HackerNews

近日，工业和信息化部网络安全威胁与漏洞信息共享平台（CSTIS）监测发现，黑客组织正在利用SharpRhino新型远程访问木马实施网络攻击。 SharpRhino利用数字签名的32位安装程序进行传播，其中包含自解压的受密码保护的.7z存档以及用于执行感染的附加文件，该恶意软件在安装过程中会修改Windows注册表，释放“LogUpdate.bat”，实现在设备上执行PowerShell脚本，部署勒索病毒负载。根据监测，本轮SharpRhino恶意软件传播以部署冒充合法开源网络扫描工具网站的方式为主，攻击目标主要为IT从业人员。 建议相关单位及用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，谨慎下载运行来源不明的应用程序，保持操作系统、系统和应用软件更新，及时修复已知安全漏洞，防范网络攻击风险。   转自安全内参，原文链接：https://www.secrss.com/articles/69485 封面来源于网络，如有侵权请联系删除

Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用，特别是针对 IoT 设备和服务器的攻击。最近，Mirai的命令和控制服务器中发现了一个新漏洞，该漏洞允许攻击者执行DDoS攻击，但同时也能被安全人员用来进行反制。 僵尸网络的核心基础设施完全依赖于 C2 服务器，其中可以控制数千台受感染的僵尸计算机。一位名叫“Jacob Masse”的研究人员发现表明，这种DDoS 攻击的存在是由于 CNC 服务器上的会话管理不当造成的。 研究人员表示，发起此攻击不需要身份验证，从而很容易被利用。执法部门或安全研究人员也可以使用这种攻击场景来使 CNC 服务器无法运行，从而导致僵尸网络被拆除。具体原理基于此漏洞会压垮服务器的会话缓冲区，当同时建立多个连接时，无法正确处理该缓冲区。 此外，这种攻击还存在于预验证阶段，即验证打开后的多个同时连接尝试未得到正确处理。 在此情况下，攻击者可以使用根用户名发送验证请求，从而在 CNC 服务器上打开多个连接。 服务器无法管理这些连接尝试，从而导致资源耗尽和服务器崩溃。 因此，对于安全人员而言，利用此漏洞可以破坏僵尸网络活动，从而随后消除与僵尸网络相关的威胁。但从攻击者角度出发，该漏洞导致的恶意网络压力也会破坏数据并造成业务中断。 Mirai 僵尸网络被发现于2016年8月，因其潜在的DDoS攻击和庞大网络而多次成为头条新闻，特别是针对 IoT 设备和服务器的攻击。Mirai 拥有数千台遭到入侵的设备，并通过利用弱默认密码和已知漏洞来瞄准 IP 摄像头和家用路由器等消费类设备，其他几个变体的源代码与 Mirai相似。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409539.html 封面来源于网络，如有侵权请联系删除

近期，一个大规模的网络钓鱼活动利用Microsoft Sway这一云基础的在线演示工具来搭建登陆页面，目的是为了诱使Microsoft 365用户泄露他们的登录凭证。 2024年7月，Netskope的安全威胁实验室发现，通过Microsoft Sway托管的钓鱼网页数量激增，与今年上半年相比，增长了惊人的2000倍。这种急剧上升的趋势与此前的低活动水平形成了鲜明对比，更加凸显了这次攻击活动的规模。 该活动主要针对亚洲和北美地区的用户，特别是技术、制造和金融行业，这些行业成为攻击者的主要目标。 攻击者通过电子邮件将潜在的受害者引导至由sway.cloud.microsoft域名托管的钓鱼登陆页面。这些页面诱导目标用户扫描QR码，进而将他们重定向到其他恶意网站。 攻击者倾向于鼓励用户使用移动设备扫描这些二维码，因为移动设备的安全防护通常较弱，这增加了他们绕过安全措施、无障碍访问钓鱼网站的可能性。 安全研究人员指出：由于URL被嵌入到图片中，那些只能扫描文本内容的电子邮件扫描器将无法识别。此外，当用户收到二维码时，他们可能会选择使用手机等移动设备进行扫描。 “移动设备，尤其是个人手机，其实施的安全措施通常没有笔记本电脑和台式机那么严格，这使得用户更容易成为攻击的目标。”研究人员进一步解释道。   微软 Sway 网络钓鱼页面示例 攻击者采取了多种手段来提高其钓鱼活动的成功率，例如通过透明钓鱼手段，他们盗取了用户的凭证和多因素认证码，并在向用户展示合法登录页面的同时，使用这些信息登录用户的Microsoft账户。 他们还使用了Cloudflare Turnstile这一旨在防止机器人访问的工具，来隐藏其钓鱼登陆页面的内容，避免静态扫描器的检测。这有助于保持钓鱼域名的良好信誉，并防止被诸如Google Safe Browsing之类的网络过滤服务所屏蔽。 Microsoft Sway在五年前的PerSwaysion钓鱼活动中也遭到了滥用，该活动通过一个在恶意软件即服务（MaaS）业务中提供的钓鱼套件，针对Office 365的登录凭证。 Group-IB的安全研究人员当时揭露，这些攻击至少欺骗了156位在中小型金融服务公司、律师事务所和房地产集团中担任高级职位的人员。 Group-IB表示，在所有被“收割” 的Office 365账户中，有超过20%是来自美国、加拿大、德国、英国、荷兰、香港和新加坡等国家或地区的组织中的高级执行官、总裁和常务董事。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409605.html 封面来源于网络，如有侵权请联系删除

据Cyber News消息，安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个基于云的现场服务管理平台 ServiceBridge 暴露了大规模数据，其中包含合同、工单、发票、建议书、协议、部分信用卡号，甚至还有可追溯到 2012 年的 HIPAA 同意书。 ServiceBridge为多项现场服务提供业务支持，如泳池服务、害虫防治、杂工等，是一个集 GPS 跟踪、工单、开票和付款的平台。 暴露的数据库信息 根据此次发现，暴露的数据库包含 31524107 个文件，总大小为 2.68TB，文档按年月以及 PDF 和 HTM 格式分类存放在文件夹中，其中涵盖美国、加拿大、英国和许多欧洲国家不同行业的公司，其历史可以追溯到 2012 年。 除了暴露了大量合同信息，一些文件也包括个人和组织信息，例如房东、学校、宗教机构、知名连锁餐厅、医疗服务提供者等。一些文件甚至包括可能对财产或个人构成潜在物理安全风险的大门密码或其他访问信息。 此截图为一个工作订单，其中列出了部分付款信息、所欠账户余额和客户的 PII 研究人员向ServiceBridge发送了一份披露通知后，暴露的数据库已经不可见，但目前尚不清楚该数据库被暴露了多长时间，以及是否被任何潜在的黑客访问。 研究人员警告称，暴露信息可能会被网络犯罪分子利用来进行鱼叉式网络钓鱼活动或其他欺诈活动。2022 年，由于发票和付款欺诈，美国企业平均每年损失了30万美元。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409656.html 封面来源于网络，如有侵权请联系删除

开源GPS跟踪系统Traccar近日曝出两个高危漏洞，可被黑客利用远程执行代码。在全球GPS跟踪市场中，Traccar因其灵活的开源架构和可定制化特点，深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar，用户可以实现对车辆位置的实时监控、历史轨迹回放、地理围栏设置等功能，从而提高运营效率和安全性。根据Horizon3.ai的研究员Naveen Sunkavally所述，披露的两个漏洞都是路径遍历（PathTraversal）漏洞，当启用访客注册功能（Traccar5的默认配置）时，漏洞就会被武器化利用。以下是这两个漏洞的简要描述： CVE-2024-24809（CVSS分数：8.5）-路径遍历漏洞，允许上传具有危险类型的文件，攻击路径为dir/../../filename。 CVE-2024-31214（CVSS分数：9.7）-设备图片上传功能中存在不受限制的文件上传漏洞，可能导致远程代码执行。 Sunkavally表示：“CVE-2024-31214和CVE-2024-24809的综合结果是，攻击者可将任意内容的文件放置到文件系统的任意位置。不过，攻击者只能部分控制文件名。” 这些问题与程序处理设备图片文件上传的方式有关，攻击者可以借此覆盖文件系统中的某些文件，从而触发代码执行。这些文件必须符合以下命名格式： device.ext：攻击者可以控制ext（扩展名），但必须存在扩展名。 blah”：攻击者可以控制blah，但文件名必须以双引号结尾。 blah1″;blah2=blah3：攻击者可以控制blah1、blah2和blah3，但必须包含双引号、分号序列和等号。 攻击场景与利用方式 在Horizon3.ai提出的概念验证（PoC）中，攻击者可以利用Content-Type头中的路径遍历漏洞来上传crontab文件，从而在攻击者主机上获取反向shell。然而，这种攻击方式无法在基于Debian或Ubuntu的Linux系统上运行，因为这些系统禁止crontab文件包含句号或双引号。另一种攻击方式是利用Traccar以root用户权限安装的特性，攻击者可以投放一个内核模块，或者配置一个udev规则，使其在每次触发硬件事件时执行任意命令。在易受攻击的Windows实例中，攻击者可以通过在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp目录中放置一个名为device.lnk的快捷方式文件来实现远程代码执行。当目标用户登录Traccar主机时，该文件会被自动执行。 受影响版本及修复措施 Traccar版本5.1至5.12均受到CVE-2024-31214和CVE-2024-24809的影响。这些漏洞已在2024年4月发布的Traccar 6中得到修复，新版本默认关闭了自注册功能，从而减少了攻击面。 Sunkavally进一步解释道：“如果注册设置为true、readOnly为false且deviceReadonly为false，那么未经身份验证的攻击者可以利用这些漏洞。而这些正是Traccar 5的默认配置。” 总结 Traccar GPS是颇为流行的开源GPS跟踪系统，此次曝光的两个远程执行漏洞对设备和系统安全构成严重威胁。虽然这些漏洞已在Traccar 6中得到了修复，但对使用Traccar 5系列的用户来说，关闭自注册功能并更新至最新版本至关重要。确保这些配置安全，才能有效抵御潜在的网络攻击。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TbvItWzI_KWWUzcsqBueUg 封面来源于网络，如有侵权请联系删除

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。这种网络钓鱼方法利用渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现。 iOS和Android上的PWA网络钓鱼 这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。在iOS上，网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。 PWA工作原理的简化图 在Android设备上，当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK）。WebAPK是一种特殊类型的APK，即标准的Android应用程序文件，可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。 针对银行的金融欺诈活动 在2023年11月，ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动，在这些活动中，攻击者使用了一种特定的技术，并且这种技术是与标准的网络钓鱼传递技术一起使用的。这些网络钓鱼活动使用了三种不同的URL传递机制：语音呼叫传送：自动呼叫警告用户过时的银行应用程序，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，将通过短信发送网络钓鱼URL。短信发送：带有网络钓鱼链接的短信被莫名其妙地发送到捷克的电话号码。 恶意广告投放：在Instagram和Facebook等Meta平台上发布号召性用语的广告，例如为下载更新用户提供优惠。 PWA 网络钓鱼流 2024年3月，研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明，3月之前可能并未运行。根据C2服务器和后端基础设施的分析，研究人员得出结论，至少有两个不同的威胁行动者在操作这些网络钓鱼活动。ESET目前已经通知了被这些网络钓鱼活动针对的银行。   转自E安全，原文链接：https://mp.weixin.qq.com/s/2v-zewR5qAfpiv_kAcldGg 封面来源于网络，如有侵权请联系删除

SafeBreach 安全研究员 Alon Leviev 发布了其Windows Downdate工具，该工具可用于Windows降级攻击，重新引入最新的 Windows 10、Windows 11 和 Windows Server 系统中的旧漏洞。 在这种攻击中，攻击者强迫最新的目标设备恢复到旧软件版本，从而重新引入可被利用来破坏系统的安全漏洞。 Windows Downdate 是一个基于 Python 的开源程序和预编译的 Windows 可执行文件，可以帮助降级 Windows 10、Windows 11 和 Windows Server 系统组件。 Leviev 分享了多个使用示例，允许将 Hyper-V 虚拟机管理程序降级至两年前的版本、Windows 内核、NTFS 驱动程序和过滤器管理器驱动程序（降级至其基本版本）以及其他 Windows 组件和以前应用的安全补丁。 SafeBreach 安全研究员 Alon Leviev解释说：“您可以使用它来接管 Windows 更新，以降级并暴露 DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任程序等中的过去漏洞。除了自定义降级之外，Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 补丁的使用示例，以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。” 正如 Leviev 在 Black Hat 2024 上披露 Windows Downdate 降级攻击（利用CVE-2024-21302和CVE-2024-38202漏洞）时所说的那样，使用此工具是无法检测到的，因为它无法被端点检测和响应 (EDR) 解决方案阻止，并且 Windows 更新会不断报告目标系统是最新的（尽管已被降级）。 “我发现了多种禁用 Windows 基于虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，即使在使用 UEFI 锁强制执行的情况下也是如此。据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。” Leviev 说。“结果，我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台 Windows 机器上的‘完全修补’一词变得毫无意义。” 尽管微软于 8 月 7 日发布了安全更新 ( KB5041773 ) 来修复 CVE-2024-21302 Windows 安全内核模式权限提升漏洞，但该公司尚未针对 Windows 更新堆栈权限提升漏洞 CVE-2024-38202 提供补丁。 在安全更新发布之前，微软建议客户实施本月早些时候发布的安全公告中分享的建议，以帮助防止 Windows Downdate 降级攻击。 该问题的缓解措施包括配置“审计对象访问”设置来监控文件访问尝试、限制更新和恢复操作、使用访问控制列表来限制文件访问以及审计权限来识别利用此漏洞的尝试。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/va31Jea1GBsHGhhqIW3vcg 封面来源于网络，如有侵权请联系删除

过去两天，俄罗斯导弹和无人机袭击了乌克兰全国的关键基础设施，导致数百万乌克兰人的互联网中断。 根据互联网监控服务 NetBlocks 的数据，截至周二，乌克兰全国互联网连接率仍为正常水平的 71％。 乌克兰还因俄罗斯大规模空袭而实施紧急断电，包括基辅在内的一些城市停电、停水近12个小时。 周一，俄罗斯向乌克兰发射了 127 枚导弹和 109 架无人机——这是自三年前战争爆发以来规模最大、代价最高的袭击之一。据《福布斯》估计，此次袭击花费了俄罗斯高达 13 亿美元。 周二，俄罗斯向乌克兰目标发射了 10 枚导弹和 81 架无人机，这些目标大多是关键基础设施，包括水电站、能源设施和地下天然气储存设施。 由于乌克兰停电，移动运营商的基础设施已依赖于基站安装的电池和发电机。当基站不堪重负时，可能会影响部分用户的移动连接。 俄罗斯不断试图摧毁乌克兰的能源和互联网基础设施。今年 1 月早些时候，数十枚俄罗斯导弹击中基辅后，基辅的互联网连接“严重”中断。2022 年 10 月，俄罗斯导弹摧毁了乌克兰部分电信基础设施和能源设施，导致该国全国范围内的通信服务中断。 俄罗斯用户在访问互联网和其他数字服务时也经常遇到问题，这通常是由于乌克兰的物理和网络攻击造成的。 本周早些时候，NetBlocks报道称，在俄罗斯占领的克里米亚地区大规模停电的报道中，塞瓦斯托波尔市的互联网连接也中断了。俄罗斯地区领导层声称，此次事件是由于克里米亚能源配送网络紧急关闭所致，但也可能与乌克兰对克里米亚的袭击有关。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_z_eu2eWF1cXStqmdQ-vew 封面来源于网络，如有侵权请联系删除

卡巴斯基安全研究人员发现，钉钉和微信等中国即时通讯应用的用户是苹果 macOS 版后门HZ RAT的目标。 卡巴斯基研究员 Sergey Puzan表示，这些文件“几乎完全复制了 Windows 版后门的功能，仅在于有效载荷有所不同，该载荷以来自攻击者服务器的 shell 脚本的形式接收” 。 HZ RAT于 2022 年 11 月首次由德国网络安全公司 DCSO 记录，该恶意软件通过自解压 zip 档案或恶意 RTF 文档进行分发，据推测是使用Royal Road RTF 武器化器构建的。 涉及 RTF 文档的攻击链旨在通过利用公式编辑器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 来部署在受感染主机上执行的 Windows 版本的恶意软件。 另一方面，第二种分发方法伪装成合法软件（如 OpenVPN、PuTTYgen 或 EasyConnect）的安装程序，除了实际安装诱饵程序外，还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。 HZ RAT 的功能相当简单，它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送心跳信息。 鉴于该工具的功能有限，人们怀疑该恶意软件主要用于凭证收集和系统侦察活动。 证据表明，早在 2020 年 6 月，该恶意软件的首次迭代就已在野外被发现。根据 DCSO 的说法，该活动本身被认为至少从 2020 年 10 月开始活跃。 卡巴斯基发现的最新样本于 2023 年 7 月上传到 VirusTotal，它冒充了 OpenVPN Connect（“OpenVPNConnect.pkg”），一旦启动，就会与后门中指定的 C2 服务器建立联系，运行与 Windows 版本类似的四个基本命令: 执行 shell     命令（例如系统信息、本地 IP 地址、已安装应用程序列表、来自钉钉、Google 密码管理器和微信的数据） 将文件写入磁盘 发送文件到 C2 服务器 检查受害者的可用性 它于 2023 年 7 月被上传到 VirusTotal，在研究时，与其他后门样本一样，没有被任何供应商检测到。安装程序采用合法“OpenVPN Connect”应用程序的包装器形式，而 MacOS 软件包目录 除了原始客户端外还包含两个文件：exe和 init。 Puzan 表示：“该恶意软件试图从微信获取受害者的微信 ID、电子邮件和电话号码。至于钉钉，攻击者对更详细的受害者数据感兴趣：用户所在组织和部门的名称、用户名、公司电子邮件地址和电话号码。” 获取微信数据 获取钉钉数据 对攻击基础设施的进一步分析显示，除位于美国和荷兰的两台 C2 服务器外，几乎所有 C2 服务器都位于中国。 除此之外，据说包含 macOS 安装包（“OpenVPNConnect.zip”）的 ZIP 存档是先前从一家名为 miHoYo 的中国视频游戏开发商的域中下载的，该开发商以《原神》和《崩坏》而闻名。 目前尚不清楚该文件是如何上传到相关域名（“vpn.mihoyo[.]com”）的，以及服务器是否在过去某个时间点受到攻击。该活动的范围也尚不确定，但经过这么多年，后门仍在使用，这一事实表明该活动取得了一定程度的成功。 Puzan 表示：“我们发现的 macOS 版本的 HZ Rat 表明，此前攻击背后的黑客仍然活跃。该恶意软件仅收集用户数据，但之后可能会被用来在受害者的网络中横向移动，一些样本中存在的私有 IP 地址就表明了这一点。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PawbCmwf3DgTzKdrLV8phw 封面来源于网络，如有侵权请联系删除

Telegram创始人帕维尔·杜罗夫（Pavel Durov）在法国被捕。根据法国的法语新闻网站TF1的报道，杜罗夫在从阿塞拜疆飞往法国布尔歇机场并降落时，被法国航空运输局逮捕。关于被捕原因，法国国家反欺诈办公室（ONAF）对法国媒体的评论表明，主要是因为Telegram内容审核方面的不足、与执法机构合作有限，以及平台上存在恶意工具的问题。 Telegram在8月25日晚上8:17发布推文，对创始人帕维尔·杜罗夫被捕的事件做出了回应。公司强调了致力于遵守欧盟的法律，包括《数字服务法》，表示内容审核做法符合行业标准，并且正在不断进行改进。 Telegram 提到，杜罗夫经常在欧洲旅行，没有什么可隐瞒的。全球近10亿人依赖Telegram进行通信和获取重要信息。 公司不认同一种观点，即一个平台或其所有者应对用户所犯的滥用行为负责。Telegram希望当前的情况能够迅速得到解决，并重申与用户群体的团结一致。 据悉，杜罗夫被标记为 Fichier des Personnes Recherchées （FPR），这是一个法国罪犯和通缉犯数据库，由法国内政部管理，并被该国国家警察和其他执法机构使用。Telegram以其加密消息平台而闻名。但该应用程序也因成为儿童性虐待材料（CSAM）、计算机和智能手机恶意软件等恶意工具、被盗数据库和其他有害内容的避风港而受到批评。当局一直批评 Telegram 被恐怖分子使用且缺乏内容审核。 公开资料显示，帕维尔·杜罗夫（俄语：Павел Дуров，英语：Pavel Durov，1984年10月10日），出生于俄罗斯列宁格勒州今圣彼得堡市，社交网站VKontakte、Telegram的创始人，原Vkontakte首席执行官，个人财富已经超过2.5亿美元。 2013年杜罗夫辞去Vkontakte首席执行官一职后，与尼古莱·杜罗夫（Nikolai Durov）共同致力于Telegram的开发，任Telegram首席执行官一职。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Zr80efnA6WsHcM8-c-yvRA 封面来源于网络，如有侵权请联系删除

一种名为 NGate 的新型 Android 恶意软件可以通过将近场通信 (NFC) 芯片读取的数据传递到攻击者的设备来窃取信用卡中的资金。 具体来说，NGate 使攻击者能够模拟受害者的卡并进行未经授权的付款或从 ATM 提取现金。 该活动自 2023 年 11 月起开始活跃，根据知名安全公司 ESET 最近的一份报告，捷克用户越来越多地因手机端安装恶意软件被窃取银行凭证，在某些情况下也被用于直接盗窃现金。 通过 NFC 芯片窃取卡数据 攻击始于恶意文本、带有预先录制的自动呼叫消息或恶意广告，以诱骗受害者在其设备上安装恶意应用。 这些网络应用程序被宣传为紧急安全更新，并使用目标银行的官方图标和登录界面来欺骗用户窃取客户访问凭据。 安装 WebAPK 的虚假 Play Store 页面 这些应用在安装时不需要任何权限。它们会利用运行中的网络浏览器的 API 来获取对设备硬件组件的必要访问权限。 一旦通过 WebAPK 完成网络钓鱼步骤，受害者就会被诱骗在第二个攻击阶段的后续步骤中安装 NGate。 安装后，该恶意软件会激活一个名为“ NFCGate ”的开源组件，该组件由大学研究人员为 NFC 测试和实验而开发。 该工具支持设备上的捕获、中继、重放和克隆功能，并且并不总是要求设备“root”才能工作。 NGate 使用该工具捕获靠近受感染设备的支付卡 NFC 数据，然后直接或通过服务器将其转发到攻击者的设备。 攻击者可能会将这些数据作为虚拟卡保存在其设备上，并在使用 NFC 提取现金的 ATM 上重播信号，或在销售点 (PoS) 系统上付款。 NFC数据中继过程 在一段视频演示中，ESET 的恶意软件研究员 Lukas Stefanko 还展示了如何使用 NGate 中的 NFCGate 组件来扫描和捕获钱包和背包中的卡数据。在这种情况下，商店中的攻击者可以通过服务器接收数据，并使用受害者的卡进行非接触式支付。 Stefanko 指出，该恶意软件还可用于克隆某些 NFC 门禁卡和令牌的唯一标识符，以进入限制区域。 获取卡密码 在大多数 ATM 机上提取现金都需要输入卡的 PIN 码，研究人员称 PIN 码是通过对受害者进行社会工程学而获得的。 完成 PWA/WebAPK 网络钓鱼步骤后，诈骗者会打电话给受害者，假装他们是银行职员，告知他们有影响他们的安全事件。然后，他们发送一条短信，其中包含一个下载 NGate 的链接，据称这是一个用于验证现有支付卡和 PIN 的应用程序。 一旦受害者使用自己的设备扫描卡并输入 PIN 码在恶意软件的网络钓鱼界面上进行“验证”，敏感信息就会被传递给攻击者，从而实现提款。 完整攻击概述 捷克警方已经在布拉格抓获了一名实施此类取款行为的网络犯罪分子，但随着这种手段越来越流行，它对 Android 用户构成了重大风险。 ESET 还强调了克隆区域访问标签、交通卡、身份证、会员卡和其他 NFC 技术的可能性，因此直接的金钱损失并不是唯一的糟糕情况。 如果您不经常使用 NFC，可以通过禁用设备的 NFC 芯片来降低风险。在 Android 上，前往“设置”>“已连接设备”>“连接偏好设置”>“NFC”，然后将开关切换至关闭位置。 如果您需要始终激活 NFC，请仔细检查所有应用程序权限并仅限制需要它的用户的访问；仅从机构的官方网页或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。 谷歌发言人表示，Android 的默认恶意软件扫描程序 Google Play Protect 检测到了 NGate：“根据我们目前的检测，Google Play 上未发现任何包含此恶意软件的应用程序。Google Play Protect 会自动保护 Android 用户免受该恶意软件已知版本的侵害，该功能在安装有 Google Play 服务的 Android 设备上默认开启。Google Play Protect 可以警告用户或屏蔽已知有恶意行为的应用，即使这些应用来自 Play 以外的来源。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/fy6zidETEJ6DbYEWALpuzA 封面来源于网络，如有侵权请联系删除

研究人员警告称，Ecovacs 生产的吸尘和割草机器人可能会被黑客入侵并监视其主人，该公司将修复这一问题。 在最近的 Def Con 黑客大会上，安全研究人员 Dennis Giese 和 Braelynn解释说，攻击者可以利用Ecovacs 生产的扫地机器人和割草机器人的缺陷来监视其主人。 研究人员分析了以下设备：Ecovacs Deebot 900 系列、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA 和 Ecovacs Airbot ANDY。 专家们发现了一系列漏洞，这些漏洞可能允许攻击者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光来指示它们的摄像头和麦克风是否打开。 “他们的安全措施真的非常非常非常糟糕。”吉斯告诉TechCrunch。 研究人员在 Ecovacs 机器人中发现的一个问题就是，450 英尺范围内的任何人都可以通过蓝牙控制该设备。一旦攻击者控制了该设备，他们就可以通过 Wi-Fi 连接远程访问机器人。然后，他们可以检索敏感数据，如 Wi-Fi 凭证、保存的房间地图，甚至可以访问摄像头和麦克风。 Giese 解释说，Ecovacs 割草机器人的蓝牙功能始终处于活动状态，而扫地机器人仅在开机后 20 分钟内启用蓝牙，并且每天在自动重启时启用一次，这使得它们更难被黑客入侵。虽然有些型号理论上在摄像头开启时每五分钟会播放一次音频警报，但黑客可以轻松删除此文件，从而使它们在不被发现的情况下运行。 两位研究人员还发现了 Ecovacs 设备的其他几个问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍会保留在 Ecovacs 的云服务器上，这可能导致未经授权的人访问机器人吸尘器，并监视购买二手设备的个人。此外，割草机器人具有以明文形式存储在设备内的防盗 PIN，攻击者可以轻松获取和滥用它。此外，一旦 Ecovacs 机器人受到攻击，它就有可能被用来攻击附近的其他 Ecovacs 机器人。 最初，Ecovacs 发言人告诉 TechCrunch，公司不会解决研究人员发现的漏洞。 数周后，供应商宣布将解决该问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/QgzjNmP4D82ldFxiRyM3Vg 封面来源于网络，如有侵权请联系删除

Meta Platforms 周五成为继微软、谷歌和 OpenAI之后最新一家曝光伊朗APT组织活动的公司，据称该组织利用一组 WhatsApp 账户试图针对以色列、巴勒斯坦、伊朗、英国和美国的个人。 Meta 在公开的新闻稿件中说，该攻击群源自伊朗，“似乎主要针对政治和外交官员以及其他公众人物，其中包括一些与拜登总统和前总统特朗普政府有关的人士” 。 该社交媒体巨头将其归咎于一个被追踪为 APT42 的黑客组织，该组织也被称为 Charming Kitten、Damselfly、Mint Sandstorm（以前称为 Phosphorus）、TA453 和 Yellow Garuda。据评估，该组织与伊朗伊斯兰革命卫队 (IRGC) 有关联。 该组织以使用复杂的社会工程诱饵而闻名，他们利用恶意软件对目标进行鱼叉式网络钓鱼并窃取其凭据。本周早些时候，Proofpoint透露，该组织瞄准了一位著名的犹太人物，并用名为 AnvilEcho 的恶意软件感染他们的机器。 Meta 称，这一“小群” WhatsApp 账户伪装成 AOL、谷歌、雅虎和微软的技术支持，但据信这些努力并未成功，这些账户现已被封禁。 “我们没有看到他们的账户被盗的证据。”Facebook、Instagram 和 WhatsApp 的母公司表示。“我们鼓励向我们举报的人采取措施，确保他们的在线账户在互联网上是安全的。” 目前，美国政府正式指责伊朗试图通过扩大宣传和收集政治情报来破坏美国大选、煽动美国公众的分裂观点并削弱人们对选举过程的信心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/acoqh4IZs3InRqM9BLvhyg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一种新的隐秘 Linux 恶意软件，它利用一种非常规技术在受感染的系统中实现持久性并隐藏信用卡盗刷代码。 该恶意软件被认为是一名以经济利益为目的的攻击者所为，Stroz Friedberg 事件响应服务团队将其代号命名为sedexp 。 研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto表示：“这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供了反向 shell 功能和先进的隐蔽战术。” sedexp 的突出特点是它使用 udev 规则来保持持久性。udev 是设备文件系统的替代品，它提供了一种根据设备属性识别设备的机制，并配置规则以在设备状态发生变化（即插入或移除设备）时做出响应。 udev 规则文件中的每一行至少有一个键值对，从而可以按名称匹配设备，并在检测到各种设备事件时触发某些操作（例如，在连接外部驱动器时触发自动备份）。 SUSE Linux 在其文档中指出：“匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或运行指定程序作为事件处理的一部分。如果未找到匹配规则，则使用默认设备节点名称来创建设备节点。” sedexp 的 udev 规则——ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” ——设置为每当 /dev/random （对应设备次要编号8）加载时就会运行恶意软件，这通常在每次重启时发生。 换句话说，每次系统重启后都会执行 RUN 参数中指定的程序。 该恶意软件具有启动反向 shell 的功能，以便于远程访问受感染的主机，以及修改内存以隐藏任何包含字符串“sedexp”的文件，使其无法被 ls 或 find 等命令发现。 Stroz Friedberg 表示，在其调查的案例中，该功能已被用来隐藏 Web Shell、更改的 Apache 配置文件以及 udev 规则本身。 研究人员表示：“该恶意软件被用来在网络服务器上隐藏信用卡抓取代码，表明其重点是经济利益。sedexp 的发现表明，除了勒索软件之外，以经济为目的的攻击者也变得越来越复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Zifwuv5D57_gQ7eAPFxI1w 封面来源于网络，如有侵权请联系删除

荷兰数据保护局 (DPA) 对 Uber 处以创纪录的 2.9 亿欧元（3.24 亿美元）罚款，因其将欧洲出租车司机的个人数据传输至美国，并未对这些数据进行适当保护。 数据保护监管机构表示，此举严重违反了《通用数据保护条例》（GDPR）。 有关部门发现，Uber 收集了司机的敏感信息，并在美国服务器上保存超过两年，敏感信息包括账户详情、出租车执照、位置数据、照片、付款信息、身份证件，甚至犯罪和医疗数据。 “Uber 让司机申请查看或接收个人数据副本的过程非常复杂。”数据保护机构在 2024 年 1 月指出，“此外， Uber 没有在隐私条款和条件中具体说明其保留其司机个人数据的时间长度，也未说明将数据传送至欧洲经济区以外的国家时采取的具体安全措施。” Uber 在与彭博社分享的一份声明中表示，罚款“完全没有道理”，并计划对这一决定提出异议，称其跨境数据传输流程符合 GDPR 规定。 这并非美国公司首次因在欧盟数据传输中未能提供合理的隐私保护而受到欧盟数据保护机构的打击，这引发了人们对欧洲用户数据可能受到美国监控计划影响的担忧。 第一次是在2018 年，Uber 因未能保护客户和司机的个人数据，使其遭受未经授权的访问而被罚款 60 万欧元。这次网络安全事件影响了全球 5700 万名 Uber 用户。 第二次是在2023年12月11日，Uber在处理欧盟主体的数据时，数据管理做法模糊，DPA 机构对 Uber 处以 1000 万欧元的罚款。 “在欧洲，《通用数据保护条例》（GDPR）要求企业和政府谨慎处理个人数据，以保护人们的基本权利，”DPA主席 Aleid Wolfsen 表示。“然而，这种保护在欧洲以外的地区并不常见。”   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

APT组织执行了“AppDomainManager 注入”，这类似于 DLL 侧加载，但可以说更容易、更隐蔽。 正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。 第一个“GrimResource”是一种新技术，允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二种技巧是“AppDomainManager 注入”，它使用恶意动态链接库 (DLL)，但比传统的侧载更简单。这种技巧已经存在七年了，被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。 NTT 研究人员在一篇新博客文章中表示，自 7 月以来，一个高级威胁组织一直在结合使用这些技术，将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。 GrimResource 的工作原理 攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。 ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上，它是一个管理保存控制台 (MSC) 文件，这是一种用于保存 MMC 内配置和设置的文件类型。 MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改，这些更改可用于从电子邮件中执行有效负载。 这是一种非常有趣且功能强大的文件格式，与许多经常被滥用的常见文件格式相比，它受到的关注较少。 利用此类漏洞的一种技术是GrimResource，它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题，在 MMC 中实现任意代码执行。 在此活动中，攻击者使用它来消除感染过程中的一个步骤：无需让受害者单击 MSC 文件中的恶意链接，只需打开 MSC 文件即可触发嵌入的 Javascript。 然后，恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”，并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的，那么它如何被用来下载恶意软件呢？ 激活 AppDomainManager注入 所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域，这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中，攻击者会使用恶意代码创建一个 AppDomainManager 类，然后诱骗目标应用程序加载该类而不是合法应用程序。 这可以通过配置三个特定环境变量（APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION）来实现，或者像本次攻击活动中的情况一样，上传一个自定义配置文件，该文件只会指示应用程序运行其恶意的 AppDomainManager。 Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说：“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分，它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。 NTT 研究人员写道：“目前，DLL 侧载是执行恶意软件的最常见方法，但 AppDomainManager 注入比 DLL 侧载容易得多，并且人们担心未来利用可能会增加。” 由于发现此类恶意注入非常困难，King 建议采取一种防御方法，在此类攻击发生之前进行阻止。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tRdadOHmncKH4-HLZ5jUWg 封面来源于网络，如有侵权请联系删除

西雅图-塔科马国际机场已确认，周末发生的 IT 系统故障导致预订登机系统中断和航班延误，该故障很可能是网络攻击造成的。 西雅图-塔科马国际机场是西雅图的主要国际机场，也是美国西北地区最繁忙的机场。2023 年，该机场服务了近 5100 万名乘客。该机场是阿拉斯加航空和达美航空的主要枢纽，服务于 91 个国内目的地和 28 个国际目的地。 8 月 24 日星期六，西雅图港警告称，该港和西雅图机场正遭受“可能的网络攻击”导致的持续中断，迫使他们隔离某些关键系统以控制损失。 “西雅图港（包括西雅图机场）正在经历互联网和网络系统中断，这影响了机场的一些系统。建议乘客向航空公司查询航班的最新信息。”西雅图港发布的 X 帖子写道。“今天早上，西雅图港出现某些系统中断，表明可能遭受网络攻击。港口隔离了关键系统，正在努力恢复全面服务，但尚未确定恢复时间。” “我们正在与相关部门和合作伙伴密切合作，以帮助可能受到影响的旅客。如果您今天出行，请与我们的航空公司合作伙伴联系以获取旅行信息，并留出更多时间到达西雅图机场和登机口。” 周日，服务中断仍在继续，机场建议人们通过航空公司网站获取旅行信息，例如其航班对应的登机口号码。 截至撰写本文时，该机场的网站仍处于离线状态，而官方 X 账号警告乘客应执行某些操作，例如通过航空公司应用程序办理即将起飞的航班的登机手续，因为机场内的航站楼仍然处于瘫痪状态。 “西雅图港（包括西雅图机场）的系统中断仍在继续。”机场运营商的最新消息称，“港口团队继续在恢复系统正常运行方面取得进展，但尚未确定恢复时间。” 阿拉斯加航空还通过 X 告知乘客，西雅图机场的行李分拣系统“极其有限”，建议乘客只携带最少的必需品，并尽可能避免托运行李。 建议需要托运行李的旅客在行李标签上写上自己的全名和联系方式。阿拉斯加航空在其网站上告知，这些信息将用于追踪由于当前情况而未在抵达时出现在行李传送带上的行李。 联邦调查局发言人向《西雅图时报》证实，他们“已知悉这一事件，正在与合作伙伴查明事情真相”，但未透露任何其他信息。 目前还没有任何勒索软件团体或其他黑客组织对此次攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-JgsVqyUeVBbSa4sE0ityg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。 这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。 MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。 JFrog 研究人员在一份详细报告中表示：“固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。” 一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行（例如，Pickle 模型文件）。 这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。 另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。 研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会呈现这些内容。” 这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。 换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。 为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/33OxeqSO2YfF6Ffv-Ows0g 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，美国半导体制造公司微芯科技（Microchip Technology）披露，“未经授权的第三方破坏了公司对某些服务器的使用以及部分业务操作。” 微芯科技于周二向美国证券交易委员会（SEC）提交文件披露称，8月17日，该公司“检测到可能涉及其信息技术系统的可疑活动。”公司随后展开调查。8月19日，调查结果确认存在未经授权的访问。该公司采取了隔离相关系统、关闭其他系统等多项措施，并聘请了外部网络安全顾问来确定问题范围。 “由于该事件，公司某些制造设施的运营低于正常水平，公司目前履行订单的能力受到影响。”文件中还承诺，微芯科技正在尽快努力修复问题。 文件没有提及事件原因、对芯片制造商造成的破坏程度，或是否涉及勒索软件。但是，文件提到对受影响的系统进行隔离。这表明未经授权的第三方活动有蔓延到公司IT系统其他部分的潜在风险。 任何芯片制造商的生产能力下降的消息都不容乐观。微芯科技的此次事件尤为令人担忧，因为在2024年1月，拜登政府向该公司拨款1.62亿美元，用于扩大其制造旗舰微控制器的工厂。美国政府称这笔资金将推动美国汽车、国防和航空航天工业的发展。这种表述反映出微芯科技是极其重要的军方供应商。 微芯科技的产品被设计用于关键任务，常用于汽车、飞机、导弹等高速移动的设备，或在恶劣的偏远地区运行的设备。例如，美国航空航天局（NASA）将在其下一代高性能航天计算机（HPSC）中使用微芯科技芯片。 该公司还提供铸造服务。如果此次事件影响了铸造过程，将会对硅材料供应造成严重打击。 针对芯片制造商的网络攻击并不罕见。仅在今年，台积电（TSMC）、安世半导体（Nexperia）和超威半导体公司（AMD）就发生了类似事件。过去此类攻击也屡见不鲜，比如英伟达（Nvidia）在2022年就遭遇了勒索软件事件。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/06ql1QkrlZNR7frnTWgVsw 封面来源于网络，如有侵权请联系删除

Cato Security 发现一种名为 Cthulhu Stealer 的新信息窃取程序，它以 Apple macOS 为目标，窃取大量信息。 Cthulhu Stealer通过伪装成合法软件的 Apple 磁盘映像 (DMG) 攻击 macOS 用户。研究人员发现 Cthulhu Stealer 会冒充 Adobe GenP、CleanMyMac 和 Grand Theft Auto IV 等合法软件的磁盘映像。 恶意代码用 GoLang 编写，在安装 dmg 时，它会提示用户使用 macOSosascript工具输入他们的系统和 MetaMask 密码。 一旦用户输入了凭证，恶意软件就会将其存储在一个目录中，并使用 Chainbreak 转储 Keychain 密码。然后，恶意软件会创建一个包含系统和网络信息的 zip 存档，并向命令和控制 (C2) 服务器发送通知。该恶意软件还会收集系统信息，包括 IP 地址和硬件/软件信息。 “Cthulhu Stealer 的主要功能是从各种商店窃取凭证和加密货币钱包，包括游戏账户。有多个检查器函数可以检查目标文件存储的安装文件夹，通常在“Library/Application Support/[file store]”中。” Cado Security 发布的报告写道:“在 /Users/Shared/NW 中创建一个目录，并将安装文件夹的内容转储到每个商店的文本文件中。” 该恶意软件可以从各种来源窃取各种类型的信息。其中包括浏览器 cookie，它可以让攻击者访问用户会话和存储的密码，以及众多加密货币钱包。例如 Coinbase、MetaMask、Wasabi、Binance、Daedalus、Electrum、Atomic、Harmony、Enjin、Hoo、Dapper、Coinomi、Trust、Blockchain 和 XDeFI 钱包，突显了该恶意软件专注于利用金融数据。 此外，该恶意软件还针对特定的应用程序和服务，窃取 Telegram 的 Tdata 帐户信息、Minecraft 用户帐户，甚至 Battlenet 的游戏相关文件，表明它有可能破坏个人和游戏活动。该恶意软件还可以转储 Keychain 和 SafeStorage 密码。 Cthulhu Stealer 与Atomic Stealer信息窃取程序具有相似的功能和特性，因此专家推测它们可能是由同一开发人员创建的。这两个窃取程序都使用 macOS 命令行工具osascript提示用户输入密码，甚至在提示中包含相同的拼写错误。 Cthulhu Stealer 的开发者和附属机构以 Cthulhu 团队的名义运营，通过 Telegram 进行交流并以每月 500 美元的价格出租他们的恶意软件。联盟会员负责部署恶意软件，并从主要开发者那里获得一定比例的收益。Cthulhu Stealer 已在两个知名恶意软件市场上出售，并在 Telegram 上做广告。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/KSzkYjbmLyXcCju5DFSLGw 封面来源于网络，如有侵权请联系删除