“丝绸之路”首创人新闻成诱饵，使用Telegram撒播恶意软件

首页 > 清静研究 > 清静转达 > 清静简讯

“丝绸之路”首创人新闻成诱饵，使用Telegram撒播恶意软件

宣布时间 2025-01-24

1. “丝绸之路”首创人新闻成诱饵，使用Telegram撒播恶意软件

1月22日，威胁行为者使用关于Ross Ulbricht（丝绸之路暗网市场首创人）的新闻作为诱饵，通过Telegram频道诱骗用户运行PowerShell代码。这次攻击是“Click-Fix”战略的新变种，由vx-underground发明。差别于以往的过失修复伪装，此次攻击假扮成加入频道时的验证码或验证系统。攻击者通过X平台上的虚伪但经由验证的Ross Ulbricht账户，将用户指导至看似官方的Telegram频道。在频道内，用户会遇到名为“Safeguard”的虚伪身份验证请求，最终会被指导至一个Telegram小程序，该程序会自动复制PowerShell下令到剪贴板，并提醒用户在Windows运行对话框中粘贴并执行。执行的代码会下载一个包括Cobalt Strike加载程序的ZIP文件，Cobalt Strike常被威胁行为者用于远程会见盘算机和网络，这类熏染往往是勒索软件和数据偷窃攻击的先兆。整个验证历程的语言设计得极为审慎，以阻止引起用户嫌疑。清静专家忠言，用户应阻止在不确定的情形下在Windows“运行”对话框或PowerShell终端中执行在线复制的内容，对剪贴板内容感应不确准时，应粘贴到文本阅读器上剖析，任何混淆都是危险信号。

https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/

2. Chrome扩展程序面临供应链攻击威胁，数百万用户或受影响

1月22日，网络清静机构Sekoia发出忠言，指出针对Chrome扩睁开发者的供应链攻击可能已经影响了数十万人。此类攻击始于2023年，最近的一次运动爆发在2024年12月30日，旨在窃取如ChatGPT和Facebook for Business等网站的API密钥、会话cookie和其他身份验证令牌。加利福尼亚的Cyberhaven公司是此次攻击的受害者之一，其开发者账户在2024年节礼日时代被入侵。Booz Allen Hamilton的剖析显示，许多其他Chrome扩展也可能受到影响，潜在受影响的最终用户数目可能抵达数百万。一些受影响的扩展已从Chrome网上应用店撤下，而一些扩展的页面显示已举行更新。Reader Mode扩展的首创人向约30万用户发出果真信，见告他们其扩展在2024年12月5日受到入侵。攻击者通过伪装成Chrome网上应用店开发者支持的垂纶邮件，诱骗开发者点击恶意链接并批准恶意OAuth应用程序的会见权限，从而获得上传被入侵扩展到Chrome网上应用店的权限。Sekoia通过视察与网络垂纶邮件关联的域名，发明了此次攻击中使用的其他域名及可能涉及的先前攻击的域名，以为这个威胁行为者专门撒播恶意Chrome扩展以网络敏感数据。

https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/

3. 千余恶意域名仿冒着名平台撒播Lumma Stealer窃密木马

1月22日，网络清静研究职员发明，凌驾1000个恶意域名正在仿冒Reddit和WeTransfer等着名平台，撒播近年来盛行的Lumma Stealer窃密木马，凸显了网络犯法分子使用受信托品牌诱骗用户下载恶意软件的重大性。Lumma Stealer是一种强盛的信息窃取工具，可窃取密码、加密钱币钱包信息和浏览器数据等敏感信息。这些恶意域名与正当URL极为相似，甚至配备了有用的SSL证书，误导用户以为正在会见清静网站，增添了用户成为网络垂纶攻击受害者的危害。Lumma Stealer接纳多种手艺执行恶意负载，如托管虚伪的CAPTCHA页面诱使用户执行PowerShell剧本下载恶意软件。这些恶意域名的增添反应了攻击者使用着名平台声誉的趋势，通过社会工程学战略发送包括链接的电子邮件，将用户指导至诓骗网站。攻击者还使用内容分发网络托管垂纶网站，逃避检测并延伸攻击一连时间。为应对这一威胁，网络清静专家建议验证URL、启用双因素认证和举行用户教育。

https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/

4. CISA将JQuery XSS误差加入已知被使用误差目录

1月23日，美国网络清静和基础设施清静局（CISA）已将jQuery长期跨站点剧本（XSS）误差（CVE-2020-11023，CVSS评分：6.9）添加到其已知被使用误差（KEV）目录中。该误差保存于jQuery 1.0.3至3.4.1版本中，当使用包括不受信托的HTML <option>元素的DOM要领时，可能会执行恶意代码。此问题已在jQuery 3.5.0中获得修复。咨询报告指出，纵然对来自不受信托泉源的元素举行了整理，将其转达给jQuery的DOM操作要领（如.html()、.append()等）仍可能引发清静危害。作为暂时缓解步伐，建议在使用jQuery要领处置惩罚HTML前，使用DOMPurify的SAFE_FOR_JQUERY选项举行整理。jQuery 3.5.0版本的主要转变是清静修复，其中jQuery.htmlPrefilter函数不再使用正则表达式，而是转达未更改的字符串。研究员Masato Kinugawa报告了这一误差。凭证CISA的操作指令，联邦机构必需在2025年2月13日前修复此误差，以�；て渫缑馐芄セ�。同时，专家也建议私人组织审查该目录并解决其基础设施中的相关误差。

https://securityaffairs.com/173388/uncategorized/u-s-cisa-adds-jquery-flaw-known-exploited-vulnerabilities-catalog.html

5. Abnormal Security揭破：专为网络犯法打造的GhostGPT AI谈天机械人兴起

1月23日，Abnormal Security在2024年尾发明了一款名为GhostGPT的恶意AI谈天机械人，专为网络犯法设计。这款工具可通过Telegram等平台轻松获取，为网络犯法分子提供了亘古未有的能力，包括制作重大的网络垂纶电子邮件和开发恶意软件。与受品德和清静步伐约束的古板AI模子差别，GhostGPT不受这些限制，能够以亘古未有的速率和轻松水一天生恶意内容。它很可能是使用包装器毗连到ChatGPT的越狱版本或开源LLM，从而消除了品德包管。GhostGPT降低了网络犯法的门槛，使履历缺乏的加入者也能使用AI举行恶意运动，并以更高的效率提倡更重大、更具影响力的攻击。别的，它还优先思量用户匿名性，对追求隐藏不法运动并逃避检测的网络犯法分子很有吸引力。Abnormal Security的研究职员测试了GhostGPT的功效，发明它展示了诱骗潜在受害者的能力。随着网络犯法分子对人工智能的兴趣日益浓重，网络清静社区必需一直立异和生长其防御步伐，才华坚持领先职位。

https://hackread.com/ghostgpt-malicious-ai-chatbot-fuel-cybercrime-scams/

6. J-magic恶意软件：针对瞻博网络装备的“魔包”攻击趋势剖析

1月23日，J-magic是一种针对瞻博网络边沿装备的恶意软件，主要攻击半导体、能源、制造业和IT领域的组织。该恶意软件是cd00r后门的定制变体，通过监视TCP流量寻找具有特定特征的“魔术数据包”来启动反向shell。据Lumen威胁研究和运营部分Black Lotus Labs的研究职员称，J-magic运动在2023年至2024年时代活跃，旨在实现低检测度和恒久会见。约莫一半的目的装备设置为组织的VPN网关。J-magic会检查种种字段和偏移量，若是数据包知足特定条件之一，就会天生反向shell，但发送者需先解决RSA挑战才华会见受熏染装备。只管J-magic与同样基于cd00r后门的SeaSpy恶意软件在手艺上相似，但保存一些差别，使得难以建设联系。Black Lotus Labs的研究职员以为，J-magic攻击运动批注，针对企业级路由器的恶意软件使用正成为一种趋势，由于此类装备很少举行电源循环，恶意软件驻留在内存中，且通常缺乏基于主机的监控工具。

https://www.bleepingcomputer.com/news/security/stealthy-magic-packet-malware-targets-juniper-vpn-gateways/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究