https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html
安全研究人员发现,新型Horabot银行木马通过伪装成政府税务通知的钓鱼邮件,在巴西、墨西哥、阿根廷等六个拉丁美洲国家进行攻击。该恶意软件利用伪造的Windows更新弹窗诱导用户安装后门程序,一旦安装,便能够窃取浏览器的Cookie、记录键盘输入以及截取屏幕画面,甚至远程操控设备发起银行转账。巴西网络安全中心已确认,超过200家企业网络遭到渗透,部分金融机构的单笔损失高达37万美元。趋势科技通过溯源发现,攻击基础设施与巴西地下犯罪论坛存在技术关联,推测这是一次针对性的金融劫持行动。
https://cybersecuritynews.com/new-net-multi-stage-loader-attacking-windows-systems/
自2022年初以来,一款复杂的.NET恶加载器持续对Windows系统发起攻击,它通过三阶段部署机制来投递窃密木马、远程控制木马等恶意载荷。在初始阶段,该加载器伪装成无害的.NET可执行文件,其中包含加密组件;进入第二阶段后,它利用.NET DLL来处理参数,并从位图资源中解密出恶意代码;到了第三阶段,它会在内存中部署最终载荷,以此避免被检测。最新变种采用了位图资源来隐藏代码,并应用了复杂混淆技术,从提升隐蔽性。该加载器主要用于传播AgentTesla、Formbook、Remcos等恶意软件。
https://thehackernews.com/2025/05/coinbase-agents-bribed-data-of-1-users.html
加密货币交易所Coinbase披露,其系统遭未知网络犯罪分子入侵,导致少量客户账户数据被窃取。经调查发现,攻击者以现金为诱饵,诱使一小部分海外客户协助从客户支持工具中复制数据,这些客户在不知情的情况下充当了攻击者的“代理”。攻击者的核心目的是收集客户列表,伪装成Coinbase官方身份,进而欺骗客户交出加密货币资产。2025年5月11日,攻击者向Coinbase发起勒索,索要2000万美元赎金,并声称掌握部分客户账户信息及内部文件,截至目前,Coinbase尚未支付该笔赎金。此次泄露的信息范围广泛,涵盖客户姓名、地址、电话号码、电子邮件地址、部分社会安全号码、部分银行账户号码、政府身份证件图像(如驾照、护照)、账户数据(包括余额快照和交易历史)以及部分公司数据(具体包括文件、培训材料和支持代理可访问的通讯记录)。
https://thehackernews.com/2025/05/new-httpbot-botnet-launches-200.html
一种名为HTTPBot的新型僵尸网络恶意软件引发了网络安全研究员的关注。HTTPBot通过高度模拟HTTP洪水攻击以及采用动态特征混淆技术,成功绕过了传统基于规则的检测机制。该恶意软件基于Golang语言开发,专门针对Windows系统。在发起攻击时,它会隐藏图形用户界面,操纵Windows注册表以实现开机自启动,并与命令控制服务器建立联系,根据接收到的指令对特定目标发起HTTP洪水攻击,同时还支持多种攻击模块。自2025年4月起至相关报道发布时,HTTPBot已发出了不少于200次的攻击指令,其攻击对象涵盖了游戏产业、科技公司、教育机构以及旅游门户网站等。
https://thehackernews.com/2025/05/fileless-remcos-rat-delivered-via-lnk.html
网络安全公司Qualys发现了一起针对全球企业的钓鱼攻击活动,攻击者使用内存驻留技术部署了Remcos远程控制木马。在此次攻击中,攻击者利用伪装成税务文档的ZIP文件来分发恶意LNK文件,这些LNK文件的图标被伪装成PDF样式。攻击者还通过mshta.exe执行混淆的HTA文件,触发多阶段的PowerShell脚本加载器,最终在内存中直接运行Remcos远程控制木马。本次攻击的目标涵盖了金融、制造行业以及政府机构。
https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/
2025年2月,首次曝光的FrigidStealer恶意软件正在全球范围内通过伪造浏览器更新的方式攻击macOS用户。该恶意软件属于Ferret家族,由TA2726和TA2727黑客组织联合运营。它通过受感染的网站注入恶意JavaScript代码,诱使用户下载伪装成Safari或Chrome更新的恶意DMG文件。攻击过程中,该恶意软件利用AppleScript骗取用户密码,以此绕过Gatekeeper安全机制,并安装Bundle ID为com.wails.ddaolimaki-daunito的恶意应用。一旦安装成功,该应用便会窃取浏览器凭证、加密货币钱包信息以及未加密的Apple Notes内容。随后,窃取的数据会通过mDNSResponder服务,以DNS查询的形式外传至C2服务器askforupdate.org。该恶意软件在执行后会自动终止相关进程,以规避检测。
安全公司Prodaft披露了一款新型恶意软件Skitnet(代号“Bossnet”),该软件正在成为主流勒索团伙的标准后渗透工具。自2024年4月起,该框架在地下论坛RAMP上出售,此后已被BlackBasta、Cactus等至少7个勒索组织用于实际攻击。攻击者通过Rust加载器部署经过ChaCha20加密的Nim二进制文件,建立DNS反向Shell以实现隐蔽通信。该框架支持14类攻击指令,包括持久化驻留、远程工具部署、凭证窃取等。此外,微软威胁情报中心还发现,Storm-1811组织结合Quick Assist的滥用与Skitnet框架,在医疗和制造行业实施了复合式勒索攻击。
以色列国家网络犯罪部门在特拉维夫逮捕了涉嫌策划2024年Nomad Bridge跨链协议攻击的主犯“K1”。此次攻击导致价值1.9亿美元的加密货币被盗。嫌疑人通过逆向工程该协议的智能合约,利用重入攻击漏洞劫持了跨链验证节点,从而在以太坊与Avalanche网络之间伪造资产转移凭证。执法部门联合FBI和Chainalysis公司追踪发现,被盗资金通过Railgun混币器和ChangeNOW交易所进行洗钱操作。目前,执法部门已冻结了关联钱包中价值4300万美元的资产。
微软确认,KB5037771更新导致部分运行Windows 10 22H2版本的设备触发了BitLocker恢复模式。该问题是由UEFI固件与TPM 2.0芯片之间的交互异常引起的,更新后系统错误地判定安全启动配置发生了变更,进而强制要求用户输入48字符的恢复密钥。受影响的设备主要集中在戴尔OptiPlex 7090、惠普EliteDesk 800 G6以及联想ThinkCentre M75q等商用机型上,这些设备涉及搭载Intel第11代和第12代处理器的平台。微软已紧急发布了已知问题的回滚指南,但截至5月17日,仍未发布正式的修复补丁。
https://hackread.com/hackers-targeting-us-retailers-uk-attacks-google/
谷歌网络安全专家发出警告,此前针对英国零售商发动攻击的Scattered Spider黑客组织,如今已开始将目标转向美国零售商。此次攻击美国零售商的黑客所使用的技术和程序,与之前英国零售商遭遇攻击时攻击者所采用的手段相似。Scattered Spider(也被称为UNC3944)是近期英国哈罗德百货、合作集团以及马莎百货遭受攻击事件的主要嫌疑人。自2023年初以来,UNC3944已针对多个行业发动了攻击,这些行业包括技术、电信、金融服务、业务流程外包、游戏、酒店、零售以及媒体与娱乐。其主要攻击目标所处地理位置涵盖美国、加拿大、英国、澳大利亚、新加坡和印度。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
