安全研究人员发现，在大规模网络钓鱼活动中使用反向隧道服务以及 URL 缩短器的情况有所增加，这使得恶意活动更难以阻止。

这种做法不同于向托管服务提供商注册域名的更常见方法，后者可能会回应投诉并关闭网络钓鱼网站。

借助反向隧道，威胁参与者可以在自己的计算机上本地托管网络钓鱼页面，并通过外部服务路由连接。使用 URL 缩短服务，他们可以随时生成新链接以绕过检测。

许多网络钓鱼链接会在 24 小时内刷新，这使得跟踪和删除域成为一项更具挑战性的任务。

服务滥用
数字风险保护公司 CloudSEK 观察到结合反向隧道和 URL 缩短服务的网络钓鱼活动的数量有所增加。

在该公司与 BleepingComputer 分享的一份报告中，研究人员表示，他们发现有 500 多个网站以这种方式托管和分发。

CloudSEK 在他们的研究中发现最广泛滥用的反向隧道服务是 Ngrok、LocalhostRun 和 Cloudflare 的 Argo。他们还发现 Bit.ly、is.gd 和 cutt.ly URL 缩短服务越来越普遍。

反向隧道服务通过处理与托管它的本地服务器的所有连接来屏蔽网络钓鱼站点。这样，任何传入连接都由隧道服务解析并转发到本地机器。

网络钓鱼者的作案手法 (CloudSEK)
与这些网络钓鱼站点交互的受害者最终会将其敏感数据直接存储在攻击者的计算机上。

CloudSEK 说，通过使用 URL 缩短器，攻击者可以掩盖 URL 的名称，该名称通常是一串随机字符。因此，会引起怀疑的域名隐藏在短 URL 中。

根据 CloudSEK 的说法，攻击者正在通过流行的通信渠道（如 WhatsApp、Telegram、电子邮件、文本或虚假社交媒体页面）分发这些链接。

值得注意的是，滥用这些服务并不是什么新鲜事。例如，Cyble 在 2021 年 2 月提出了滥用 Ngrok 的证据。但是，根据 CloudSEK 的调查结果，问题正在变得更糟。
检出病例
CloudSEK 检测到的滥用这些服务的网络钓鱼活动的一个例子是冒充印度国家银行提供的数字银行平台 YONO。

YONO 网络钓鱼站点托管在本地 (CloudSEK)
攻击者定义的 URL 隐藏在“cutt[.]ly/UdbpGhs”后面，并指向使用 Cloudflare 的 Argo 隧道服务的域“ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi”。

该网络钓鱼页面请求银行账户凭证、PAN 卡号、Aadhaar 唯一标识号和手机号码。

CloudSEK 没有分享该活动的有效性，但强调威胁参与者很少使用同一个域名超过 24 小时，尽管他们确实回收了网络钓鱼页面模板。

“即使 URL 被报告或阻止，威胁参与者也可以使用相同的模板轻松托管另一个页面” - CloudSEK

以这种方式收集的敏感信息可以在暗网上出售或被攻击者用来清空银行账户。如果数据来自公司，威胁者可能会使用它来发起勒索软件攻击或商业电子邮件泄露 (BEC) 欺诈。

为了防止此类威胁，用户应避免单击从未知或可疑来源收到的链接。在浏览器中手动输入银行的域名是防止暴露于虚假网站的好方法。

据报道，在 Yuga Lab 的 Bored Ape Yacht Club 和 Otherside Metaverse Discord 服务器遭到入侵以发布网络钓鱼诈骗后，黑客窃取了超过 257,000 美元的以太坊和 32 个 NFT。

今天早上早些时候， 据称 Yuga Labs 社区经理的 Discord 帐户被黑客入侵 ，以在公司的 Discord 服务器上发布网络钓鱼诈骗。

这种网络钓鱼骗局假装是对现有 BAYC、Mutant Ape Yacht Club (MAYC) 和 Otherside NFT 持有者的独家、有限赠品，其中包括一个网页链接，允许访问者铸造免费 NFT。
正如您在下面看到的那样，网络钓鱼诈骗增加了一种紧迫感，指出只有有限数量的 NFT 可供铸造，这可能促使访问者放弃谨慎并急于铸造免费赠品。

BAYC Discord 服务器上的网络钓鱼帖子
来源： OKHotshot
一旦用户访问该页面并试图铸造赠品，该页面可能会窃取链接钱包中持有的所有以太坊和 NFT。

据区块链网络安全公司 PeckShield 称，大约有 32 个 NFT 被盗，包括来自 Bored Ape Yacht Club、Otherdeed、Bored App Kennel Club 和 Mutant Ape Yacht Club 项目的 NFT。

通过网络钓鱼诈骗窃取的 NFT 清单
来源：PeckShieldAlert
用户还报告说，黑客在网络钓鱼攻击期间窃取了超过 145 个以太坊，价值约 250,000 美元。

今年 4 月，在 Yuga Lab 的 Instagram 帐户被黑客入侵以推广网络钓鱼诈骗后，发生了类似的网络钓鱼攻击，该诈骗使价值约 300 万美元的 NFT 被盗。

当时，Yuga Labs 宣布他们永远不会在 Instagram 上发布薄荷糖，用户应该只依赖来自他们的 Twitter 帐户和 Discord 服务器的帖子。

“我们也永远不会首先在 BAYC 或 Otherside Instagram 账户上宣布薄荷糖，” Bored Ape Yacht Club Twitter 账户上的一条推文写道。

“只能从我们的官方推特账户获取信息：@BoredApeYC、@yugalabs 和 @OthersideMeta。这些信息将在 BAYC Discord 的#announcement 频道上交叉发布。”

目前尚不清楚社区管理员的帐户是如何被盗用的，以及是否启用了双因素身份验证，这通常可以防止这些攻击。

ZZQIDC已联系 Yuga Labs 询问有关网络钓鱼攻击的问题，但目前尚未收到回复。

制药巨头诺华（Novartis）表示，在最近的工业间谍数据勒索团伙的网络攻击中，没有敏感数据受到损害。

Industrial Spy 是一个黑客组织，经营着一个敲诈勒索市场，他们出售从受害组织窃取的数据。

昨天，该黑客组织开始在其 Tor 勒索市场上以 50 万美元的价格出售据称从诺华公司窃取的数据
威胁参与者声称，这些数据与诺华公司的基于 RNA 和 DNA 的药物技术和测试有关，并且是“直接从制造厂的实验室环境中窃取的”。

在工业间谍勒索市场上出售的诺华数据
来源：ZZQIDC
出售的数据由 7.7 MB 的 PDF 文件组成，这些文件的时间戳均为 2/25/2022 04:26，可能是数据被盗的时候。

由于要出售的数据量很少，尚不清楚这是否是攻击者窃取的全部数据，或者他们是否还有更多数据可以在以后出售。

BleepingComputer 向诺华公司发送电子邮件确认攻击和数据被盗，并收到以下声明。

“诺华公司已经意识到这件事。我们已经彻底调查了它，我们可以确认没有敏感数据受到损害。我们非常重视数据隐私和安全，并针对此类威胁实施了行业标准措施，以确保安全我们的数据。” - 诺华。

诺华拒绝回答有关违规行为、发生时间以及威胁参与者如何访问其数据的任何进一步问题。

Industrial Spy 也已知 在攻击中使用勒索软件，但没有证据表明设备在诺华事件期间被加密。

尊敬的用户，感谢您的信任和使用我们的服务。

为确保服务质量，我们将通知您本次新加坡机房维护事项：

根据以下细节对新加坡数据中心的网络系统进行维护和升级：

开始时间：2022年5月24日凌晨 01:00（格林威治标准时间：+8）
结束时间：2022年5月24日凌晨 01:30（格林威治标准时间：+8）
服务中断：新加坡数据中心的网络在维护期间可能会中断5分钟
维护内容：改变二层连接，增加核心网带宽。
（注：以上时间为预估时间，实时维护可能会比预期的更早或更晚完成）。

为避免影响您的服务，快米云将在上述维护期间与用户密切监控和协调。

纽约州参议院通过了一项禁止开设新的碳动力矿场的法律。该倡议还启动了一项关于采矿场对环境影响的研究，于今年早些时候由州议会通过。参议院批准后，该法案被送交州长 Kathy Hochul 批准。

去年中国当局对加密货币挖矿实施严格限制后，大型矿场转移到其他国家，其中美国成为最具吸引力的地方之一。在纽约州，大部分能源是由水力发电产生的。此外，该州还有许多以化石燃料为燃料的废弃工厂，适合安置采矿设备。这一切很快使纽约成为比特币开采中心之一。

燃煤工业设施的恢复运营引起了当地居民和环保人士的强烈反对。他们担心由于比特币而重新运转的工厂会损害环境并破坏政府应对气候变化的努力。参议院批准的法案要求在两年内暂停使用特别耗能的工作量证明算法开设新的矿场。该算法是两种最大的加密货币比特币和以太坊的基础。

使用恶意软件执行加密和剪贴板黑客操作的工作人员已经盗取了至少 170 万美元的被盗加密货币。

据赛门铁克威胁情报团队的研究人员称，这种名为 Trojan.Clipminer 的恶意软件利用受感染系统的计算能力来挖掘加密货币，并在剪贴板文本中识别加密钱包地址并将其替换为重定向交易。

赛门铁克研究人员本周在一篇博文中写道，Windows 恶意软件的第一批样本出现在 2021 年 1 月，并在下个月开始加速传播。他们还观察到，Clipminer 和 KryptoCibule 之间在设计上有一些相似之处——另一种加密木马，在 Clipminer 出现前几个月，由 ESET 分析师检测并编写。

“虽然我们无法确认 Clipminer 和 KryptoCube 是否是一回事，但它们的设计相似性是惊人的，”赛门铁克威胁猎手写道。“有可能在 ESET 的博客曝光之后，KryptoCibule 参与者可能已经改变并启动了 Clipminer。另一种可能性是，不同的威胁参与者可能从 KryptoCibule 中获得灵感并按照其形象创建了 Clipminer。”

无论哪种方式，“有一点很清楚，”研究人员写道，“Clipminer 已被证明是一项成功的努力，为其运营商赢得了可观的收入。”

该恶意软件似乎通过破解或盗版软件的木马下载传播。Clipminer 将 WinRAR 压缩文件放入主机，并以动态链接库 (DLL) 的形式自动提取和删除下载器。一旦执行，它会确保如果它被中断，它将重新启动。然后它会创建一个注册表值并重命名自己，将其放入 Windows 临时文件中。

恶意软件从那里收集系统的详细信息，并通过 Tor 网络连接回命令和控制服务器 (C2)。该恶意软件还创建计划任务以确保受感染系统的持久性和两个包含从主机复制的文件的新目录，以降低恶意文件脱颖而出并混淆其存在的可能性。

还会创建一个空的注册表项，以确保同一主机不会再次受到感染。

研究人员写道：“在每次剪贴板更新时，它都会扫描剪贴板内容以查找钱包地址，识别至少十几种不同加密货币使用的地址格式。” “识别的地址然后被攻击者控制的钱包地址替换。对于大多数地址格式，攻击者提供多个替换钱包地址可供选择。”

Clipminer 选择与被替换地址的前缀匹配的地址，从而使用户不太可能注意到任何事情，而他们更有可能继续进行交易。

研究人员写道，该恶意软件还可以监控键盘和鼠标活动以确定系统是否正在使用，还可以监控正在运行的进程，检查分析人员和故障排除工具。如果主机系统和一些故障排除工具似乎没有被使用，恶意软件将启动 XMRig 加密货币矿工。研究人员观察到，有迹象表明，不良行为者过去曾使用过其他矿工，并且当系统上有专用 GPU 可用时，很可能使用了不同的矿工。

该恶意软件总共拥有 4,375 个由攻击者控制的唯一钱包地址。其中，为三种格式的比特币地址预留了 3,677 个地址。赛门铁克研究人员查看了比特币和以太坊钱包地址，发现当时他们持有大约 34.3 个比特币和 129.9 个以太坊。

与此同时，一些资金显然已被发送到加密货币不倒翁——混合服务旨在使追踪资金变得困难。

他们写道：“这些服务将潜在可识别的资金与其他资金混合在一起，从而掩盖了追溯到资金原始来源的踪迹。” “如果我们将转移到这些服务的资金包括在内，恶意软件运营商可能仅从剪贴板劫持中就可能赚取至少 170 万美元。”

数据安全供应商 Theon Technology 的首席执行官 Scott Bledsoe 告诉The Register，他对坏人赚到的钱并不感到惊讶。

“我发现如果将机器人交付给足够多的主机，他们将获得数百万美元是完全可行的，”Bledsoe 说。“这是不同的，因为他们基本上是在向计算机提供标准化的挖掘软件并在他们不知情的情况下运行它。”

他补充说，该系统“旨在以这种方式工作，假设矿工知道他们的机器正在运行该软件。这在过去十年中已经发生过多次。”

Evil Corp 网络犯罪集团现已转而在目标网络上部署 LockBit 勒索软件，以逃避美国财政部外国资产控制办公室 (OFAC) 实施的制裁。

Evil Corp （又名 INDRIK SPIDER 或 Dridex 帮派）自 2007 年开始活跃， 以推动 Dridex 恶意软件并随后转向勒索软件“业务”而闻名。

该团伙从 Locky 勒索软件开始，然后在 2019 年之前部署了他们自己的勒索软件 BitPaymer。

由于美国于 2019 年 12 月制裁他们使用 Dridex 造成超过 1 亿美元的经济损失，该组织于 2020 年 6 月转而安装其新的 WastedLocker 勒索软件 。

从 2021 年 3 月起，Evil Corp 转移到了另一种称为 Hades 勒索软件的变种，它是 WastedLocker 的 64 位变体，升级了额外的代码混淆和较小的功能更改。

从那时起，威胁参与者还 冒充 PayloadBin 黑客组织 ，并使用其他勒索软件，称为 Macaw Locker 和 Phoenix CryptoLocker。

LockBit 开关
正如 Mandiant 威胁分析师 最近观察到的那样，网络犯罪团伙现在再次尝试与已知工具保持距离，以允许受害者支付赎金而不会面临 与违反 OFAC 法规相关的风险，

Mandiant 跟踪为 UNC2165 的活动集群（之前部署了 Hades 勒索软件并链接到 Evil Corp）现在正在部署勒索软件作为 LockBit 附属机构。

“使用这种 RaaS 将允许 UNC2165 与其他附属公司融合，需要对攻击生命周期的早期阶段进行可见性，以正确归因于活动，与之前可能基于使用专有勒索软件的操作相比，”Mandiant 说.

“此外，HADES 的频繁代码更新和品牌重塑需要开发资源，UNC2165 将 LOCKBIT 的使用视为更具成本效益的选择是合理的。”

LockBit 勒索软件活动 (ID-Ransomware)
这种充当勒索软件即服务 (RaaS) 运营附属机构的新策略可能会让他们将勒索软件开发所需的时间投入到扩大该团伙的勒索软件部署运营中。

另一种理论是，切换到其他人的恶意工具可能会为 Evil Corp 提供足够的免费资源来从头开始开发新的勒索软件，从而使安全研究人员更难与该团伙以前的行动联系起来。

Mandiant 总结说：“我们希望这些行为者以及未来受到制裁的其他人采取此类措施来掩盖他们的身份，以确保这不是接收受害者付款的限制因素。”

十个最多产的 Android 手机银行木马针对 639 个金融应用程序，这些应用程序在 Google Play 商店的总下载量超过 10 亿次。

移动银行木马隐藏在生产力工具和游戏等看似良性的应用程序后面，并且通常潜入 Android 的官方应用程序商店 Google Play Store。

一旦他们感染了设备，他们就会将登录页面覆盖在合法的银行和金融应用程序之上，以窃取账户凭据、监控通知以获取 OTP，甚至通过滥用辅助功能服务以用户身份执行操作来进行设备上的金融欺诈。

根据 Zimperium 的一份报告，该报告 概述了 2021 年第一季度的 Android 生态系统，这些木马中的每一个都在市场上占据了独特的位置，因为它们针对的组织数量以及使它们与其他组织区分开来的功能。

这一发现非常令人担忧，因为根据 2021 年的调查，美国四分之三的受访者使用银行应用程序执行他们的日常银行活动，为这些木马提供了大量目标。

最有针对性
美国拥有 121 个目标应用程序，在目标最多的国家/地区中名列前茅。英国紧随其后，有 55 个应用程序，意大利有 43 个，土耳其有 34 个，澳大利亚有 33 个，法国有 31 个。

针对最多应用程序的木马是 Teabot，覆盖了 639 个跟踪的应用程序中的 410 个，而 Exobot 还针对一个相当大的 324 个应用程序池。

下载量最多的目标应用是 PhonePe，它在印度非常流行，从 Play 商店下载了 1 亿次。

流行的加密货币交易应用程序 Binance 的下载量为 5000 万次。Cash App 是一项覆盖美国和英国的移动支付服务，通过 Play 商店也有 5000 万次安装。这两者也是一些银行木马的目标，即使它们不提供传统的银行服务。

目标最广泛的应用程序是 BBVA，这是一个拥有数千万下载量的全球网上银行门户网站。十个最活跃的银行木马中有七个针对此应用程序。

最多产的木马
据 Zimperium 称，今年第一季度最多产的银行木马如下。

BianLian – 针对 Binance、BBVA 和一系列土耳其应用程序。2022 年 4 月发现的新版本木马具有绕过 photoTAN 的功能，这被认为是网上银行中一种强大的身份验证方法。
Cabassous – 目标是巴克莱、CommBank、哈利法克斯、劳埃斯和桑坦德银行。使用域生成算法 (DGA) 来逃避检测和删除。
Coper – 目标是 BBVA、Caixa Bank、CommBank 和 Santander。它主动监控设备电池优化“白名单”并对其进行修改以使其不受限制。
EventBot – 针对 Barclays、Intensa、BancoPosta 和其他各种意大利应用程序。它隐藏为 Microsoft Word 或 Adob​​e Flash，并且可以从远程源下载新的恶意软件模块。
Exobot – 针对 PayPal、Binance、Cash App、Barclays、BBVA 和 CaixaBank。它非常小巧轻便，因为它使用共享系统库并仅在需要时从 C2 获取覆盖。
FluBot – 针对 BBVA、Caixa、Santander 和其他各种西班牙应用程序。僵尸网络木马因其使用 SMS 和受感染设备的联系人列表进行快速传播而臭名昭著。
Medusa – 针对 BBVA、CaixaBank、Ziraat 和一系列土耳其银行应用程序。它可以通过滥用无障碍服务代表受害者充当普通用户来执行设备上的欺诈。
Sharkbot – 针对 Binance、BBVA 和 Coinbase。它具有丰富的检测规避和防删除功能，以及强大的 C2 通信加密。
Teabot – 针对 PhonePe、Binance、Barclays、Crypto.com、Postepay、美国银行、Capital One、Citi Mobile 和 Coinbase。它为每个应用程序提供了一个特殊的键盘记录器，并在用户启动它时加载它。
Xenomorph – 针对 BBVA 和各种基于欧盟的银行应用程序。它还可以用作释放器，以在受感染的设备上获取其他恶意软件。

从上面可以清楚地看出，十个最多产的银行木马中的每一个都保持着自己相对狭窄的目标范围，因此生态系统是平衡的，操作员可以选择与其目标受众相匹配的工具。

为了抵御所有这些威胁，请让您的设备保持最新状态，仅安装来自 Google Play 商店的应用程序，查看用户评论，访问开发者的网站，并将设备上安装的应用程序数量保持在最低限度。

微软已经发布了 Windows 10 版本 20H2、21H1 和 21H2 的可选累积更新预览，修复了由于 Direct3D 问题导致文件复制速度慢和应用程序崩溃的问题。

今天的 KB5014023 更新是微软计划于 2022 年 5 月每月更新的“C”更新的一部分，它允许 Windows 客户在 6 月 15 日补丁星期二的一般发布之前测试错误修复和性能改进。

与常规补丁星期二累积更新不同，这些预定的非安全预览更新是可选的。

要安装 KB5014023，您必须转到 “设置” > “ Windows 更新 ”并手动“检查更新”。因为它们是可选更新，所以在您单击“立即下载”按钮之前，Windows 不会安装它们。

您还可以从 Microsoft 更新目录手动下载和安装 KB5014023 累积更新预览。

修复应用程序崩溃、文件复制、内存泄漏问题
今天的可选更新修复了几个可能引发各种问题或导致某些 Windows 应用程序崩溃的问题。

此累积更新修复了影响特定 GPU 的已知问题，该问题可能“导致应用程序意外关闭或导致影响某些使用 Direct3D 9 的应用程序的间歇性问题”。

Microsoft 还修复了一个问题，该问题可能导致文件复制速度变慢，另外一个问题可能会阻止 BitLocker 在使用静默加密选项时进行加密。

KB5014023 解决了影响 24/7 全天候使用的 Windows 系统的其他已知问题，这些问题会导致内存泄漏并导致重复数据删除驱动程序耗尽所有物理内存并导致机器停止响应。

最后但同样重要的是，在应用今天的预览更新后，当用户在使用 Microsoft OneDrive 时注销时，Windows 系统将不再停止响应。

今天的 Windows 更新预览中的新增功能
安装 KB5014023 非安全累积更新预览版后，Windows 10 21H2 的内部版本号将更改为 19044.1741。

Windows 10 更新预览 包含更多质量改进和修复，包括：

解决了导致设备管理器中显示黄色感叹号的问题。当蓝牙远程设备通告高级音频分发配置文件 (A2DP) 源 (SRC) 时，会发生这种情况。
解决了阻止 Microsoft Excel 或 Microsoft Outlook 打开的罕见问题。
解决了使用“控制面板”中的“备份和还原”(Windows 7)应用程序创建恢复光盘（CD 或 DVD）时可能无法启动的已知问题 。安装 2022 年 1 月 11 日或之后发布的 Windows 更新后会出现此问题。

俄罗斯用户在连接流行的 Proton VPN 服务时遇到问题。与此同时，该公司本身否认拒绝访问俄罗斯客户，暗示国内互联网提供商引入了限制。

Proton VPN 由安全电子邮件 ProtonMail 的开发人员创建。该服务提供三个国家IP地址下的免费网络访问。公司总部位于日内瓦。开发人员声称他们不监视用户活动。

“本地 ISP 和当局很可能会干扰 VPN 连接，在这种情况下，我们将无法解决此类问题。一些服务器可能会继续工作。我们继续试图绕过锁，”消息说。

根据一些报道，并非所有俄罗斯用户都失去了通过安全连接连接 Proton VPN 客户端的能力 - 服务的可用性可能因提供商而异。

自乌克兰事件开始以来，俄罗斯对 VPN的需求一直在增长，而不仅仅是那些希望继续使用在俄罗斯被禁止的服务的人。一些外国资源限制了俄罗斯用户对其服务器的访问，范围从娱乐门户到带有免费图像的资源，如Pixabay。

根据RBC向国家杜马信息政策委员会负责人 Alexander Khinshtein 的说法，用于绕过封锁的 VPN 服务在俄罗斯被封锁，但没有计划在立法层面限制此类服务的使用。到目前为止，还没有计划对国内用户使用 VPN 承担责任。

更新：

俄罗斯用户也报告了 NordVPN 的崩溃。据 Globalcheck 称，Rostelecom、MTS、MegaFon、Tele2、Beeline 和 Yota 不提供 nordvpn.com 网站。