安全研究人员发现了一种针对 Apple macOS 系统的新信息窃取程序,该程序旨在在受感染的机器上建立持久性并作为间谍软件运行。这种恶意软件被 Kandji 称为 Cuckoo,是一种通用 Mach-O 二进制文件,与基于 Intel 和 Arm 的 Mac 兼容。 尽管有证据表明该二进制文件托管在 dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和 tunefab[.]com 等网站上,这些网站声称提供各种版本的应用程序,用于将流媒体服务中的音乐翻录为 MP3,但确切的分发方法仍不清楚。 从这些网站下载磁盘映像文件后,会启动 bash shell 来收集主机信息并确认受感染的机器不在亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯或乌克兰,只有此检查成功,恶意二进制文件才会执行。...
阅读更多
浏览时可能会遇到声称有严重病毒感染的令人震惊的弹出广告,这通常是误导性网站的标志。这些令人震惊的警报实际上是旨在欺骗毫无戒心的互联网用户的阴谋。一个突出的例子是 Recilopang.xyz 弹出式骗局,它一直用伪装成知名防病毒品牌的虚假安全警报诱捕受害者。这种精心设计的骗局利用社会工程策略和恶意链接来利用人们对恶意软件的恐惧。 在这篇综合性文章中,我们深入探讨了 Recilopang.xyz... 阅读更多
在分析 Bc20 应用程序后,我们发现它属于 Pirrit 广告软件家族。安装后,Bc20 会显示侵入性广告,并可能悄悄收集各种类型的用户数据。因此,受影响的用户应从计算机中删除 Bc20,并避免将来再安装类似的应用程序。 当 Bc20 在设备上处于活动状态时,用户可能会遇到干扰性横幅、优惠券、弹出广告和其他形式的广告,这些广告可能会遮挡网站内容。Bc20 的存在还会降低设备性能,并通过其广告将用户暴露给不可信的网站。... 阅读更多
EnigmaWave 是一种勒索软件,其功能是加密数据,使其无法访问,然后要求支付解密费用。 勒索软件程序通过附加攻击者的电子邮件地址、唯一的受害者 ID 和“.EnigmaWave”扩展名来更改加密文件的文件名。 例如,名为“1.jpg”的文件在加密后将显示为“1.jpg.Enigmawave@zohomail.com.KXRP0XGHXIJA.EnigmaWave”。此外,EnigmaWave... 阅读更多
在分析了 token-usdt.com 网站后,我们发现这是一个仿造 tether.to 的诈骗网站,目的是欺骗访问者相信他们可以参与空投以获得免费的加密货币。这个虚假页面的主要目的是从毫无戒心的受害者那里窃取加密货币资产。 Token-usdt.com 伪装成官方 USDT NFT 空投平台,声称拥有此次空投中 USDT Mysterybox NFT 的用户可以将其兑换为... 阅读更多
Hotsearch.io 是一个通过 HotSearch 浏览器扩展程序访问的假冒搜索引擎,其功能相当于浏览器劫持程序。此扩展程序会更改浏览器设置,以触发重定向到 hotsearch.io 网站。 我们的调查显示,HotSearch 是通过从 Torrenting 网站获取的欺骗性安装设置安装在我们的测试机器上的。值得注意的是,此类安装程序通常会捆绑多个不需要的或有害的软件程序。 浏览器劫持者通常会将推广的网站配置为 Web... 阅读更多
Awayurl.net 是一个虚假搜索引擎的域名,该域名由 TraceUrl 恶意浏览器扩展程序推广,我们在调查欺骗性网站时发现了该扩展程序。尽管 TraceUrl 声称会将用户重定向到实际网站,但其实际操作不仅涉及生成重定向,还涉及收集敏感的用户信息。 TraceUrl 积极推广 awayurl.net 假搜索引擎,这种行为通常与浏览器劫持者有关。然而,与修改浏览器设置以强制重定向的典型劫持者不同,TraceUrl... 阅读更多
在审查 claim-hyperliquid.xyz 网站时,我们发现该网站宣传加密货币空投;然而,进一步调查发现,claim-hyperliquid.xyz 是一个冒充合法加密货币交易平台 (hyperliquid.xyz) 的欺诈页面。这个欺骗性网站旨在欺骗受害者并窃取他们的加密货币。 Hyperliquid (hyperliquid.xyz) 是一家合法的加密货币交易所。不幸的是,诈骗者经常创建类似... 阅读更多
在检查新文件样本提交时,我们发现了 DataUpdate 应用程序。经过分析,我们发现该应用程序是广告软件,具体属于 AdLoad 恶意软件家族。 广告软件旨在通过广告为开发者创造收入,通常是在网站或其他界面上显示第三方图形内容(例如叠加层、弹出窗口、优惠券、调查)。这些广告可以宣传在线诈骗、不可靠的软件甚至恶意软件。点击某些广告可能会触发启动隐蔽下载或安装的脚本。... 阅读更多
我们的研究团队在调查欺骗性网站时发现了这个假冒的 Google Sheets 浏览器扩展程序。此恶意软件伪装成基于 Web 的 Google Docs Editors 套件中的电子表格应用程序。需要澄清的是,此扩展程序与 Google Sheets、Google Docs Editors 或 Google LLC 没有任何关联。... 阅读更多
经调查,我们发现一个声称提供 Valorant 电子游戏礼物的网站是欺诈网站。该骗局虚假承诺免费向用户提供一千个 Radianite 积分,是一种旨在获取 Valorant 帐户登录凭据的网络钓鱼计划。 需要强调的是,此骗局不会分发奖励或礼物,并且与 Valorant 或其开发商 Riot Games 无关。需要注意的是,此欺骗活动可能托管在 valorant-collect[.]com 以外的其他域名上。... 阅读更多
研究人员描述了一种名为 TunnelVision 的技术,该技术允许威胁行为者利用相同的本地网络来监控受害者的网络流量。这种绕过方法称为“解除隐身”,其标识符为 CVE-2024-3661,会影响使用 DHCP 客户端并支持 DHCP 选项 121 路由的操作系统。 从根本上讲,TunnelVision 涉及通过使用攻击者操纵的 DHCP 服务器通过 VPN 引导未加密的流量,以使用 DHCP 选项 121 在 VPN... 阅读更多
在审查“您的系统已被破解”电子邮件后,我们将其识别为宣传性勒索诈骗的垃圾邮件。这封欺骗性电子邮件谎称收件人的设备已被发件人入侵,发件人声称已录制了令人不安的视频片段。该电子邮件威胁说,除非支付赎金,否则会将此视频分发给收件人的联系人。... 阅读更多
© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.
Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82,
Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.
Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。
