Fog勒索软件利用DOGE主题勒索信攻击受害者
发布时间 2025-04-221. Fog勒索软件利用DOGE主题勒索信攻击受害者
4月22日,Fog勒索软件运营商近期使用DOGE主题勒索信嘲讽受害者,提供免费解密密钥以换取恶意软件传播。与早期依靠被盗VPN凭证不同,最新攻击始于包含“Pay Adjustment.zip”的网络钓鱼邮件,内含恶意LNK文件,点击后触发一系列操作将勒索软件植入系统。趋势科技研究人员称,自今年1月以来,该软件已感染100名受害者,2月份最多,为53人;自2024年6月以来,在客户中检测到173起相关勒索活动。多数受害者来自科技、制造、教育和交通运输行业。新攻击中,恶意LNK文件下载PowerShell脚本,检索勒索软件下载程序及多个其他脚本和可执行文件。这些脚本包括收集系统信息、横向移动工具及打开二维码的脚本,受害者可用该二维码支付赎金。初始PowerShell脚本还打开政治主题YouTube视频并包含书面政治评论。初始赎金通知提及DOGE,甚至DOGE工作人员,要求受害者列出五项任务,否则支付一万亿美元赎金。威胁者表示,若受害者将恶意软件发送给他人,即可免费解密系统。Fog勒索软件是相对较新的勒索软件家族,企业必须将其添加到监控列表中。
https://www.darkreading.com/cyberattacks-data-breaches/fog-hackers-doge-ransom-notes
2. RustoBot僵尸网络利用路由器漏洞发动攻击
4月22日,FortiGuard Labs近期发现RustoBot,这一用Rust编写的复杂僵尸网络正利用TOTOLINK和DrayTek路由器漏洞,在日本、台湾、越南和墨西哥的技术基础设施中肆虐。2025年初,攻击尝试急剧增加,目标直指TOTOLINK cstecgi.cgi脚本中的长期漏洞,这些漏洞涉及配置更改和身份验证,存在多个命令注入点,包括CVE-2022-26210、CVE-2022-26187以及影响DrayTek路由器的CVE-2024-12987。这些弱点使攻击者获得远程代码执行能力,为RustoBot感染铺平道路。一旦获得初始访问权限,RustoBot便通过四个下载脚本之一进行部署,支持多种架构,确保与易受攻击的路由器广泛兼容。其独特之处在于使用Rust语言,二进制结构通过XOR加密和GOT操作进行混淆,实现隐身性,并使逆向工程复杂化。解密后的配置揭示,RustoBot执行两项核心恶意操作:解析多个C2域名,并根据命令发起DDoS攻击。RustoBot活动已影响多款TOTOLINK和DrayTek路由器型号,受害者主要位于科技领域,表明攻击可能具有针对性。
https://securityonline.info/rustobot-botnet-exploits-router-flaws-in-sophisticated-attacks/
3. WordPress广告欺诈插件每天产生14亿个广告请求
4月21日,近日,一个名为“Scallywag”的大规模广告欺诈组织浮出水面,该组织通过定制WordPress插件,将盗版和URL缩短网站货币化,每日产生数十亿个欺诈请求。Scallywag由机器人和欺诈检测公司HUMAN发现,其背后是一个由407个域名组成的庞大网络,每日欺诈广告请求峰值高达14亿条。尽管HUMAN采取措施使Scallywag流量减少95%,但该组织通过轮换域名和调整货币化模式展现出强大韧性。Scallywag基于四个WordPress插件构建,包括Soralink、Yu Idea、WPSafeLink和Droplink,为网络犯罪分子提供从高风险、低质量网站赚钱的途径。这些插件降低了潜在威胁行为者的进入门槛,甚至有人在YouTube上发布操作教程。用户访问盗版目录网站时,点击嵌入的URL缩短链接,会被重定向至中间广告密集页面,为Scallywag运营商产生欺诈性印象,最终进入承诺内容的页面。这些中间网站运行Scallywag插件,负责处理重定向逻辑、广告加载等,以在广告平台检查中伪装成正常博客。HUMAN通过分析流量模式检测Scallywag活动,并与广告提供商合作停止对广告请求的竞标,切断其收入来源。
https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/
4. 新型恶意软件ResolverRAT威胁医疗与制药行业
4月21日,Morphisec威胁实验室发现了一种新型复杂恶意软件ResolverRAT,该恶意软件正积极针对医疗保健和制药行业展开攻击,最近一波攻击集中在2025年3月10日左右。ResolverRAT凭借其先进的技术手段,如内存执行、动态资源处理及多层规避技术,使得传统检测方法难以奏效。该恶意软件通过精心设计的钓鱼邮件传播,利用紧迫感或恐惧感诱导收件人点击恶意链接,进而触发感染过程。攻击高度本地化,邮件采用目标国家母语撰写,主题涉及法律调查或版权侵权,旨在通过个性化定位提高感染成功率。感染始于DLL侧载技术,将恶意DLL文件与合法程序(如 hpreader.exe)一同放置,当程序执行时,恶意DLL被悄悄加载,从而启动恶意软件。ResolverRAT 采用多层规避技术,包括代码混淆和自定义协议来混淆网络流量,直接在内存中执行恶意代码,并在运行时动态识别和使用系统函数。为确保持久性,ResolverRAT 在 Windows 注册表中创建多个条目,并在多个位置安装自身副本。此外,它还使用独特的证书验证方法和“.NET 资源解析器劫持”技术来隐身,并尝试对分析环境进行指纹识别,以在检测到被检查时改变行为。
https://hackread.com/native-language-phishing-resolverrat-healthcare/
5. 诈骗分子冒充FBI IC3员工窃取您的财务信息
4月19日,近日,FBI发布诈骗警报,揭示诈骗分子正冒充FBI互联网犯罪投诉中心(IC3)人员,以追回损失资金为诱饵,窃取受害者财务信息。自2023年12月至2025年2月,FBI已收到100多起相关报告。诈骗者常瞄准网络金融诈骗受害者的社交网络或在线论坛,有时冒充真实身份或使用虚假凭证。所有骗局均涉及以某种形式帮助受害者追回损失,尽管最初联系方式各异,包括电子邮件、电话、社交媒体或论坛。在某些案例中,诈骗者甚至声称丢失资金就在他们手中。他们通过创建虚假个人资料,加入在线金融诈骗团伙,并建议受害者联系假冒的IC3“首席执行官”获取帮助。一旦受害者上钩,诈骗者便声称已恢复资金,并借此获取其财务信息。FBI表示,这些计划不仅欺骗和诈骗目标,还使他们再次成为受害者。为防范此类诈骗,FBI提醒公众,IC3绝不会通过电话、电子邮件、社交媒体等直接与个人沟通,也不会要求付款来追回损失资金,更不会将受害者转介给要求付款的公司。公众应提高警惕,切勿与仅在网上或电话中认识的人分享敏感信息或发送钱财。如需举报网络欺诈,可访问FBI互联网犯罪投诉中心官网。
https://cybernews.com/security/fbi-alert-ic3-impersonation-scam-recover-lost-funds-steal-financial-info/
6. 黑客利用Google系统弱点实施DKIM重放网络钓鱼攻击
4月20日,近日,黑客利用Google系统弱点,发起了一场巧妙的网络钓鱼攻击。攻击者通过发送一封看似来自“no-reply@google.com”的虚假电子邮件,成功绕过所有验证,指向一个收集登录信息的欺诈页面。该邮件不仅通过了DKIM身份验证,且内容几乎与谷歌官方安全警报无异,极易欺骗技术水平较低的用户。然而,ENS首席开发人员尼克·约翰逊敏锐地发现,虚假支持门户托管在sites.google.com上,而非真正的accounts.google.com,从而识破了骗局。攻击者巧妙地注册了一个域名,并以“me@domain”创建Google帐户,随后创建了一个Google OAuth应用,将钓鱼邮件命名为该应用。当攻击者授予其OAuth应用访问Google Workspace中电子邮件地址的权限时,Google自动发送了安全警报,该警报因使用有效的DKIM密钥签名而通过了所有检查。攻击者随后将安全警报转发给受害者,使其看起来像是来自谷歌的合法邮件。此外,攻击者还利用了Google系统的弱点,即DKIM仅检查邮件正文和邮件头,而不检查信封,使得伪造邮件能够通过签名验证。目前,谷歌已认识到OAuth的弱点,并正在努力修复。
https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/
京公网安备11010802024551号