm-2657”，并表示已联系部分受影响客户，为其提供应对该攻击活动的建议。

Workday 的一位发言人表示：“我们鼓励客户启用防钓鱼的多因素认证方式，并在薪资发放等敏感操作环节增加额外验证步骤，以防范此类威胁。”

...

HackerNews 编译，转载请注明出处：

近期发现一场新的钓鱼攻击活动，攻击者伪装成乌克兰政府机构，通过钓鱼邮件分发 CountLoader 恶意程序，进而植入 Amatera Stealer（窃取程序）与 PureMiner（挖矿程序）。

...

HackerNews 编译，转载请注明出处：

...