“丝绸之路”创始人新闻成诱饵,利用Telegram传播恶意软件
发布时间 2025-01-241. “丝绸之路”创始人新闻成诱饵,利用Telegram传播恶意软件
1月22日,威胁行为者利用关于Ross Ulbricht(丝绸之路暗网市场创始人)的新闻作为诱饵,通过Telegram频道诱骗用户运行PowerShell代码。这次攻击是“Click-Fix”策略的新变种,由vx-underground发现。不同于以往的错误修复伪装,此次攻击假扮成加入频道时的验证码或验证系统。攻击者通过X平台上的虚假但经过验证的Ross Ulbricht账户,将用户引导至看似官方的Telegram频道。在频道内,用户会遇到名为“Safeguard”的虚假身份验证请求,最终会被引导至一个Telegram小程序,该程序会自动复制PowerShell命令到剪贴板,并提示用户在Windows运行对话框中粘贴并执行。执行的代码会下载一个包含Cobalt Strike加载程序的ZIP文件,Cobalt Strike常被威胁行为者用于远程访问计算机和网络,这类感染往往是勒索软件和数据盗窃攻击的前兆。整个验证过程的语言设计得极为谨慎,以避免引起用户怀疑。安全专家警告,用户应避免在不确定的情况下在Windows“运行”对话框或PowerShell终端中执行在线复制的内容,对剪贴板内容感到不确定时,应粘贴到文本阅读器上分析,任何混淆都是危险信号。
https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/
2. Chrome扩展程序面临供应链攻击威胁,数百万用户或受影响
1月22日,网络安全机构Sekoia发出警告,指出针对Chrome扩展开发者的供应链攻击可能已经影响了数十万人。此类攻击始于2023年,最近的一次活动发生在2024年12月30日,旨在窃取如ChatGPT和Facebook for Business等网站的API密钥、会话cookie和其他身份验证令牌。加利福尼亚的Cyberhaven公司是此次攻击的受害者之一,其开发者账户在2024年节礼日期间被入侵。Booz Allen Hamilton的分析显示,许多其他Chrome扩展也可能受到影响,潜在受影响的最终用户数量可能达到数百万。一些受影响的扩展已从Chrome网上应用店撤下,而一些扩展的页面显示已进行更新。Reader Mode扩展的创始人向约30万用户发出公开信,告知他们其扩展在2024年12月5日受到入侵。攻击者通过伪装成Chrome网上应用店开发者支持的钓鱼邮件,诱骗开发者点击恶意链接并批准恶意OAuth应用程序的访问权限,从而获得上传被入侵扩展到Chrome网上应用店的权限。Sekoia通过调查与网络钓鱼邮件关联的域名,发现了此次攻击中使用的其他域名及可能涉及的先前攻击的域名,认为这个威胁行为者专门传播恶意Chrome扩展以收集敏感数据。
https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/
3. 千余恶意域名仿冒知名平台传播Lumma Stealer窃密木马
1月22日,网络安全研究人员发现,超过1000个恶意域名正在仿冒Reddit和WeTransfer等知名平台,传播近年来流行的Lumma Stealer窃密木马,凸显了网络犯罪分子利用受信任品牌欺骗用户下载恶意软件的复杂性。Lumma Stealer是一种强大的信息窃取工具,可窃取密码、加密货币钱包信息和浏览器数据等敏感信息。这些恶意域名与合法URL极为相似,甚至配备了有效的SSL证书,误导用户认为正在访问安全网站,增加了用户成为网络钓鱼攻击受害者的风险。Lumma Stealer采用多种技术执行恶意负载,如托管虚假的CAPTCHA页面诱使用户执行PowerShell脚本下载恶意软件。这些恶意域名的增加反映了攻击者利用知名平台声誉的趋势,通过社会工程学策略发送包含链接的电子邮件,将用户引导至欺诈网站。攻击者还利用内容分发网络托管钓鱼网站,逃避检测并延长攻击持续时间。为应对这一威胁,网络安全专家建议验证URL、启用双因素认证和进行用户教育。
https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/
4. CISA将JQuery XSS漏洞加入已知被利用漏洞目录
1月23日,美国网络安全和基础设施安全局(CISA)已将jQuery持久跨站点脚本(XSS)漏洞(CVE-2020-11023,CVSS评分:6.9)添加到其已知被利用漏洞(KEV)目录中。该漏洞存在于jQuery 1.0.3至3.4.1版本中,当使用包含不受信任的HTML <option>元素的DOM方法时,可能会执行恶意代码。此问题已在jQuery 3.5.0中得到修复。咨询报告指出,即使对来自不受信任来源的元素进行了清理,将其传递给jQuery的DOM操作方法(如.html()、.append()等)仍可能引发安全风险。作为临时缓解措施,建议在使用jQuery方法处理HTML前,使用DOMPurify的SAFE_FOR_JQUERY选项进行清理。jQuery 3.5.0版本的主要变化是安全修复,其中jQuery.htmlPrefilter函数不再使用正则表达式,而是传递未更改的字符串。研究员Masato Kinugawa报告了这一漏洞。根据CISA的操作指令,联邦机构必须在2025年2月13日前修复此漏洞,以保护其网络免受攻击。同时,专家也建议私人组织审查该目录并解决其基础设施中的相关漏洞。
https://securityaffairs.com/173388/uncategorized/u-s-cisa-adds-jquery-flaw-known-exploited-vulnerabilities-catalog.html
5. Abnormal Security揭露:专为网络犯罪打造的GhostGPT AI聊天机器人兴起
1月23日,Abnormal Security在2024年末发现了一款名为GhostGPT的恶意AI聊天机器人,专为网络犯罪设计。这款工具可通过Telegram等平台轻松获取,为网络犯罪分子提供了前所未有的能力,包括制作复杂的网络钓鱼电子邮件和开发恶意软件。与受道德和安全措施约束的传统AI模型不同,GhostGPT不受这些限制,能够以前所未有的速度和轻松程度生成恶意内容。它很可能是使用包装器连接到ChatGPT的越狱版本或开源LLM,从而消除了道德保障。GhostGPT降低了网络犯罪的门槛,使经验不足的参与者也能利用AI进行恶意活动,并以更高的效率发起更复杂、更具影响力的攻击。此外,它还优先考虑用户匿名性,对寻求隐藏非法活动并逃避检测的网络犯罪分子很有吸引力。Abnormal Security的研究人员测试了GhostGPT的功能,发现它展示了欺骗潜在受害者的能力。随着网络犯罪分子对人工智能的兴趣日益浓厚,网络安全社区必须不断创新和发展其防御措施,才能保持领先地位。
https://hackread.com/ghostgpt-malicious-ai-chatbot-fuel-cybercrime-scams/
6. J-magic恶意软件:针对瞻博网络设备的“魔包”攻击趋势分析
1月23日,J-magic是一种针对瞻博网络边缘设备的恶意软件,主要攻击半导体、能源、制造业和IT领域的组织。该恶意软件是cd00r后门的定制变体,通过监视TCP流量寻找具有特定特征的“魔术数据包”来启动反向shell。据Lumen威胁研究和运营部门Black Lotus Labs的研究人员称,J-magic活动在2023年至2024年期间活跃,旨在实现低检测度和长期访问。大约一半的目标设备配置为组织的VPN网关。J-magic会检查各种字段和偏移量,如果数据包满足特定条件之一,就会生成反向shell,但发送者需先解决RSA挑战才能访问受感染设备。尽管J-magic与同样基于cd00r后门的SeaSpy恶意软件在技术上相似,但存在一些差异,使得难以建立联系。Black Lotus Labs的研究人员认为,J-magic攻击活动表明,针对企业级路由器的恶意软件使用正成为一种趋势,因为此类设备很少进行电源循环,恶意软件驻留在内存中,且通常缺乏基于主机的监控工具。
https://www.bleepingcomputer.com/news/security/stealthy-magic-packet-malware-targets-juniper-vpn-gateways/
京公网安备11010802024551号