Aggregator

手机厂商如何利用系统权限，将用户变为摇钱树？

HackerNews 编译，转载请注明出处： 一款名为PirateFi的免费游戏在Steam商店中被发现向不知情的用户分发Vidar信息窃取恶意软件。 这款游戏在Steam目录中存在了近一周，从2月6日至2月12日，期间被最多1500名用户下载。分发服务已向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装Windows系统。 Steam上的恶意软件 PirateFi由Seaworth Interactive于上周在Steam上发布，并获得了正面评价。该游戏被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。 然而，Steam本周早些时候发现该游戏包含恶意软件，但未具体说明恶意软件的类型。 通知中写道：“该游戏的开发者账户上传了包含疑似恶意软件的版本。” “您在这些版本活跃期间在Steam上玩了PirateFi，因此这些恶意文件很可能已在您的电脑上运行，”服务警告称。 建议受影响用户运行全系统扫描，使用最新的杀毒软件，检查是否有不认识的新安装软件，并考虑重新格式化操作系统。 受影响用户还在PirateFi的Steam社区页面上发布了警告，告知其他用户不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获取了通过PirateFi分发的恶意软件样本，并确认其为Vidar信息窃取者的一个版本。 “如果您是下载了这款‘游戏’的玩家之一：请认为您的浏览器、电子邮件客户端、加密货币钱包等保存的凭据、会话cookie和秘密已被窃取，”SECUINFRA建议道。 建议更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。 根据动态分析和YARA签名匹配，识别为Vidar的恶意软件被隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe）与InnoSetup安装程序打包在一起。 Genheimer告诉BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭据窃取的命令与控制服务器。 研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是故意为之，旨在吸引特定的玩家群体。 Steam未公布受PirateFi恶意软件影响的用户数量，但从游戏页面的统计数据来看，最多可能有1500人受到影响。 恶意软件入侵Steam商店并不常见，但并非前所未有。 2023年2月，Steam用户曾被恶意的Dota 2游戏模式 targeting，这些模式利用Chrome n-day漏洞在玩家电脑上执行远程代码。 2023年12月，当时流行的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，注入了一个名为‘Epsilon’的信息窃取者投放器。 Steam引入了额外的措施，如基于短信的验证，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，这些措施还不够充分。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对 Palo Alto Networks PAN-OS 防火墙发动攻击，利用的是一个最近修复的漏洞（CVE-2025-0108），该漏洞允许绕过认证。 这一安全问题被评定为高严重性，影响 PAN-OS 管理 Web 界面，允许网络上的未认证攻击者绕过认证并调用某些 PHP 脚本，可能危及系统的完整性和机密性。 在 2 月 12 日的安全公告中，Palo Alto Networks 强烈敦促管理员将防火墙升级到以下版本以解决该问题： 11.2.4-h4 或更高版本 11.1.6-h1 或更高版本 10.2.13-h3 或更高版本 10.1.14-h9 或更高版本 PAN-OS 11.0 也受到影响，但该产品已达到生命周期终点（EoL），Palo Alto Networks 不计划为其发布任何修复。因此，强烈建议用户升级到受支持的版本。 受影响的 PAN-OS 版本： 11.2 版本低于 11.2.4-h4 11.1 版本低于 11.1.6-h1 10.2 版本低于 10.2.13-h3 10.1 版本低于 10.1.14-h9 该漏洞由 Assetnote 的安全研究人员发现并报告给 Palo Alto Networks。他们还在补丁发布时发布了包含完整利用细节的技术分析。 研究人员展示了如何利用这一漏洞提取敏感系统数据、检索防火墙配置，或可能操纵 PAN-OS 内的某些设置。 该漏洞的利用方式是利用 PAN-OS 中 Nginx 和 Apache 之间的路径混淆，从而绕过认证。 具有管理界面网络访问权限的攻击者可以利用这一点收集进一步攻击的情报，或通过修改可访问的设置来削弱安全防御。 威胁监控平台 GreyNoise 记录了针对未修补 PAN-OS 防火墙的利用尝试。这些攻击始于 2 月 13 日 17:00 UTC，似乎源自多个 IP 地址，可能表明不同威胁行为者正在利用该漏洞。 关于在线暴露的易受攻击设备，Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，目前有超过 4400 个 PAN-OS 设备在线暴露其管理界面。 为了防范正在进行的利用活动，考虑到概念验证（PoC）已公开，预计未来几天内可能会达到高潮，建议应用可用的补丁并限制对防火墙管理界面的访问。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在为安卓系统开发一项新安全功能，该功能可在通话过程中阻止设备所有者更改敏感设置。 具体来说，通话中的防诈骗保护措施包括防止用户开启安装未知来源应用的设置和授予无障碍访问权限。这一开发最初由Android Authority报道。 用户在通话过程中尝试进行这些操作时，会收到提示：“诈骗者通常会在通话中要求进行此类操作，因此我们将其阻止以保护您。如果您是在不认识的人的指导下进行此操作，这可能是一个诈骗。” 此外，该功能还阻止用户在通话过程中授予应用无障碍访问权限。 该功能目前已在本周早些时候发布的安卓16 Beta 2中上线。通过这一最新功能，旨在增加恶意行为者常用的一种滥用手段的难度，即通过发送短信诱导目标拨打电话，从而传递恶意软件。 这些方法被称为电话导向攻击传递（TOAD），涉及向潜在目标发送短信，诱导他们拨打一个号码，制造一种紧迫感。 去年，NCC集团和芬兰国家网络安全中心（NCSC-FI）披露，网络犯罪分子正在通过结合短信和电话的方式分发dropper应用，诱骗用户安装如Vultr等恶意软件。 这一开发是在谷歌扩大限制设置范围以覆盖更多权限类别之后进行的，旨在防止侧载应用访问敏感数据。 谷歌还在巴西、香港、印度、肯尼亚、尼日利亚、菲律宾、新加坡、南非、泰国和越南等市场推出了自动阻止可能不安全应用侧载的功能，以打击欺诈行为。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

ASUSTeK COMPUTER INC.が提供するLyra miniには、不適切な認証の脆弱性が存在します。

Name: BroncoCTF 2025 (an BroncoCTF event.)
Date: Feb. 15, 2025, 7 p.m. — 16 Feb. 2025, 19:00 UTC  [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctfd.broncoctf.xyz/
Rating weight: 22.51
Event organizers: BroncoSec

Siber Systems Inc.が提供するAndroidアプリ「RoboForm Password Manager」には、代替パスまたはチャネルを使用した認証回避の脆弱性が存在します。

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

本文尝试DeepSeek接入WPS实现智能办公，希望您喜欢

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

SSH3: faster and rich secure shell using HTTP/3 SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment...

The post SSH3: faster and rich secure shell using HTTP/3 appeared first on Penetration Testing Tools.

PichichiH0ll0wer Process hollowing loader written in Nim for PEs only PichichiH0ll0wer has some features to protect your payload. Features Configurable builder Payload encrypted and compressed (and optionally splitted) in the hollow loader Supports splitted...

The post PichichiH0ll0wer: Nim process hollowing loader appeared first on Penetration Testing Tools.

近期三大软件供应链安全问题剖析

近期三大软件供应链安全问题剖析