HackerNews

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除

据Cyber News消息，11 月 10 日，一名黑客在某黑客论坛上列出了一个待售数据集，声称它包含 4.89 亿 Instagram 用户数据。 Instagram 每月有超过 20 亿活跃用户，意味着如果这些数据被证明是真实的，将影响将近四分之一的用户。 黑客分享了 100 多条数据样本，包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”，但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称，数据样本中共享的 Instagram 配置文件似乎是真实的。 抓取的数据样本 数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中，可能意味着数据确实是新的，但也可能是故意伪造的。 至于这些数据是通过何种方式获取，研究人员称如果黑客的行为可信，并且通过抓取公共 API 获取数据，则意味着私有 Instagram API 已向公众暴露，或者其公共 API 受到了对象属性级授权（Broken Object Property Level Authorization）的攻击。 Cybernews 已联系 Instagram 的母公司 Meta 寻求置评，但尚未收到回复。 虽然数据抓取处于法律灰色地带，但根据 Meta 的政策，未经公司许可，使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 （EDM） 团队，专注于检测和阻止抓取。 据说该团队还通过与威胁情报研究人员合作，并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。       转自Freebuf，原文链接：https://www.freebuf.com/news/415153.html 封面来源于网络，如有侵权请联系删除

亚马逊披露了一起数据泄露事件，据称在 2023 年 5 月的 MOVEit 攻击中被盗的信息暴露了员工数据。 亚马逊披露了一起数据泄露事件，据称员工信息在 2023 年 5 月的 MOVEit 攻击中被盗。该公司称，数据是从第三方供应商处窃取的。 亚马逊没有披露受影响员工的人数。 在黑客论坛 BreachForums 上，一个名为 Nam3L3ss 的威胁者泄露了 280 多万条包含员工数据的记录。 被泄露的数据包括姓名、联系信息、办公地点、电子邮件地址等。暴露的数据不包括社会安全号或财务信息。 “亚马逊和 AWS 系统仍然安全，我们没有遇到安全事件。我们接到通知，我们的一家物业管理供应商发生了一起安全事件，包括亚马逊在内的几家客户都受到了影响。”亚马逊发言人亚当-蒙哥马利（Adam Montgomery）告诉 TechCrunch：“唯一涉及的亚马逊信息是员工的工作联系信息，例如工作电子邮件地址、办公桌电话号码和大楼位置。” 这家跨国科技公司证实，它已经修补了威胁者在攻击中发现的漏洞。 这将是有趣的几天。 亚马逊于 2023 年 5 月通过 MoveIT 0day 漏洞被入侵。根据我们收到的信息，我们可以确认亚马逊的数据是 100% 合法的。 更多信息：https://t.co/fCQF3Gy3nG – vx-underground (@vxunderground) 2024 年 11 月 11 日 网络安全公司 Hudson Rock 的研究人员报告称，“Nam3L3ss ”还声称据称从 25 个主要组织窃取的数据泄露。 “MOVEit此前已知被CL0P勒索软件组织利用，虽然很多公司都与该漏洞有关，但亚马逊、麦当劳等此次特定漏洞中的公司却与之无关。”哈德逊岩石公司发布的报告中写道。“研究人员目前还无法确认这些数据是来自 CL0P、其关联公司，还是 Nam3L3ss 自己利用了这些公司。”     转自安全客，原文链接：https://www.anquanke.com/post/id/301785 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统，这些应用程序具有合法的苹果开发人员 ID 签名和公证。 这些暂时经过了苹果安全检查的应用涉及窃取加密货币，与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法，该活动看起来更像是一场绕过 macOS 安全的实验，而不是一场成熟且高度针对性的操作。 从 2024 年 11 月开始，Jamf 在 VirusTotal 上发现了多个应用程序，这些应用程序对所有 AV 扫描似乎完全无害，但展示了“第一阶段”功能，连接到与朝鲜行为者相关的服务器。 这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建，该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。 Jamf研究人员表示，攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻，但却是第一次看到攻击者使用它来攻击 macOS 设备。 由于嵌入在动态库 （dylib） 中，该库由动态库 （dylib） 在运行时加载，使用这种方法不仅为恶意软件开发者提供了更多功能，而且还使恶意代码更难检测。 Flutter 应用程序布局 在进一步分析其中一款名为 New Updates in Crypto Exchange （2024-08-28）的应用程序时，Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行，使其能够执行从命令和控制 （C2） 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏，其代码可在 GitHub 上免费获得。 Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名，并且恶意软件已通过公证，这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。 经过安全签名、带有木马的扫雷游戏 Jamf 还发现了两款基于 Golang 和 Python 变体的应用，两者都向一个已知的与朝鲜有关联的域 “mbupdate.linkpc[.]net “发出网络请求，并具有脚本执行功能。 目前苹果已经撤销了 Jamf 发现的应用程序签名，因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。 然而，目前尚不清楚这些应用程序是否曾经用于实际操作，或者仅用于“在野”测试中，以评估绕过安全软件的技术。     转自Freebuf，原文链接：https://www.freebuf.com/news/415171.html 封面来源于网络，如有侵权请联系删除

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

以色列各地的信用卡刷卡设备在周日（10日）出现故障，疑似由于网络攻击影响了支撑这些设备运行的通信服务。 超市和加油站的顾客因设备故障无法进行支付，事件持续了大约一个小时。 据《耶路撒冷邮报》报道，故障原因是当地支付网关公司Hyp旗下产品CreditGuard遭到分布式拒绝服务（DDoS）攻击。 这次攻击扰乱了信用卡终端与更广泛的支付系统之间的通信，但并未导致任何信息或支付数据被盗取。 Hyp公司发言人向《耶路撒冷邮报》透露，已排除了针对公司网络和基础设施进行更大规模干扰的可能性。发言人表示，DDoS攻击主要针对“公司部分服务及与公司连接的通信提供商”，但攻击在被发现后迅速得到了遏制，服务也很快恢复正常。 以伊冲突引爆网络威胁态势 目前尚不清楚谁是此次攻击的幕后主使。据《以色列时报》报道，以色列第12频道新闻和陆军电台均指出，一个与伊朗有关的黑客组织声称对此次攻击负责，但是并未提供具体信源。 此次事件与今年10月份发生的类似攻击事件相似。当时，支付公司Sheba也遭遇DDoS攻击。那次攻击持续了大约三小时，导致支付中断。由于Sheba在以色列国家支付系统中扮演重要角色，借记卡支付的审批过程也因此受到了延迟。 自10月7日恐怖袭击以来，因地区冲突，以色列的民用基础设施遭遇了更多网络攻击，主要是由与伊朗和真主党相关的黑客团体以及其他政治动机驱动的黑客活动主义者发起的。 这些团体发动的网络攻击不仅影响了以色列本土，还波及了该地区之外的民用基础设施。去年，爱尔兰西部的一个偏远地区因亲伊朗黑客组织攻击一台设备，导致当地居民两天无法用水。黑客声称该设备由以色列公司犹尼康（Unitronics）制造。 当时，美国联邦政府也发布警告，表示正在处理针对犹尼康可编程逻辑控制器（PLC）的活跃攻击。这些控制器广泛应用于包括宾夕法尼亚州阿里奎帕市政水务局在内的许多水务部门。       转自安全内参，原文链接：https://www.secrss.com/articles/72299 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除

网络犯罪分子一直在寻找绕过安全防御的新方法，据 Perception Point 报道，最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性，允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。 ZIP 文件压缩效率高、使用方便，因此被广泛用于捆绑文件。然而，这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说：“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。 这种规避策略的影响因所使用的 ZIP 阅读器而异： 7zip： 它只显示存档的一部分，通常是良性文件，而潜在的恶意内容仍被隐藏。 WinRAR：这一工具可揭示整个有效载荷，同时暴露良性和恶意内容。 Windows 文件资源管理器： 它很难处理连接的 ZIP 文件，用户往往看不到隐藏的内容。 Perception Point 强调指出，这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的，“许多安全厂商依赖于流行的 ZIP 处理程序，如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。” Perception Point 的分析发现了一个钓鱼电子邮件活动，该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开，就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入，能够下载额外的恶意有效载荷，有可能导致严重的系统危害。 Perception Point 推出了 “递归解包器”，这是一种专有的反规避算法，能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层，Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301742 封面来源于网络，如有侵权请联系删除  

据BleepingComputer消息，Code White 安全研究员最近披露了一个关键的Veeam备份和复制（VBR）安全漏洞，并被用来部署Frag勒索软件。 Veeam是一家知名的数据管理供应商，官方表示全球有55万名客户使用其产品，其中包括全球 2000 强名单中约 74% 的公司。在早前，Veeam VBR已先后成为Akira和Fog勒索软件的目标。 研究员发现，该漏洞（跟踪为 CVE-2024-40711）是由不受信任的数据弱点反序列化引起，未经身份验证的威胁行为者可以利用这些数据弱点在 Veeam VBR 服务器上获得远程代码执行 （RCE）。 Frag勒索软件赎金票据 watchTowr Labs 于 9 月 9 日发布了对 CVE-2024-40711 的技术分析，并将概念验证漏洞的发布时间推迟到 9 月 15 日，以便管理员有足够的时间应用 Veeam 于 9 月 4 日发布的安全更新。 由于存在可能会立即被勒索软件团伙滥用的风险，Code White 在披露该漏洞时也推迟了分享更多细节。Veeam VBR 软件是攻击者寻求快速访问公司备份数据的热门目标，许多企业将其用作灾难恢复和数据保护解决方案，以备份、恢复和复制虚拟机、物理机和云计算机。 然而，Sophos X-Ops 事件响应人员发现，这对延缓 Akira 和 Fog 勒索软件攻击的作用微乎其微。 威胁者利用 RCE 漏洞和窃取的 VPN 网关凭据，在未打补丁和已暴露于互联网的服务器上向本地管理员和远程桌面用户组添加恶意账户。 最近，Sophos 还发现同一威胁活动集群（跟踪为 “STAC 5881″）在攻击中使用了 CVE-2024-40711 漏洞，导致 Frag 勒索软件被部署到被入侵的网络上。 2023 年 3 月，Veeam 修补了另一个高严重性 VBR 漏洞 (CVE-2023-27532)，该漏洞可让恶意行为者攻破备份基础设施。       转自Freebuf，原文链接：https://www.freebuf.com/news/414973.html 封面来源于网络，如有侵权请联系删除

图片来源：安全客 趋势科技研究公司的一份最新报告指出，巴西出现了一种鱼叉式网络钓鱼活动，该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件，以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”，他们采用了复杂的技术来逃避检测，对该地区的制造企业、零售企业和政府机构构成了严重威胁。 该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始，这种策略旨在引诱毫无戒心的用户。报告称，“这些电子邮件的附件通常伪装成个人所得税文件”，而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”（违规通知），诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后，会通过 mshta.exe 工具运行嵌入的 JavaScript 命令，而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。 最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片： 趋势科技研究 趋势科技研究人员解释说：“除了 LNK 文件外，ZIP 文件还包含另一个文件，其中有类似的混淆 JavaScript 命令，”这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。 该活动的核心是 Astaroth，这是一种臭名昭著的银行木马，可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它就会造成长期破坏，不仅包括数据盗窃，还包括监管罚款、业务中断和失去消费者信任。 报告说：“虽然 Astaroth 看起来像是一个古老的银行木马，但它的再次出现和持续演化使其成为一个持久的威胁。” Water Makara 采用了先进的混淆技术，使检测变得困难。研究人员发现，编码后的 JavaScript 命令会指向恶意 URL，如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA)，这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。 巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出：“鱼叉式网络钓鱼活动主要针对巴西的公司，其中受影响最大的是制造公司、零售公司和政府机构。” 报告总结道：“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件，这凸显了人类意识的关键作用。” 随着巴西继续面临来自复杂网络行为者的日益严重的威胁，防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法，将技术防御与强大的用户教育相结合。     转自安全客，原文链接：https://www.anquanke.com/post/id/300950 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

区块链技术解决方案公司OwlTing因开放了对AWS存储（S3）的访问，不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。 7月29日，Cybernews研究团队在例行的开源情报（OSINT）调查中，发现了一个配置错误的亚马逊S3存储桶，其中存储了大量文件。S3存储桶是亚马逊网络服务（AWS）上的简单云存储容器，类似于用于存储文件的文件夹。 该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息（PII）。 此次泄露被归咎于OwlTing，这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司，提供着广受认可的区块链解决方案。 该公司确认了这一事实，并采取了相应的措施来遏止泄露。然而，它对事件的严重性有所弱化，称：“此次泄露不涉及任何敏感数据。” 但Cybernews研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露，可能导致各种形式的身份盗窃和欺诈，给被泄漏方带来严重风险。” 那么究竟泄露了哪些数据呢？ 暴露的数据似乎与酒店管理服务有关，并且主要包含了来自Booking、Expedia等流行平台的预订数据。 泄露的数据包括以下内容： 全名 电话号码和一些电子邮件地址 酒店预订详情，如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。 图片来源：cybernews 泄露的电子邮件地址大约有3,000个，但大多数电话号码皆被收集，总数接近900万条。 暴露电话号码中超过92%属于台湾用户，与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户，但几乎没有识别出美国用户。 数据可能被攻击者使用 Cybernews研究人员警告说，暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼（vishing）、短信钓鱼（Smishing）和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，数据可能与其他过去的泄露结合起来，试图进行金融欺诈或账户入侵攻击。 研究人员警告说：“攻击者可以使用过去的酒店预订详情，进行极具欺骗性的网络钓鱼行为。例如，一条短信或电子邮件引用在特定酒店的住宿，请求反馈或为未来的预订提供折扣，都可能会诱使个人点击恶意链接或提供更多个人信息。” 欺诈者可以使用电话号码给用户打电话或发送短信，假装是酒店或相关服务的人，索要敏感信息，如信用卡号或密码。此外，一长串电话号码可能被用于非法的自动拨号。 网络跟踪（Doxxing）是另一个严重威胁，因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。 网络犯罪分子会使用AI和其他智能工具大规模发起攻击。 Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论，但在发布前没有收到回应。 谨慎对待亚马逊S3存储桶 Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤： 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。 监控访问日志，以评估存储桶是否被未经授权的行为者访问。 启用服务器端加密以保护静态数据。 使用AWS密钥管理服务（KMS）安全地管理加密密钥。 实施SSL/TLS以确保数据传输中的安全通信。 考虑加强安全实践，包括定期审计、自动化安全检查和员工培训。 OwlTing成立于2010年，总部位于台湾，专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处，包括美国、日本、马来西亚、泰国和新加坡。 披露时间线 2024年7月29日：发现泄露。 2024年8月2日：发送初次披露电子邮件，并随后发送了多封跟进电子邮件。 2024年9月13日：通知台湾CERT。 2024年9月19日：关闭了对数据的访问。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

凭证被盗仍然是数据泄露的最常见原因。有多种方法可以防止此类违规行为，最有效的方法对开发人员的工作效率影响最小，同时在开发过程中尽早发现问题，此时问题仍然成本低廉且易于修复。 图片来源：安全客 这正是 GitGuardian 的新 Visual Studio Code 扩展的使命：将强大的左移安全实践直接引入开发人员的工作流程。 该扩展的工作原理是在保存文件时对文件进行扫描，在文件添加到版本库之前提醒用户注意任何潜在的秘密。它与流行的 Visual Studio 代码编辑器无缝集成，提供清晰的通知，并允许用户轻松修复问题。该扩展基于 GitGuardian 命令行工具 ggshield 提供的现有功能，使开发人员能更轻松地保护自己的敏感信息。 主要优点包括： 实时代码扫描：一旦检测到秘密，就会直接在代码中突出显示，并在状态栏中显示红色警告。 指导补救：扩展提供自定义补救信息，建议采取纠正措施，如将秘密存储在安全保险库中。 对开发人员友好： 通过一键安装和简化的身份验证，上手非常容易。无论何时保存文件，都会自动使用 ggshield 进行扫描，无需安装。     转自安全客，原文链接：https://www.anquanke.com/post/id/300870 封面来源于网络，如有侵权请联系删除

2024 年第二季度共报告了 877,536 次网络钓鱼攻击，与同年第一季度报告的 963,994 次攻击相比明显减少。然而，这可能还不是值得庆祝的事情，因为这种减少可能是由于电子邮件提供商使用户报告网络钓鱼企图变得越来越困难。 投诉和测试表明，某些著名的电子邮件提供商正在阻止用户转发他们怀疑可能是网络钓鱼企图的电子邮件。这可能会使结果出现偏差，因为真实的网络钓鱼活动可能比数字显示的要高，这突出表明需要更好、更方便的报告机制。 反钓鱼网站工作组 (APWG) 发布的《2024 年第二季度网络钓鱼活动趋势报告》揭示了这一点。该报告对网络钓鱼攻击和身份盗用方法进行了全面分析，深入揭示了恶意攻击者不断演变的策略，包括网络钓鱼计划、商业电子邮件泄密 (BEC) 和其他形式的在线欺诈。 该报告基于从其成员公司、全球研究合作伙伴处收集的数据，以及通过其网站和电子邮件提交的直接报告。这种广泛的数据收集提供了当前网络钓鱼形势的详细视图，捕捉到了网络犯罪分子使用的社会工程和技术潜伏策略。这些数据通过 APWG eCrime eXchange (eCX) 进行处理，以跟踪独特的网络钓鱼网站、电子邮件主题和目标品牌。 网络钓鱼和网络诈骗兴起 报告还强调了向电话网络钓鱼方法的转变，包括语音网络钓鱼（vishing）和短信网络钓鱼（smishing）。越来越多的银行和在线支付服务客户成为这些欺诈行为的目标。传统的电子邮件网络钓鱼依靠欺骗性信息引诱受害者，而网络钓鱼和短信网络钓鱼则不同，它们涉及与潜在受害者的直接交流。 网络钓鱼通常是通过电话，由恶意行为者伪装成可信组织的人员来获取敏感信息，而网络钓鱼则是发送包含恶意链接或要求提供个人信息的虚假短信。这种直接方法允许攻击者与受害者实时接触，使这些方法更有效地绕过传统的电子邮件安全过滤器并获取敏感信息。随着这些策略变得越来越普遍，组织和个人需要保持警惕，并采取全面的安全措施来防范这些日益复杂的威胁。 针对特定行业的攻击 另一个令人担忧的趋势是社交媒体平台成为攻击目标。这些平台仍然是最常受到攻击的领域，占所有网络钓鱼攻击的 32.9%。这一数字之高说明了社交媒体网站一直很容易受到网络钓鱼的攻击，因为网络钓鱼利用了社交媒体的广泛性和个人特性。由于社交媒体账户的广泛使用及其所蕴藏的个人信息宝库，它们也是网络钓鱼者的目标。 相比之下，针对金融服务实体的网络钓鱼攻击从 2023 年第三季度的 24.9% 和 2023 年第四季度的 14% 降至 2024 年第二季度攻击总量的 10%。针对在线支付服务（如 PayPal、Venmo、Stripe 和类似公司）的攻击保持稳定，占所有攻击的 7.5%。 攻击下降的部分原因是金融公司实施了双因素身份验证（2FA）等强化安全措施，大大降低了传统网络钓鱼的成功率。随着银行和支付服务加强防御，不良分子将重点转向安全措施不那么严格的部门。这表明，所有部门持续保持警惕和采取强有力的安全措施至关重要。 成本更高，但攻击更少 跟踪 BEC 攻击的重要机构 Fortra 报告称，2024 年第二季度，电汇 BEC 攻击请求的平均金额从 2024 年第一季度的 84059 美元增至 89520 美元。 尽管请求的平均金额有所增加，但 BEC 攻击的数量却比上一季度下降了 8.4%。这表明，虽然个别攻击的目标金额可能更高，但这些攻击的总体频率有所下降。 流行骗局 该公司的分析还显示，礼品卡欺诈是最流行的欺诈类型，占所有攻击的 38.1%。此外，预付费欺诈占 26.1%，而工资转移也依然流行，在 Fortra 的跟踪中占 7.6%。混合式网络钓鱼在 2023 年之前甚至还未出现在人们的视线中，但在跟踪的案件中却占到了 4.9%。这些混合式诈骗通常涉及电子邮件信息，提示收件人拨打电话号码解决问题或要求退款。 有趣的是，在工资转移方面，35% 的尝试涉及将工资转入 Green Dot 账户，GoBank 也是热门选择。这表明这些金融机构的审查流程存在漏洞，可能会影响其对 “了解你的客户”（KYC）法规的遵守。 免费网络电子邮件提供商 Fortra 还发现，72% 的 BEC 攻击使用了免费网络邮件域名，其中谷歌 Gmail 最受欢迎，有 72.4% 的攻击使用了该域名。免费网络邮件服务的高使用率凸显了这些平台的漏洞，因为骗子经常利用这些平台进行诈骗。 微软的网络邮件服务在 BEC 攻击中占 16.3%，与 Gmail 相比所占比例较小，但也很重要。 采取积极措施 随着网络钓鱼技术的不断发展和日益复杂，组织和个人都必须保持警惕。这意味着要随时了解网络犯罪分子使用的最新策略，并不断更新和加强安全措施，以有效打击这一祸患。 定期对员工进行培训、实施多因素身份验证和利用先进的网络安全工具等积极主动的措施有助于确保防御措施足够强大，能够跟上网络钓鱼攻击的动态发展。     转自安全客，原文链接：https://www.anquanke.com/post/id/300865 封面来源于网络，如有侵权请联系删除

威胁者正积极试图利用Veeam Backup & Replication中一个现已打补丁的安全漏洞，来部署Akira和Fog勒索软件。 网络安全厂商Sophos表示，在过去的一个月里，它一直在追踪一系列利用被泄露的VPN凭证和CVE-2024-40711创建本地帐户并部署勒索软件的攻击。 CVE-2024-40711在CVSS等级中被评为9.8级（满分10.0），是一个允许未经验证的远程代码执行的关键漏洞。2024 年 9 月初，Veeam 在备份与复制 12.2 版本中解决了这一问题。 德国 CODE WHITE 公司的安全研究员 Florian Hauser 是发现并报告该安全漏洞的功臣。 在每个案例中，攻击者最初都是在未启用多因素身份验证的情况下使用被入侵的 VPN 网关访问目标的，Sophos 说，其中一些 VPN 运行的是不支持的软件版本。 每次，攻击者都在端口 8000 的 URI /trigger 上利用 VEEAM，触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞利用程序创建了一个本地账户‘point’，并将其添加到本地管理员和远程桌面用户组中。 据说，在导致部署 Fog 勒索软件的攻击中，威胁者将勒索软件投放到未受保护的 Hyper-V 服务器上，同时使用 rclone 实用程序外泄数据。其他勒索软件部署均未成功。 对 CVE-2024-40711 的积极利用促使英国国家医疗服务系统（NHS England）发布了一份警告，指出 “企业备份和灾难恢复应用程序是网络威胁组织的重要目标”。 在披露这一消息的同时，Palo Alto Networks 第 42 部门详细介绍了名为 Lynx 的 INC 勒索软件的后续版本，该版本自 2024 年 7 月以来一直处于活跃状态，其攻击目标是美国和英国的零售、房地产、建筑、金融和环境服务领域的组织。 据说，早在2024年3月，INC勒索软件的源代码就在地下犯罪市场上出售，促使恶意软件作者重新包装锁定器并产生新的变种，从而刺激了Lynx的出现。 “Lynx勒索软件与INC勒索软件共享大量源代码，”Unit 42说。“INC勒索软件最初出现在2023年8月，其变种兼容Windows和Linux。” 在此之前，美国卫生与公众服务部（HHS）卫生部门网络安全协调中心（HC3）也发布警告称，该国至少有一家医疗保健实体已成为 Trinity 勒索软件的受害者，Trinity 勒索软件是另一款相对较新的勒索软件，于 2024 年 5 月首次为人所知，据信是 2023Lock 和 Venus 勒索软件的改版。 HC3表示：“这是一种通过多种攻击载体渗透系统的恶意软件，包括钓鱼电子邮件、恶意网站和利用软件漏洞。一旦进入系统，Trinity 勒索软件就会采用双重勒索策略，将受害者作为攻击目标。” 据观察，网络攻击还提供了一种被称为BabyLockerKZ的MedusaLocker勒索软件变种，该变种由一个有经济动机的威胁行为者提供，据悉自2022年10月以来一直很活跃，目标主要位于欧盟国家和南美洲。 Talos 研究人员表示：“该攻击者使用了几种公开的攻击工具和离岸二进制文件（LoLBins），这是由同一开发者（可能是攻击者）构建的一套工具，用于协助被攻击组织的凭证窃取和横向移动。” 这些工具大多是对公开可用工具的封装，其中包括简化攻击过程的附加功能，并提供图形或命令行界面。     转自安全客，原文链接：https://www.anquanke.com/post/id/300858 封面来源于网络，如有侵权请联系删除

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。 Zimperium 和 Cleafy 均报道了此消息。 TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。 新版 TrickMo 利用虚假锁屏窃取安卓密码 新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。 该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。 该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。 攻击中使用的银行业务覆盖，来源：Zimperium Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。 Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。 当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 展示的伪造安卓锁屏，来源：Zimperium 通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。 暴露的受害者 由于 C2 基础设施的安全防护不当，Zimperium 还能够确定至少有 13000 名受害者受到了该恶意软件的影响，其中大部分位于加拿大，还有相当数量的受害者位于阿拉伯联合酋长国、土耳其和德国。 TrickMo 受害者热图，来源：Zimperium 据 Zimperium 称，这一数字与 “多个 C2 服务器 ”相对应，因此 TrickMo 受害者的总数可能更高。另外，分析发现，每当恶意软件成功渗出凭证时，IP列表文件就会定期更新。在这些文件中，研究人员发现了数以百万计的记录，这表明被入侵的设备数量庞大，威胁行为者访问了大量敏感数据。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标。Zimperium 现在选择在 GitHub 存储库中发布所有信息。 然而，TrickMo 的目标范围似乎足够广泛，涵盖了银行以外的应用程序类型（和账户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标，但 Zimperium 现在选择在 GitHub 存储库中发布所有信息。 据悉，TrickMo 目前是通过网络钓鱼传播的，因此为了尽量减少感染的可能性，应避免从不认识的人通过短信或直接消息发送的 URL 下载 APK。 Google Play Protect 可以识别并阻止 TrickMo 的已知变种，因此确保它在设备上处于激活状态对于抵御恶意软件至关重要。 参考来源：TrickMo malware steals Android PINs using fake lock screen (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412834.html 封面来源于网络，如有侵权请联系删除