首頁 > 安全研究 > 安全通報 > 安全簡訊

“絲綢之路”創始人新聞成誘餌,利用Telegram傳播惡意軟件

發布時間 2025-01-24

1. “絲綢之路”創始人新聞成誘餌,利用Telegram傳播惡意軟件


1月22日,威脅行為者利用關于Ross Ulbricht(絲綢之路暗網市場創始人)的新聞作為誘餌,通過Telegram頻道誘騙用戶運行PowerShell代碼。這次攻擊是“Click-Fix”策略的新變種,由vx-underground發現。不同于以往的錯誤修復偽裝,此次攻擊假扮成加入頻道時的驗證碼或驗證系統。攻擊者通過X平臺上的虛假但經過驗證的Ross Ulbricht賬戶,將用戶引導至看似官方的Telegram頻道。在頻道內,用戶會遇到名為“Safeguard”的虛假身份驗證請求,最終會被引導至一個Telegram小程序,該程序會自動復制PowerShell命令到剪貼板,并提示用戶在Windows運行對話框中粘貼并執行。執行的代碼會下載一個包含Cobalt Strike加載程序的ZIP文件,Cobalt Strike常被威脅行為者用于遠程訪問計算機和網絡,這類感染往往是勒索軟件和數據盜竊攻擊的前兆。整個驗證過程的語言設計得極為謹慎,以避免引起用戶懷疑。安全專家警告,用戶應避免在不確定的情況下在Windows“運行”對話框或PowerShell終端中執行在線復制的內容,對剪貼板內容感到不確定時,應粘貼到文本閱讀器上分析,任何混淆都是危險信號。


https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/


2. Chrome擴展程序面臨供應鏈攻擊威脅,數百萬用戶或受影響


1月22日,網絡安全機構Sekoia發出警告,指出針對Chrome擴展開發者的供應鏈攻擊可能已經影響了數十萬人。此類攻擊始于2023年,最近的一次活動發生在2024年12月30日,旨在竊取如ChatGPT和Facebook for Business等網站的API密鑰、會話cookie和其他身份驗證令牌。加利福尼亞的Cyberhaven公司是此次攻擊的受害者之一,其開發者賬戶在2024年節禮日期間被入侵。Booz Allen Hamilton的分析顯示,許多其他Chrome擴展也可能受到影響,潛在受影響的最終用戶數量可能達到數百萬。一些受影響的擴展已從Chrome網上應用店撤下,而一些擴展的頁面顯示已進行更新。Reader Mode擴展的創始人向約30萬用戶發出公開信,告知他們其擴展在2024年12月5日受到入侵。攻擊者通過偽裝成Chrome網上應用店開發者支持的釣魚郵件,誘騙開發者點擊惡意鏈接并批準惡意OAuth應用程序的訪問權限,從而獲得上傳被入侵擴展到Chrome網上應用店的權限。Sekoia通過調查與網絡釣魚郵件關聯的域名,發現了此次攻擊中使用的其他域名及可能涉及的先前攻擊的域名,認為這個威脅行為者專門傳播惡意Chrome擴展以收集敏感數據。


https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/


3. 千余惡意域名仿冒知名平臺傳播Lumma Stealer竊密木馬


1月22日,網絡安全研究人員發現,超過1000個惡意域名正在仿冒Reddit和WeTransfer等知名平臺,傳播近年來流行的Lumma Stealer竊密木馬,凸顯了網絡犯罪分子利用受信任品牌欺騙用戶下載惡意軟件的復雜性。Lumma Stealer是一種強大的信息竊取工具,可竊取密碼、加密貨幣錢包信息和瀏覽器數據等敏感信息。這些惡意域名與合法URL極為相似,甚至配備了有效的SSL證書,誤導用戶認為正在訪問安全網站,增加了用戶成為網絡釣魚攻擊受害者的風險。Lumma Stealer采用多種技術執行惡意負載,如托管虛假的CAPTCHA頁面誘使用戶執行PowerShell腳本下載惡意軟件。這些惡意域名的增加反映了攻擊者利用知名平臺聲譽的趨勢,通過社會工程學策略發送包含鏈接的電子郵件,將用戶引導至欺詐網站。攻擊者還利用內容分發網絡托管釣魚網站,逃避檢測并延長攻擊持續時間。為應對這一威脅,網絡安全專家建議驗證URL、啟用雙因素認證和進行用戶教育。


https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/


4. CISA將JQuery XSS漏洞加入已知被利用漏洞目錄


1月23日,美國網絡安全和基礎設施安全局(CISA)已將jQuery持久跨站點腳本(XSS)漏洞(CVE-2020-11023,CVSS評分:6.9)添加到其已知被利用漏洞(KEV)目錄中。該漏洞存在于jQuery 1.0.3至3.4.1版本中,當使用包含不受信任的HTML <option>元素的DOM方法時,可能會執行惡意代碼。此問題已在jQuery 3.5.0中得到修復。咨詢報告指出,即使對來自不受信任來源的元素進行了清理,將其傳遞給jQuery的DOM操作方法(如.html()、.append()等)仍可能引發安全風險。作為臨時緩解措施,建議在使用jQuery方法處理HTML前,使用DOMPurify的SAFE_FOR_JQUERY選項進行清理。jQuery 3.5.0版本的主要變化是安全修復,其中jQuery.htmlPrefilter函數不再使用正則表達式,而是傳遞未更改的字符串。研究員Masato Kinugawa報告了這一漏洞。根據CISA的操作指令,聯邦機構必須在2025年2月13日前修復此漏洞,以保護其網絡免受攻擊。同時,專家也建議私人組織審查該目錄并解決其基礎設施中的相關漏洞。


https://securityaffairs.com/173388/uncategorized/u-s-cisa-adds-jquery-flaw-known-exploited-vulnerabilities-catalog.html


5. Abnormal Security揭露:專為網絡犯罪打造的GhostGPT AI聊天機器人興起


1月23日,Abnormal Security在2024年末發現了一款名為GhostGPT的惡意AI聊天機器人,專為網絡犯罪設計。這款工具可通過Telegram等平臺輕松獲取,為網絡犯罪分子提供了前所未有的能力,包括制作復雜的網絡釣魚電子郵件和開發惡意軟件。與受道德和安全措施約束的傳統AI模型不同,GhostGPT不受這些限制,能夠以前所未有的速度和輕松程度生成惡意內容。它很可能是使用包裝器連接到ChatGPT的越獄版本或開源LLM,從而消除了道德保障。GhostGPT降低了網絡犯罪的門檻,使經驗不足的參與者也能利用AI進行惡意活動,并以更高的效率發起更復雜、更具影響力的攻擊。此外,它還優先考慮用戶匿名性,對尋求隱藏非法活動并逃避檢測的網絡犯罪分子很有吸引力。Abnormal Security的研究人員測試了GhostGPT的功能,發現它展示了欺騙潛在受害者的能力。隨著網絡犯罪分子對人工智能的興趣日益濃厚,網絡安全社區必須不斷創新和發展其防御措施,才能保持領先地位。


https://hackread.com/ghostgpt-malicious-ai-chatbot-fuel-cybercrime-scams/


6. J-magic惡意軟件:針對瞻博網絡設備的“魔包”攻擊趨勢分析


1月23日,J-magic是一種針對瞻博網絡邊緣設備的惡意軟件,主要攻擊半導體、能源、制造業和IT領域的組織。該惡意軟件是cd00r后門的定制變體,通過監視TCP流量尋找具有特定特征的“魔術數據包”來啟動反向shell。據Lumen威脅研究和運營部門Black Lotus Labs的研究人員稱,J-magic活動在2023年至2024年期間活躍,旨在實現低檢測度和長期訪問。大約一半的目標設備配置為組織的VPN網關。J-magic會檢查各種字段和偏移量,如果數據包滿足特定條件之一,就會生成反向shell,但發送者需先解決RSA挑戰才能訪問受感染設備。盡管J-magic與同樣基于cd00r后門的SeaSpy惡意軟件在技術上相似,但存在一些差異,使得難以建立聯系。Black Lotus Labs的研究人員認為,J-magic攻擊活動表明,針對企業級路由器的惡意軟件使用正成為一種趨勢,因為此類設備很少進行電源循環,惡意軟件駐留在內存中,且通常缺乏基于主機的監控工具。


https://www.bleepingcomputer.com/news/security/stealthy-magic-packet-malware-targets-juniper-vpn-gateways/

上一篇 下一篇