犯罪分子冒充美国高级官员进行信息诈骗
发布时间 2025-12-251. 犯罪分子冒充美国高级官员进行信息诈骗
12月21日,美国联邦调查局近日发布警告,网络犯罪分子自2023年起持续冒充州政府高级官员、白宫官员、内阁成员及国会议员,利用短信与人工智能生成的语音信息,针对官员家人及私人熟人实施精准诈骗。此类攻击通过“短信钓鱼+语音克隆”双重手段展开:犯罪分子首先发送看似来自权威机构的欺诈短信,随后拨打AI生成的语音电话或留下语音留言,以讨论熟悉话题为诱饵,迅速要求受害者转移至Signal、Telegram、WhatsApp等加密移动应用进行进一步沟通。在加密应用中,攻击者会通过谈论时事、双边关系,或虚构“董事会提名”“安排与总统会面”等场景建立信任,进而索要验证码以同步联系人列表、获取护照等敏感文件副本、要求向海外金融机构汇款,或诱导介绍同伙。GetReal Security威胁研究主管汤姆·克罗斯指出,威胁行为者正利用深度伪造技术实施社会工程攻击,仅需30秒语音样本即可通过AI语音克隆高度逼真模仿他人,而公职人员和高管的语音样本极易通过公开渠道获取。
https://cybernews.com/news/criminals-impersonate-senior-us-officials-in-messaging-scams/
2. 拼写错误域名引发Cosmali Loader恶意软件感染
12月24日,近日,网络安全领域曝出一起因域名拼写错误导致的恶意软件感染事件。攻击者利用用户输入疏忽,抢注与微软激活脚本(MAS)官方域名高度相似的域名“get.activate[.]win”,仅比官方域名“get.activated.win”少一个字母“d”,诱导用户访问并执行恶意PowerShell脚本,最终导致Windows系统被“Cosmali Loader”恶意软件感染。据报道,多名MAS用户已在Reddit平台报告系统出现Cosmali Loader感染的弹出警告。安全研究员RussianPanda分析发现,该恶意软件控制面板存在安全漏洞,攻击者可借此远程访问受害者计算机,并部署加密货币挖矿工具及XWorm远程访问木马(RAT)。GDATA恶意软件分析师Karsten Hahn此前也发现过类似弹出通知,进一步证实此次事件与开源Cosmali Loader恶意软件存在关联。MAS作为开源PowerShell脚本集合,通过HWID激活、KMS模拟等技术实现Windows及Office的自动激活,但微软明确将其视为盗版工具,因其采用未授权手段绕过许可系统。项目维护者已向用户发出警告,强调执行命令前需仔细核对域名拼写,避免因输入错误访问恶意域名。
https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/
3. FBI查封web3adspanels[.]org域名
12月24日,近日,美国联邦调查局(FBI)查封了域名“web3adspanels[.]org”及其数据库,该域名被犯罪团伙用于存储和篡改从美国受害者处窃取的银行登录凭证,进而实施大规模银行账户盗用诈骗。据司法部披露,该犯罪团伙通过在谷歌、必应等搜索引擎投放虚假广告,模仿真实银行广告诱导用户点击。受害者点击后会被重定向至由犯罪分子控制的欺诈网站,当用户输入银行登录凭证时,网站上的恶意软件会立即窃取这些信息。犯罪分子随后利用窃取的凭证登录真实银行网站,盗取账户资金。调查显示,该域名作为后端网络面板,托管了数千个被盗的银行登录凭证,并持续运营至2025年11月。爱沙尼亚当局已保存并收集了托管钓鱼页面的服务器数据及被盗凭证,为后续调查提供关键证据。FBI确认,至少19名美国受害者因该骗局损失约1460万美元,并面临2800万美元的未遂损失。
https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html
4. MongoDB紧急通告高危RCE漏洞需立即修复
12月24日,MongoDB近日发布紧急安全通告,警告IT管理员必须立即修复编号为CVE-2025-14847的高危漏洞。该漏洞影响MongoDB 8.2.0至8.2.3、8.0.0至8.0.16、7.0.0至7.0.26、6.0.0至6.0.26、5.0.0至5.0.31、4.4.0至4.4.29及所有v4.2、v4.0、v3.6版本,未经身份验证的攻击者可利用此漏洞发起低复杂度远程代码执行(RCE)攻击,无需用户交互即可控制目标服务器。漏洞根源在于MongoDB服务器对长度参数的不一致处理机制,攻击者可通过篡改zlib压缩实现中的数据包,触发未初始化的堆内存访问,进而执行任意代码。MongoDB安全团队强调,该漏洞已具备被大规模利用的条件,建议管理员立即升级至已修复版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30。若无法立即升级,需在启动mongod/mongos时通过networkMessageCompressors或net.compression.compressors参数显式禁用zlib压缩功能。
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/
5. Marquis遭黑客攻击致多家银行客户数据泄露
12月24日,近日,两家美国银行VeraBank和Artisans' Bank相继披露因第三方供应商Marquis Software Solutions遭受黑客攻击,导致大量客户信息泄露。总部位于德克萨斯州的VeraBank透露,此次事件影响37,318名客户,泄露信息包括姓名及其他未明确说明的个人信息,具体泄露内容因客户而异。特拉华州的Artisans' Bank则表示,32,344名客户的姓名和社会保障号码可能遭未经授权访问。两家银行均强调,攻击仅限于Marquis系统,其自身系统未受影响。Marquis方面表示,已就8月14日发生的数据泄露事件展开内部调查并通知执法部门。然而,Artisans' Bank直至10月下旬才获悉此事,近期才意识到客户信息可能泄露。11月,挪威储蓄银行(NSB)曾因Marquis遭受勒索软件攻击,导致51,000名客户姓名、地址、出生日期、社会保障号码、税务识别号码及财务账户信息等敏感数据泄露。
https://cybernews.com/news/bank-marquis-software-vendor-attack/
6. Evasive Panda针对多国实施精准渗透
12月25日,卡巴斯基实验室近日发布报告,揭露臭名昭著的网络间谍组织Evasive Panda在2022年11月至2024年11月期间,针对中国、印度及土耳其发起新一轮复杂攻击。该组织自2012年起活跃,通过DNS劫持、中间人攻击(AitM)及伪装软件更新等手段,传播标志性后门程序MgBot,实现长期系统驻留与数据窃取。攻击链条始于精心设计的“合法伪装”:攻击者冒充搜狐视频、爱奇艺视频、IObit Smart Defrag及腾讯QQ等热门软件的更新程序,在合法安装文件夹中植入恶意代码,由受信任系统服务执行。更隐蔽的是,组织利用AitM技术劫持网络流量,通过篡改DNS响应,将用户对dictionary.com的访问重定向至攻击者控制的服务器,以伪装成PNG文件的加密shellcode形式加载第二阶段有效载荷。这种基于地理位置和ISP的定向投放策略,使攻击极具针对性且难以在实验室复现。新开发的加载器伪装成Windows库文件,通过DLL侧加载技术将MgBot注入svchost.exe等系统进程,甚至利用十年前的签名可执行文件逃避检测。
https://securityonline.info/evasive-panda-apt-hijacks-dictionary-com-and-app-updates-in-two-year-spree/
京公网安备11010802024551号