部署10万+恶意Android应用，竟为窃取你的OTP验证码；创建3000假GitHub账户获利10万美元；OneDrive遭遇新型网络钓鱼，恶意PowerShell脚本横行 | 安全周报 0802

新闻1：惊爆！超百万域名遭“坐鸭式”黑客攻击，你的网站还安全吗？

超过一百万个域名容易因所谓的“Sitting Ducks”攻击而被黑客接管。Infoblox和Eclypsium联合发布的一项分析显示，十多个与俄罗斯有联系的网络犯罪分子正在利用这种强大的攻击媒介，它利用域名系统（DNS）中的漏洞来秘密劫持域名。

研究人员说：“在‘Sitting Ducks’攻击中，行为者在未访问DNS提供商或注册商的真实所有者帐户的情况下，劫持权威DNS服务或网络托管提供商处当前注册的域名。”

“与其他广为人知的域名劫持攻击媒介（如悬空的CNAME）相比，‘坐鸭式’更容易执行、更有可能成功，而且更难检测。”

关键词：DNS、域名劫持、坐鸭式攻击、黑客、权威DNS服务、网络托管提供商

https://thehackernews.com/2024/08/over-1-million-domains-at-risk-of.html

新闻2：““Stargazer Goblin”黑客组织疯狂创建3000假GitHub账户，已非法获利10万美元！

被称为“Stargazer Goblin”的黑客组织已建立了一个由虚假的GitHub账户组成的网络，以推动一项“分发即服务”(DaaS)，该服务在过去一年中传播了各种窃取信息的恶意软件，并为他们带来了10万美元的非法利润。

据Check Point公司称，该网络包括3000多个基于云的代码托管平台上的账户，跨越数千个用于共享恶意链接或恶意软件的存储库，该公司将其称为“Stargazers Ghost Network.”。

使用这种方法传播的一些恶意软件家族包括Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer和RedLine，这些虚假账户还参与了对恶意存储库的加星、分叉、观看和订阅，使它们看起来具有合法性。

据信，该网络自2022年8月以来一直以某种初步形式活跃，尽管直到2023年7月初才在暗网中发现DaaS的广告。

安全研究员Antonis Terefos在上周发布的一份分析中解释说：“黑客们现在运营着一个由‘幽灵’账户组成的网络，这些账户通过其存储库中的恶意链接和作为发布的加密存档分发恶意软件。”

“这个网络不仅分发恶意软件，还提供各种其他活动，使这些‘幽灵’账户看起来像是普通用户，为他们的行为和相关存储库提供了虚假的合法性。”

为了在他们的恶意有效载荷在平台上被标记时，使他们的基础设施更能抵御GitHub的拆除努力，不同类别的GitHub账户负责该计划的不同方面。

关键词：GitHub、恶意软件、信息窃取、分发即服务（DaaS）、虚假账户、存储库、加星、分叉、观看、订阅

https://thehackernews.com/2024/07/stargazer-goblin-creates-3000-fake.html

新闻3：OneDrive用户遭遇新型网络钓鱼，恶意PowerShell脚本横行！

网络安全研究人员警告称，一场新的网络钓鱼活动正针对Microsoft OneDrive用户，目的是执行恶意的PowerShell脚本。

Trellix安全研究员拉斐尔·佩纳（Rafael Pena）在周一的分析中表示：“这场活动严重依赖社交工程策略来欺骗用户执行PowerShell脚本，从而破坏他们的系统。”

网络安全公司正在追踪这场名为“OneDrive Pastejacking”的“狡猾”网络钓鱼和下载器活动。

此次攻击通过一封包含HTML文件的电子邮件展开，当打开该文件时，会显示一个模拟OneDrive页面的图像，并包含一条错误消息：“无法连接到’OneDrive’云服务。要修复此错误，您需要手动更新DNS缓存。”

该消息还提供了两个选项，即“如何修复”和“详细信息”，后者将电子邮件收件人重定向到Microsoft Learn上关于DNS故障排除的合法页面。

但是，点击“如何修复”会提示用户按照一系列步骤操作，其中包括按“Windows键+ X”打开快速链接菜单，启动PowerShell终端，并粘贴一个Base64编码的命令来解决问题。

关键词：网络钓鱼、PowerShell脚本、Microsoft OneDrive、社交工程、DNS缓存、Base64编码

https://thehackernews.com/2024/07/onedrive-phishing-scam-tricks-users.html

新闻4：部署10万+恶意Android应用，竟为窃取你的OTP验证码！

自 2022 年 2 月以来，人们发现了一项新的恶意活动，该活动利用恶意 Android 应用程序窃取用户的短信，作为大规模活动的一部分。

这些恶意应用程序包含超过 107,000 个唯一样本，旨在拦截用于在线帐户验证的一次性密码 (OTP)，以实施身份欺诈。

移动安全公司 Zimperium 在与 The Hacker News 分享的一份报告中表示：“在这 107,000 个恶意软件样本中，超过 99,000 个应用程序是未知的，并且在通常可用的存储库中不可用。此恶意软件正在监视全球 600 多个品牌的一次性密码消息，其中一些品牌的用户数以亿计。”

该活动的受害者已在 113 个国家/地区被发现，其中印度和俄罗斯位居榜首，其次是巴西、墨西哥、美国、乌克兰、西班牙和土耳其。

关键词：恶意 Android 应用程序、OTP（一次性密码）、身份欺诈、拦截、短信

https://thehackernews.com/2024/07/cybercriminals-deploy-100k-malware.html

新闻5：朝鲜黑客再度出手，全新恶意软件跨平台攻击Windows、Linux和macOS开发者！

在一场针对软件开发人员的持续恶意软件活动中，背后的黑客展示了新的恶意软件和战术，将其重点扩大到包括Windows、Linux和macOS系统。

这个被称为DEV#POPPER的活动集群，与朝鲜有关，被发现专门挑选了韩国、北美、欧洲和中东的受害者。

“这种攻击形式是一种高级社交工程形式，旨在操纵个人泄露机密信息或执行他们通常不会执行的操作，”Securonix的研究人员Den Iuzvyk和Tim Peck在与The Hacker News分享的一份新报告中说。

关键词：恶意软件、Windows、Linux、macOS、软件开发者、社交工程

https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html