Aggregator

自2025年9月4日至今，未登录的社区用户且账户积分余额低于10积分，在11月15日前登录，您的账户积

HackerNews 编译，转载请注明出处： 安全研究员发现一款名为 Coyote 的银行恶意软件，与新披露的通过 WhatsApp 传播的恶意程序 “Maverick” 存在诸多相似之处。 根据 CyberProof 的报告，这两款恶意软件均采用.NET 编写，以巴西用户和银行为攻击目标，具备相同的解密功能、银行 URL 定向功能及银行应用监控功能。更重要的是，两者都能通过 WhatsApp 网页版传播。 Maverick 于上月初由趋势科技首次记录在案，其攻击方被命名为 “水萨西”（Water Saci）。该攻击活动包含两个组件：一款名为 SORVEPOTEL 的自传播恶意软件，通过 WhatsApp 桌面网页版扩散，用于投递包含 Maverick 有效载荷的 ZIP 压缩包。 这款恶意软件会监控浏览器活动标签页，识别与预设拉丁美洲金融机构列表匹配的 URL。一旦检测到匹配 URL，它会与远程服务器建立连接，获取后续指令以收集系统信息，并推送钓鱼页面窃取凭证。 网络安全公司 Sophos 在后续报告中率先提出疑问，认为该活动可能与此前针对巴西用户传播 Coyote 的攻击事件相关，且 Maverick 可能是 Coyote 的升级版。卡巴斯基（Kaspersky）的另一项分析发现，Maverick 与 Coyote 存在大量代码重叠，但仍将其视为针对巴西的全新大规模威胁。 CyberProof 的最新调查结果显示，该 ZIP 文件包含一个 Windows 快捷方式（LNK 文件）。用户启动该快捷方式后，会运行 cmd.exe 或 PowerShell 连接外部服务器（zapgrande [.] com），下载第一阶段有效载荷。该 PowerShell 脚本能够启动中间工具，禁用微软 Defender 杀毒软件和用户账户控制（UAC），并获取.NET 加载器。 该加载器具备反分析技术，会检测逆向工程工具的存在，一旦发现便自动终止运行。随后加载器会下载攻击的核心模块：SORVEPOTEL 和 Maverick。值得注意的是，Maverick 仅在通过检测受感染主机的时区、语言、地区及日期时间格式，确认受害者位于巴西后才会安装。 CyberProof 还发现该恶意软件被用于针对性攻击巴西的酒店，表明其攻击目标可能正在扩大。 与此同时，趋势科技详细披露了 “水萨西” 的新型攻击链 —— 该攻击链采用基于电子邮件的命令与控制（C2）架构，依赖多向量持久化技术保障攻击韧性，并整合多项高级检测规避机制，提升操作隐蔽性，且仅在葡萄牙语系统中执行。 这家网络安全公司在上月末发布的报告中表示：“新攻击链还配备了复杂的远程命令与控制系统，允许攻击者进行实时管理，包括暂停、恢复和监控恶意软件活动，将受感染设备有效转化为僵尸网络工具，实现跨多个端点的协同动态操作。” 该感染流程未使用.NET 二进制文件，而是采用 Visual Basic 脚本（VBScript）和 PowerShell 劫持 WhatsApp 浏览器会话，并通过这款即时通讯应用传播 ZIP 文件。与此前的攻击链类似，WhatsApp 网页版劫持通过下载 ChromeDriver 和 Selenium 实现浏览器自动化。 攻击触发机制为用户下载并解压 ZIP 压缩包，其中包含一个经过混淆处理的 VBS 下载器（“Orcamento.vbs”，即 SORVEPOTEL）。该下载器会执行一条 PowerShell 命令，直接在内存中下载并运行 PowerShell 脚本（“tadeu.ps1”）。 该 PowerShell 脚本用于控制受害者的 WhatsApp 网页版会话，向账户关联的所有联系人分发恶意 ZIP 文件，同时显示名为 “WhatsApp Automation v6.0” 的虚假弹窗，掩盖其恶意意图。此外，该脚本还会连接 C2 服务器，获取消息模板并窃取联系人列表。 趋势科技指出：“恶意软件会终止所有现有 Chrome 进程并清除旧会话以确保操作纯净，随后将受害者的合法 Chrome 配置文件数据（包括 Cookie、认证令牌和已保存的浏览器会话）复制到其临时工作目录。” “这种技术能够完全绕过 WhatsApp 网页版的认证机制，无需扫描二维码或触发安全警报，即可直接访问受害者的 WhatsApp 账户。” 该公司补充称，这款恶意软件还内置了复杂的远程控制机制，允许攻击者实时暂停、恢复和监控 WhatsApp 传播过程，使其成为能够像僵尸网络一样控制受感染主机的恶意程序。 在 ZIP 文件的实际分发过程中，PowerShell 代码会遍历所有窃取的联系人，发送个性化消息前先检查是否存在暂停指令。个性化消息通过在模板中替换变量，插入基于时间的问候语和联系人姓名生成。 SORVEPOTEL 的另一大显著特征是，它未使用传统的基于 HTTP 的通信方式，而是利用硬编码的电子邮件凭证，通过 IMAP 协议连接terra.com[.] br 邮箱账户，获取攻击指令。部分此类账户已启用多因素认证（MFA）以防范未授权访问。 网络安全与基础设施安全局（CIS）构建工具包 据称，这一额外安全层导致攻击操作出现延迟 —— 每次登录都需要攻击者手动输入一次性认证码才能访问邮箱，获取用于发送指令的 C2 服务器 URL。随后后门程序会定期轮询 C2 服务器，获取攻击指令。支持的指令列表如下： INFO：收集详细系统信息 CMD：通过 cmd.exe 运行命令，并将执行结果导出至临时文件 POWERSHELL：运行 PowerShell 命令 SCREENSHOT：截取屏幕截图 TASKLIST：枚举所有运行中的进程 KILL：终止特定进程 LIST_FILES：枚举文件 / 文件夹 DOWNLOAD_FILE：从受感染系统下载文件 UPLOAD_FILE：向受感染系统上传文件 DELETE：删除特定文件 / 文件夹 RENAME：重命名文件 / 文件夹 COPY：复制文件 / 文件夹 MOVE：移动文件 / 文件夹 FILE_INFO：获取文件的详细元数据 SEARCH：递归搜索匹配指定模式的文件 CREATE_FOLDER：创建文件夹 REBOOT：30 秒延迟后重启系统 SHUTDOWN：30 秒延迟后关闭系统 UPDATE：下载并安装自身更新版本 CHECK_EMAIL：检查攻击者控制的邮箱，获取新的 C2 服务器 URL WhatsApp 在巴西拥有超过 1.48 亿活跃用户，是全球第二大市场（仅次于印度），其广泛普及成为该攻击活动大规模扩散的关键推手。 趋势科技表示：“攻击方式及战术的持续演进，加之区域定向攻击特征，表明‘水萨西’很可能与 Coyote 存在关联，且这两个攻击活动均隶属于同一巴西网络犯罪生态系统。” 该公司形容攻击者在 “数量和质量上都极具攻击性”。 “将‘水萨西’攻击活动与 Coyote 关联后，我们发现银行木马的传播方式已发生重大转变。攻击者已从依赖传统有效载荷，转向利用合法浏览器配置文件和即时通讯平台，实施隐蔽且可规模化的攻击。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

Learn how to improve single sign-on (SSO) experiences using OpenID Connect (OIDC) and SCIM for streamlined authentication and user management.

The post Improving Single Sign-On Experiences with OpenID Connect and SCIM appeared first on Security Boulevard.

Introduction to Modern SSO ChallengesIsn't it annoying how many passwords we need these days? S

Fraudsters now operate across various frequencies: rapid-fire bot and scaled attacks that overwhelm defenses and deliberate, low-and-slow tactics that evade detection controls. Sophisticated attackers have more tools and sophistication at their disposal – they combine automation with manual techniques, creating hybrid attacks that exploit the gaps between stand alone security and fraud prevention tools. A […]

The post Countermoves against Modern Fraudsters appeared first on Security Boulevard.

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

#天体物理 太阳爆发 X5.1 级大型耀斑并在非洲和欧洲引起 R3 级强烈的无线电通信中断，地球向阳面的高频无线电通信受到严重影响。格林尼治时间 11 月 11 日 10 时，太阳黑子

The economics of cybercrime have shifted dramatically. What once took skilled attackers weeks to reverse engineer can now be accomplished in hours using AI-powered analysis tools and automated systems. Traditional client-side security obfuscation—the kind that simply renames variables or shuffles code—no longer provides adequate protection against these sophisticated threats. The result? Organizations face mounting losses […]

The post AI Can Crack Your Fraud Prevention in Hours. Here’s How We Stop It appeared first on Security Boulevard.

· 58.3 亿美元，软银出清英伟达全部股份

iPhone Pocket 发布11 月 11 日，ISSEY MIYAKE（三宅一生）与 Apple 合作推出 iPhone Pocket，iPhone Pocket 以「一块布」为设计灵感，采用棱

你使用的WinRAR压缩软件可能带后门

攻防实战深度复盘

#安全资讯 火绒安全曝光 360 旗下鲁大师及其关联公司利用云控等技术进行复杂流量劫持的黑幕，甚至将用户是否访问过 360 创始人周鸿祎的微博作为云控判断条件。例如当检测到用户在北京时

The Rhadamanthys infostealer operation has been disrupted, with numerous “customers” of the