“丝绸之路”首创人新闻成诱饵，利用Telegram流传恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

“丝绸之路”首创人新闻成诱饵，利用Telegram流传恶意软件

宣布时间 2025-01-24

1. “丝绸之路”首创人新闻成诱饵，利用Telegram流传恶意软件

1月22日，威胁行为者利用关于Ross Ulbricht（丝绸之路暗网市场首创人）的新闻作为诱饵，通过Telegram频道诱骗用户运行PowerShell代码。这次攻击是“Click-Fix”计谋的新变种，由vx-underground发现。差异于以往的错误修复伪装，此次攻击假扮成加入频道时的验证码或验证系统。攻击者通过X平台上的虚假但经过验证的Ross Ulbricht账户，将用户引导至看似官方的Telegram频道。在频道内，用户会遇到名为“Safeguard”的虚假身份验证请求，最终会被引导至一个Telegram小法式，该法式会自动复制PowerShell命令到剪贴板，并提示用户在Windows运行对话框中粘贴并执行。执行的代码会下载一个包罗Cobalt Strike加载法式的ZIP文件，Cobalt Strike常被威胁行为者用于远程访问计算机和网络，这类熏染往往是勒索软件和数据偷窃攻击的前兆。整个验证过程的语言设计得极为谨慎，以制止引起用户怀疑。宁静专家警告，用户应制止在不确定的情况下在Windows“运行”对话框或PowerShell终端中执行在线复制的内容，对剪贴板内容感应不确定时，应粘贴到文本阅读器上分析，任何混淆都是危险信号。

https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/

2. Chrome扩展法式面临供应链攻击威胁，数百万用户或受影响

1月22日，网络宁静机构Sekoia发出警告，指出针对Chrome扩展开发者的供应链攻击可能已经影响了数十万人。此类攻击始于2023年，最近的一次活动发生在2024年12月30日，旨在窃取如ChatGPT和Facebook for Business等网站的API密钥、会话cookie和其他身份验证令牌。加利福尼亚的Cyberhaven公司是此次攻击的受害者之一，其开发者账户在2024年节礼日期间被入侵。Booz Allen Hamilton的分析显示，许多其他Chrome扩展也可能受到影响，潜在受影响的最终用户数量可能到达数百万。一些受影响的扩展已从Chrome网上应用店撤下，而一些扩展的页面显示已进行更新。Reader Mode扩展的首创人向约30万用户发出果然信，见告他们其扩展在2024年12月5日受到入侵。攻击者通过伪装成Chrome网上应用店开发者支持的钓鱼邮件，诱骗开发者点击恶意链接并批准恶意OAuth应用法式的访问权限，从而获得上传被入侵扩展到Chrome网上应用店的权限。Sekoia通过视察与网络钓鱼邮件关联的域名，发现了此次攻击中使用的其他域名及可能涉及的先前攻击的域名，认为这个威胁行为者专门流传恶意Chrome扩展以收集敏感数据。

https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/

3. 千余恶意域名仿冒知名平台流传Lumma Stealer窃密木马

1月22日，网络宁静研究人员发现，凌驾1000个恶意域名正在仿冒Reddit和WeTransfer等知名平台，流传近年来流行的Lumma Stealer窃密木马，凸显了网络犯罪分子利用受信任品牌欺骗用户下载恶意软件的庞大性。Lumma Stealer是一种强大的信息窃取工具，可窃取密码、加密货币钱包信息和浏览器数据等敏感信息。这些恶意域名与合法URL极为相似，甚至配备了有效的SSL证书，误导用户认为正在访问宁静网站，增加了用户成为网络钓鱼攻击受害者的风险。Lumma Stealer接纳多种技术执行恶意负载，如托管虚假的CAPTCHA页面诱使用户执行PowerShell脚本下载恶意软件。这些恶意域名的增加反映了攻击者利用知名平台声誉的趋势，通过社会工程学计谋发送包罗链接的电子邮件，将用户引导至欺诈网站。攻击者还利用内容分发网络托管钓鱼网站，逃避检测并延长攻击连续时间。为应对这一威胁，网络宁静专家建议验证URL、启用双因素认证和进行用户教育。

https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/

4. CISA将JQuery XSS漏洞加入已知被利用漏洞目录

1月23日，美国网络宁静和基础设施宁静局（CISA）已将jQuery持久跨站点脚本（XSS）漏洞（CVE-2020-11023，CVSS评分：6.9）添加到其已知被利用漏洞（KEV）目录中。该漏洞存在于jQuery 1.0.3至3.4.1版本中，当使用包罗不受信任的HTML <option>元素的DOM要领时，可能会执行恶意代码。此问题已在jQuery 3.5.0中得到修复。咨询陈诉指出，即使对来自不受信任来源的元素进行了清理，将其通报给jQuery的DOM操作要领（如.html()、.append()等）仍可能引发宁静风险。作为临时缓解措施，建议在使用jQuery要领处置HTML前，使用DOMPurify的SAFE_FOR_JQUERY选项进行清理。jQuery 3.5.0版本的主要变化是宁静修复，其中jQuery.htmlPrefilter函数不再使用正则表达式，而是通报未更改的字符串。研究员Masato Kinugawa陈诉了这一漏洞。凭据CISA的操作指令，联邦机构必须在2025年2月13日前修复此漏洞，以�；て渫缑馐芄セ�。同时，专家也建议私人组织审查该目录并解决其基础设施中的相关漏洞。

https://securityaffairs.com/173388/uncategorized/u-s-cisa-adds-jquery-flaw-known-exploited-vulnerabilities-catalog.html

5. Abnormal Security揭露：专为网络犯罪打造的GhostGPT AI聊天机器人兴起

1月23日，Abnormal Security在2024年末发现了一款名为GhostGPT的恶意AI聊天机器人，专为网络犯罪设计。这款工具可通过Telegram等平台轻松获取，为网络犯罪分子提供了前所未有的能力，包罗制作庞大的网络钓鱼电子邮件和开发恶意软件。与受道德和宁静措施约束的传统AI模型差异，GhostGPT不受这些限制，能够以前所未有的速度和轻松水平生成恶意内容。它很可能是使用包装器连接到ChatGPT的越狱版本或开源LLM，从而消除了道德保障。GhostGPT降低了网络犯罪的门槛，使经验不足的加入者也能利用AI进行恶意活动，并以更高的效率提倡更庞大、更具影响力的攻击。此外，它还优先考虑用户匿名性，对寻求隐藏非法活动并逃避检测的网络犯罪分子很有吸引力。Abnormal Security的研究人员测试了GhostGPT的功效，发现它展示了欺骗潜在受害者的能力。随着网络犯罪分子对人工智能的兴趣日益浓厚，网络宁静社区必须不停创新和生长其防御措施，才气保持领先职位。

https://hackread.com/ghostgpt-malicious-ai-chatbot-fuel-cybercrime-scams/

6. J-magic恶意软件：针对瞻博网络设备的“魔包”攻击趋势分析

1月23日，J-magic是一种针对瞻博网络边缘设备的恶意软件，主要攻击半导体、能源、制造业和IT领域的组织。该恶意软件是cd00r后门的定制变体，通过监视TCP流量寻找具有特定特征的“魔术数据包”来启动反向shell。据Lumen威胁研究和运营部门Black Lotus Labs的研究人员称，J-magic活动在2023年至2024年期间活跃，旨在实现低检测度和恒久访问。约莫一半的目标设备配置为组织的VPN网关。J-magic会检查种种字段和偏移量，如果数据包满足特定条件之一，就会生成反向shell，但发送者需先解决RSA挑战才气访问受熏染设备。尽管J-magic与同样基于cd00r后门的SeaSpy恶意软件在技术上相似，但存在一些差异，使得难以建立联系。Black Lotus Labs的研究人员认为，J-magic攻击活动表明，针对企业级路由器的恶意软件使用正成为一种趋势，因为此类设备很少进行电源循环，恶意软件驻留在内存中，且通常缺乏基于主机的监控工具。

https://www.bleepingcomputer.com/news/security/stealthy-magic-packet-malware-targets-juniper-vpn-gateways/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究