HackerNews 编译，转载请注明出处： 代号REF1695的牟利运营自2023年11月起利用虚假安装程序部署远控木马（RAT）和加密货币挖矿程序。Elastic Security Labs研究人员本周分析指出，除挖矿外，威胁行为体还通过CPA欺诈获利，以软件注册为幌子诱导受害者访问内容锁定页面。 近期攻击迭代还投递了此前未记录的.NET植入程序CNB Bot。攻击利用ISO文件作为感染媒介，投递受.NET Reactor保护的加载器及文本文件，明确指示用户点击”更多信息”和”仍要运行”以绕过Microsoft Defender SmartScreen对未识别应用的防护。 该加载器调用PowerShell配置广泛的Microsoft Defender杀毒排除项以规避检测，并在后台启动CNB Bot。同时向用户显示错误信息：”无法启动应用。您的系统可能不符合所需规格。请联系支持。” CNB Bot作为加载器，具备下载执行额外载荷、自我更新、卸载及清理痕迹的功能，通过HTTP POST请求与C2服务器通信。 威胁行为体的其他活动利用类似ISO诱饵部署PureRAT、PureMiner及定制.NET版XMRig加载器，后者连接硬编码URL提取挖矿配置并启动挖矿载荷。 与近期FAUX#ELEVATE活动类似，合法签名但存在漏洞的Windows内核驱动”WinRing0x64.sys”被滥用以获取内核级硬件访问权限，修改CPU设置提升算力。该功能于2019年12月加入XMRig挖矿程序。 Elastic还识别出另一场导致SilentCryptoMiner部署的活动。该挖矿程序除使用直接系统调用规避检测外，还禁用Windows睡眠和休眠模式，通过计划任务设置持久化，并使用”Winring0.sys”驱动微调CPU进行挖矿。 攻击另一关键组件为看门狗进程，确保恶意构件和持久化机制在被删除时恢复。据估计，该活动在四个追踪钱包中累计获取27.88 XMR（9392美元），表明运营为攻击者带来稳定财务回报。 “除C2基础设施外，威胁行为体滥用GitHub作为载荷分发CDN，在两个已识别账户中托管分阶段二进制文件，”Elastic表示，”该技术将下载执行步骤从运营者控制的基础设施转移至可信平台，降低检测阻力。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cisco发布更新修复集成管理控制器（IMC）关键安全漏洞，成功利用可使未经认证的远程攻击者绕过认证，以提升权限访问系统。 该漏洞编号CVE-2026-20093，CVSS评分9.8（满分10.0）。 Cisco在周三发布的公告中表示：”该漏洞源于密码更改请求处理不当。攻击者可通过向受影响设备发送特制HTTP请求利用该漏洞。成功利用可使攻击者绕过认证，更改系统任意用户（包括管理员）密码，并以该用户身份访问系统。” 安全研究员”jyh”因发现并报告该漏洞获得致谢。该缺陷影响以下产品，与设备配置无关： 5000系列企业网络计算系统（ENCS）——已在4.15.5版本修复 Catalyst 8300系列边缘uCPE——已在4.18.3版本修复 独立模式下UCS C-Series M5和M6机架服务器——已在4.3(2.260007)、4.3(6.260017)和6.0(1.250174)版本修复 UCS E-Series服务器M3——已在3.2.17版本修复 UCS E-Series服务器M6——已在4.15.3版本修复 Cisco修复的另一关键漏洞影响Smart Software Manager本地版（SSM On-Prem），可使未经认证的远程攻击者在底层操作系统执行任意命令。漏洞CVE-2026-20160（CVSS评分9.8）源于内部服务意外暴露。 Cisco表示：”攻击者可通过向暴露服务的API发送特制请求利用该漏洞。成功利用可使攻击者在底层操作系统以root权限执行命令。” 该漏洞修复补丁已发布于Cisco SSM On-Prem 9-202601版本。Cisco称该漏洞在处理Cisco技术援助中心（TAC）支持案例时内部发现。 尽管两漏洞均未遭野外利用，但近期披露的多个Cisco产品安全缺陷已被威胁行为体武器化。在尚无变通方案的情况下，建议客户更新至修复版本以获得最佳防护。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场大规模凭证收集行动被观察到利用React2Shell漏洞作为初始感染媒介，大规模窃取数据库凭证、SSH私钥、亚马逊云服务（AWS）密钥、shell命令历史、Stripe API密钥及GitHub令牌。 Cisco Talos将该行动归因于其追踪的威胁集群UAT-10608。活动已入侵至少766台主机，横跨多个地理区域和云服务提供商。 安全研究员Asheer Malhotra和Brandon White在报告发布前与The Hacker News分享称：”入侵后，UAT-10608利用自动化脚本从各类应用提取并外泄凭证，随后发布至其命令控制（C2）服务器。C2托管名为’NEXUS Listener’的Web图形界面，可用于查看窃取信息，并通过预编译统计获取凭证收集和主机入侵的分析洞察。” 该行动评估针对易受CVE-2025-55182（CVSS评分10.0）攻击的Next.js应用——这是React服务器组件和Next.js应用路由器的关键漏洞，可导致远程代码执行——获取初始访问权限，随后投放NEXUS Listener收集框架。 通过投放器部署多阶段收集脚本，从受感染系统收集各类详情：环境变量、JS运行时JSON解析环境、SSH私钥和authorized_keys、shell命令历史、Kubernetes服务账户令牌、Docker容器配置（运行容器、镜像、暴露端口、网络配置、挂载点和环境变量）、API密钥、通过查询AWS、谷歌云和微软Azure实例元数据服务获取的IAM角色关联临时凭证，以及运行进程。 该网络安全公司表示，受害者范围广泛且不加选择的攻击模式与自动化扫描一致，可能利用Shodan、Censys或定制扫描器等服务，识别公开可访问的Next.js部署并探测漏洞。 该框架核心为受密码保护的Web应用，通过图形界面向运营者提供所有窃取数据，具备搜索功能以筛选信息。 Talos称：”应用包含多项统计列表，包括入侵主机数量及从主机成功提取的各类凭证总数。Web应用允许用户浏览所有被入侵主机，还列出应用自身运行时间。” NEXUS Listener当前版本为V3，表明该工具在达到当前阶段前经历了大量开发迭代。 Talos从某未认证NEXUS Listener实例获取的数据包含Stripe、人工智能平台（OpenAI、Anthropic和NVIDIA NIM）、通信服务（SendGrid和Brevo）的API密钥，以及Telegram机器人令牌、webhook密钥、GitHub和GitLab令牌、数据库连接字符串及其他应用密钥。 广泛的数据收集行动凸显不法分子如何将入侵主机的访问权限武器化以发动后续攻击。建议组织审计环境以强制执行最小权限原则，启用密钥扫描，避免重复使用SSH密钥对，在所有AWS EC2实例上强制实施IMDSv2，如怀疑遭入侵则轮换凭证。 研究人员表示：”除单个凭证的直接运营价值外，聚合数据集代表了受害者组织基础设施的详细图谱：运行哪些服务、如何配置、使用哪些云提供商、有哪些第三方集成。该情报对策划定向后续攻击、社交工程活动或向其他威胁行为体出售访问权限具有重要价值。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Drift协议在一场精心策划的复杂攻击中损失至少2.8亿美元，威胁行为体夺取了其安全委员会管理权限。 平台解释称，攻击者利用持久随机数账户和预签名交易延迟执行，在选定时间精准发动攻击。 Drift强调，黑客并未利用其程序或智能合约的任何漏洞，且未泄露任何助记词。 Drift协议是基于Solana区块链构建的DeFi交易平台，作为非托管交易所，用户在与链上市场交互时完全掌控自己的资金。 截至2024年底，该平台声称拥有20万交易者，支持总交易量超550亿美元，日峰值达1300万美元。 据Drift报告，盗窃案于3月23日至30日间准备，攻击者设置持久随机数账户，并从安全委员会成员处获得2/5多签批准以满足所需阈值。 这使其能够预签名恶意交易，但不立即执行。 4月1日，攻击者执行一笔合法交易，随即执行预签名的恶意交易，在数分钟内将管理控制权转移至自身。 获得管理控制权后，他们引入恶意资产，移除提款限制，最终耗尽资金。 Drift协议估计损失约2.8亿美元，而区块链追踪账户PeckShieldAlert计算损失为2.85亿美元。 检测到协议异常活动后，Drift向用户发出公开警告，称已启动调查，并敦促用户在进一步通知前不要存入任何资金。 攻击导致借贷存款、金库存款和交易资金受影响，所有协议功能现已基本冻结。Drift表示DSOL未受影响，保险基金资产安全。 平台现正与安全公司、加密货币交易所及执法部门合作，追踪并冻结被盗资金。 Drift承诺将在未来几天发布详细的事后分析报告。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AI招聘公司Mercor披露受到近期LiteLLM供应链攻击影响，此前勒索团伙声称窃取了4TB数据。 LiteLLM事件发生于3月27日，是一周前Trivy供应链攻击的连锁反应。LiteLLM在事件描述中指出：”我们认为入侵源于CI/CD安全扫描工作流中使用的Trivy依赖。” TeamPCP黑客组织利用被盗的维护者凭证，发布了两个恶意LiteLLM PyPI包版本（1.82.7和1.82.8），可供下载约40分钟。 LiteLLM估计存在于36%的云环境中，尽管暴露窗口看似短暂，但恶意包版本可能已被数千家公司自动下载，包括Mercor。 这家初创公司周三表示：”我们最近发现，我们是受LiteLLM供应链攻击影响的数千家公司之一。我们的安全团队迅速采取行动控制和修复事件。我们正在领先第三方取证专家的支持下进行全面调查。” 虽然公司未披露具体影响，但Lapsus$勒索团伙周一已在其泄露网站上列出Mercor，声称窃取超4TB数据。 Lapsus$正在拍卖这些信息，据称包括候选人档案、个人身份信息、雇主数据、用户账户和凭证、视频面试、专有信息、源代码、密钥和秘密，以及TailScale VPN数据。 据报道，TeamPCP近期已与Lapsus合作，将其广泛供应链活动中获取的数据和访问权限变现，因此该勒索团伙将Mercor列入泄露网站并不意外。但Mercor尚未确认Lapsus 的声明。 SecurityWeek已向Mercor发送邮件寻求置评，如获回复将更新本文。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp近日发现一款恶意伪造应用，针对约200名用户（主要在意大利）。平台确认该非官方客户端含间谍软件，由意大利公司Asigint开发——该公司是SIO Spa的子公司，以向执法和政府机构提供监控工具闻名。 WhatsApp声明：”我们的安全团队识别出约200名用户（主要在意大利），我们认为他们可能下载了这款非官方有害客户端。我们已将其登出并提醒隐私和安全风险。我们相信这是一次针对有限用户的社会工程尝试，目的是诱导他们安装冒充WhatsApp的有害软件，可能意图获取设备访问权限。今日，WhatsApp已对Asigint采取行动，这是一家由Sio Spa控制的意大利间谍软件公司，制造了WhatsApp伪造版本。我们相信该恶意客户端背后的个人使用社会工程技术，诱骗人们下载伪装成WhatsApp的非官方有害应用。”这家Meta集团旗下公司表示，打算”向该间谍软件公司发送正式法律通知，要求其停止一切有害活动”。 受影响用户已被迅速登出并通知潜在隐私和安全风险。WhatsApp建议他们移除伪造应用并重新安装官方版本，强调该事件不涉及WhatsApp本身的漏洞；合法应用的端到端加密保持完好。 据WhatsApp称，攻击者依赖社会工程技术，诱骗用户安装假冒应用——该应用未在苹果App Store或Google Play等官方数字商店上架。这种方式表明这是一场高度针对性的活动，可能是更广泛调查的一部分，而非大规模分发攻击。 据意大利通讯社ANSA报道，这家Meta集团旗下平台表示：”重要的是澄清，这不是WhatsApp的漏洞；端到端加密继续保护使用官方WhatsApp应用的用户通信。我们相信该恶意客户端背后的个人使用社会工程技术，说服人们下载伪装成WhatsApp的非官方有害应用，可能意图获取设备访问权限。我们打算向该间谍软件公司发送正式法律通知，要求其停止任何有害活动。” SIO通过Asigint在政府级间谍软件开发领域历史悠久。2025年TechCrunch报道曾将SIO与Spyrtacus关联——一系列伪装成WhatsApp及其他流行应用的恶意安卓应用。Spyrtacus允许攻击者从设备提取敏感数据，包括消息、通讯录和通话记录，以及通过麦克风和摄像头监控用户。 WhatsApp发言人解释，公司计划向Asigint发出正式法律要求，请求其停止所有恶意活动。平台强调，根据法律追究间谍软件开发者责任，是保护用户免受定向攻击的关键部分。WhatsApp此前曾取得开创性成果，根据美国法律追究一家商业间谍软件公司试图监控用户移动设备的责任。 该事件凸显了数字监控的更广泛趋势：使用伪造应用作为间谍工具。网络安全专家指出，此类战术在针对个人进行情报或执法目的的活动中很常见。 我向ANSA表示：”伪造WhatsApp活动展示了现代社会工程技术的复杂性，攻击者利用用户对流行软件的信任获取敏感设备访问权限。” SIO自称是利用先进技术重新定义人机交互的软件开发人员和架构师团队。据其网站，公司与执法机构、政府组织和情报机构密切合作，在该领域拥有30多年经验。伪造WhatsApp案例凸显了在情报领域运营的公司如何以无意或故意的方式针对私人用户，引发伦理和法律问题。 虽然攻击的全部范围仍不清楚，但WhatsApp的主动响应凸显了警惕的重要性。强烈建议用户仅从官方渠道下载应用，并对可疑链接或提示保持警觉，尤其是处理消息或银行应用时。 该案例还展示了意大利及全球数字安全面临的不断演变的挑战，间谍软件开发者越来越多地使用伪造应用绕过传统防御并利用用户信任。尽管大多数受影响者为意大利人，但教训适用于任何使用广泛信任应用的人。意识和及时更新是应对此类定向威胁的基本防御手段。 总之，WhatsApp-Asigint事件提醒我们，以隐私为导向的平台与以监控为导向的行为体之间正在持续进行军备竞赛。虽然端到端加密保护合法应用用户，但攻击者将继续探索间接方法（如伪造应用）来规避防护措施。警惕、法律问责和及时的用户教育仍是缓解这些复杂威胁的最有效工具。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周三，玩具和游戏巨头孩之宝报告称遭到网络攻击，部分公司业务流程受到干扰。 在提交给美国证券交易委员会（SEC）的文件中，该公司表示于 3 月 28 日检测到网络遭未经授权访问。作为事件应对措施的一部分，部分系统已下线。 目前公司正在外部网络安全专家的协助下展开调查。调查的目标之一是确定此次攻击的全面影响，包括是否有文件遭到泄露。 孩之宝称：“公司已实施并将继续实施业务连续性计划，以便在解决这一情况期间能够持续接单、发货并开展其他关键业务。” 该公司还补充道：“在情况完全解决之前，这些临时措施可能需要持续运行数周，这可能会导致一些延误。” 从孩之宝对此次安全事件的简短描述来看，可能有网络犯罪组织以部署文件加密勒索软件和窃取数据的方式对其发起攻击。 目前尚无已知的勒索组织宣称对攻击孩之宝负责。不过，此次入侵几天前才被发现，而网络犯罪团伙通常需要更长时间才会将受害者信息列在其数据泄露网站上，一般是在谈判失败或陷入僵局之时。 孩之宝表示正在保障系统安全，并将根据调查结果采取包括通知相关方等其他行动。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 CrystalRAT 的新型恶意软件即服务（MaaS）正在 Telegram 上推广，具备远程访问、数据窃取、键盘记录以及剪贴板劫持等功能。 该恶意软件于 1 月现身，采用分层订阅模式。除 Telegram 频道外，这款 MaaS 还通过专门的营销频道在 YouTube 上进行推广，展示其功能。 卡巴斯基研究人员在今日发布的报告中指出，这款恶意软件与 WebRAT（Salat 窃取器）极为相似，包括相同的控制界面设计、基于 Go 语言的代码以及类似的基于机器人的销售系统。 CrystalX 详细信息 卡巴斯基表示，该恶意软件提供了一个用户友好的控制面板和一个支持定制选项的自动生成工具，定制选项包括地理封锁、可执行文件定制以及反分析功能（反调试、虚拟机检测、代理检测等）。 生成的有效载荷经过 zlib 压缩，并使用 ChaCha20 对称流密码进行加密保护。 该恶意软件通过 WebSocket 连接到命令与控制（C2）服务器，并发送主机信息用于分析和感染追踪。 卡巴斯基发现，CrystalX 的数据窃取组件因准备升级暂时禁用，它通过 ChromeElevator 工具针对基于 Chromium 内核的浏览器、Yandex 浏览器和 Opera 浏览器进行攻击。此外，该工具还从 Steam、Discord 和 Telegram 等桌面应用程序收集数据。 其远程访问模块可用于通过 CMD 执行命令、上传 / 下载文件、浏览文件系统，以及通过内置的 VNC 实时控制主机。 该恶意软件还具有间谍软件的特性，能够通过麦克风捕获视频和音频。 最后，CrystalX 具备实时将按键记录传输到 C2 服务器的键盘记录器，以及使用正则表达式检测剪贴板中的钱包地址，并将其替换为攻击者提供地址的剪贴板劫持工具。 融入 “趣味” 元素 在众多恶意软件即服务产品中，CrystalX 的独特之处在于其丰富的恶搞功能。 据卡巴斯基介绍，该恶意软件可在受感染设备上执行以下操作： 更改桌面壁纸 将屏幕显示旋转至不同角度 强制系统关机 重新映射鼠标按键 禁用输入设备（键盘 / 鼠标 / 显示器） 显示虚假通知 改变屏幕上的光标位置 隐藏各种组件（桌面图标、任务栏、任务管理器和命令提示符可执行文件） 提供攻击者与受害者的聊天窗口 虽然上述功能无法提升网络犯罪分子攻击的盈利潜力，但确实使该产品独具特色，可能会吸引脚本小子和低技能 / 初级威胁行为者订阅。 加入恶搞功能的另一个原因，可能是在数据窃取模块在后台运行时，能够操纵甚至分散受害者的注意力。 为降低恶意软件感染风险，建议用户在浏览网络内容时保持谨慎，避免从未经信任或非官方来源下载软件或媒体文件。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 EvilTokens 的新型恶意工具包集成了设备代码网络钓鱼功能，使攻击者能够劫持微软账户，并为商业邮件入侵攻击提供高级功能。 该工具包通过 Telegram 出售给网络犯罪分子，且仍在持续开发中，其开发者表示计划扩展对 Gmail 和 Okta 钓鱼页面的支持。 设备代码网络钓鱼攻击滥用 OAuth 2.0 设备授权流程，攻击者诱骗账户所有者授权恶意设备，从而获取对受害者账户的访问权限。 这种技术已有诸多记录，被多个威胁行为者使用，包括被追踪为 Storm – 237、UTA032、UTA0355、UNK_AcademicFlare 和 TA2723 的俄罗斯组织，以及 ShinyHunters 数据勒索组织。 EvilTokens 攻击手法 威胁检测与响应公司 Sekoia 的研究人员观察到 EvilTokens 攻击中，受害者收到包含文档（PDF、HTML、DOCX、XLSX 或 SVG）的邮件，文档内含有指向 EvilTokens 钓鱼模板的二维码或超链接。 这些诱饵伪装成合法的商业内容，如财务文件、会议邀请、物流或采购订单、工资单通知，或通过 DocuSign 或 SharePoint 等服务共享的文件，且通常针对财务、人力资源、物流或销售岗位的员工。 当受害者打开链接，会看到一个伪装成可信服务（如 Adobe Acrobat 或 DocuSign）的钓鱼页面，页面显示验证码及完成身份验证的说明。 该页面提示用户点击 “继续前往微软” 按钮，将用户重定向到合法的微软设备登录页面。 在此步骤，攻击者使用合法客户端（任意微软应用程序）请求设备代码，然后诱骗受害者从威胁行为者提供的链接登录合法的微软 URL。 通过这种方式，攻击者会获得短期访问令牌和用于持续访问的刷新令牌。 这些令牌使攻击者能够立即访问与受害者账户相关的服务，包括电子邮件、文件、Teams 数据，以及在微软各服务间进行单点登录模拟的能力。 攻击影响范围 Sekoia 的研究人员检查了 EvilTokens 的基础设施，发现其攻击活动遍布全球，受影响最严重的国家包括美国、加拿大、法国、澳大利亚、印度、瑞士和阿联酋。 EvilTokens 的更多功能 Sekoia 的研究人员称，除了先进的网络钓鱼功能，EvilTokens 钓鱼即服务（PhaaS）操作还通过自动化为商业邮件入侵（BEC）攻击提供 “高级功能”。 多样化的攻击活动表明，EvilTokens 已被参与网络钓鱼和商业邮件入侵活动的威胁行为者大规模使用。 Sekoia 提供了入侵指标（IoC）、技术细节和 YARA 规则，以帮助防御者阻止利用 EvilTokens 钓鱼即服务工具包的攻击。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场多管齐下的网络钓鱼活动，正瞄准拉丁美洲和欧洲各组织中讲西班牙语的用户，通过一款名为 Horabot 的恶意软件，投放诸如卡斯巴内罗（又名 Metamorfo）之类的 Windows 银行木马。 该活动被认为是由一个被追踪为 “增强掠夺者”（Augmented Marauder）和 “水萨西”（Water Saci）的巴西网络犯罪威胁行为者发起。趋势科技在 2025 年 10 月首次记录了这个电子犯罪组织。 蓝维安特（BlueVoyant）安全研究员托马斯・埃尔金斯（Thomas Elkins）和约书亚・格林（Joshua Green）在周二发布的一份技术分析报告中表示：“这个威胁组织采用了一种更广泛的攻击模式，专注于定制化的投递和传播机制，其中包括 WhatsApp、ClickFix 技术，以及以电子邮件为中心的网络钓鱼。” “现在很明显，虽然这些巴西的攻击者大量利用基于脚本的 WhatsApp 自动化程序，来攻击拉丁美洲的零售和消费者用户，但他们同时也维护并部署了一个先进的电子邮件劫持引擎，以渗透拉丁美洲和欧洲的企业网络。” 此次活动始于一封网络钓鱼邮件，邮件采用法院传票主题的内容，诱骗收件人打开一个受密码保护的 PDF 附件。点击文档中嵌入的链接会将受害者引导至恶意链接，并自动下载一个 ZIP 压缩文件，进而导致临时 HTML 应用程序（HTA）和 VBS 有效载荷的执行。 VBS 脚本旨在进行与 Horabot 类似的环境和反分析检查，包括对 Avast 杀毒软件的检测，随后从远程服务器检索下一阶段的有效载荷。下载的文件中包含基于 AutoIt 的加载器，每个加载器会提取并运行扩展名为 “.ia” 或 “.at” 的加密有效载荷文件，最终启动两个恶意软件家族：卡斯巴内罗（“staticdata.dll”）和 Horabot（“at.dll”）。 虽然卡斯巴内罗是主要的有效载荷，但 Horabot 被用作恶意软件的传播机制。卡斯巴内罗的 Delphi DLL 模块会连接到命令与控制（C2）服务器，获取一个 PowerShell 脚本，该脚本利用 Horabot 通过网络钓鱼邮件，将恶意软件分发给从微软 Outlook 获取的联系人。 蓝维安特称：“与早期 Horabot 活动中分发静态文件或硬编码链接不同，这个脚本会向远程 PHP API（hxxps://tt.grupobedfs [.] com/…/gera_pdf.php）发起 HTTP POST 请求，并传递一个随机生成的四位 PIN 码。” “服务器会动态伪造一份定制的、受密码保护的 PDF 文件，伪装成西班牙司法传票，然后返回给受感染主机。接着，脚本会遍历筛选后的电子邮件列表，利用被入侵用户自己的电子邮件账户发送一封定制的网络钓鱼邮件，并附上新生成的 PDF 文件。” 同时使用的还有一个与 Horabot 相关的辅助 DLL（“at.dll”），它作为垃圾邮件和账户劫持工具，针对雅虎、Live 和 Gmail 账户，通过 Outlook 发送网络钓鱼邮件。据评估，至少从 2020 年 11 月起，Horabot 就被用于针对拉丁美洲的攻击。 “水萨西” 曾利用 WhatsApp Web 作为传播载体，以类似蠕虫的方式传播像 Maverick 和卡斯巴内罗这样的银行木马。然而，卡巴斯基强调的近期活动则利用了 ClickFix 社会工程策略，诱骗用户运行恶意 HTA 文件，最终目的是部署卡斯巴内罗和 Horabot 传播器。 研究人员总结道：“ClickFix 社会工程策略、动态 PDF 生成以及 WhatsApp 自动化的结合，表明攻击者十分灵活，不断创新并实施多种攻击路径，以绕过现代安全控制。” “该攻击者维持着一种双叉、多管齐下的攻击架构，动态部署以 WhatsApp 为中心的 Maverick 链条，同时利用 ClickFix 和基于电子邮件的 Horabot 攻击路径。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文