黑暗伙伴及其恶意活动
黑暗伙伴(Dark Partners)是一个与一系列假冒加密货币钱包和交易应用程序相关的黑客团伙。研究人员g0njxa揭示,该团伙正在进行大规模的数字资产盗窃。
他们运营多个网站,传播伪装成AI服务、VPN和加密货币软件的木马。其中包括假冒的TradingView、MetaTrader 5、Ledger、Exodus、Koinly、AAVE和Unusual Whales等应用程序。
持续的恶意软件活动通过假冒的AI和软件网站向Windows用户分发“PayDay Loader”,而向macOS用户传播“Poseidon Stealer”。
在最近的恶意软件分析和威胁狩猎活动中,研究人员发现该恶意软件会扫描受害者的设备,以查找已安装的钱包,比如Electrum、Coinomi、Exodus、Atomic Wallet、Wasabi、Ledger Live和MetaMask等。同时,黑客还会收集主机信息、凭据、私钥和Cookies,以备转售。
g0njxa认为,黑暗伙伴使用获得的代码签名证书来构建Windows恶意软件。
维塔利·科瓦廖夫与黑客组织
德国联邦刑事警察署(BKA)确认36岁的俄罗斯人维塔利·科瓦廖夫(Vitaly Kovalev)是Trickbot和Conti黑客组织的首领,并因组建犯罪组织而被通缉。
科瓦廖夫被认为目前藏匿于俄罗斯联邦。在2023年2月,他因与Trickbot和Conti的联系而被美国制裁,当时他被视为这些团体的高级成员。根据BKA的数据,Trickbot拥有超过100名成员,导致全球数十万台系统感染,造成数亿美元的经济损失。
恶意软件的传播与勒索活动
思科塔罗斯(Cisco Talos)的专家发现某些恶意软件通过合法的AI工具安装程序传播,包括CyberLock和Lucky_Gh0$t勒索病毒和Numero病毒。
CyberLock的运营者以全面获取机密商业文件、个人文件和数据库为由威胁受害者,索要50,000美元的Monero作为解密密钥,承诺将这笔款项用作人道主义援助发往多个国家。如果在三天内未收到付款,他们威胁将公开数据。
然而,专家在该勒索软件代码中未发现具备数据外泄功能的证据。Lucky_Gh0$t的运行方式类似,而Numero则通过重写窗口和按钮内容的数字序列,操控图形用户界面,使操作系统无法使用。
执法行动与网络安全
荷兰警方在美国执法部门的协助下关闭了AVCheck服务,该服务被网络罪犯用于测试其恶意软件对商业杀毒解决方案的有效性。调查人员还将该网站的管理员与加密货币服务Cryptor.biz和Crypt.guru联系起来。前者的域名已被查封,而后者也已下线。
这些加密服务帮助恶意软件运营商隐藏其数据,成为同一生态系统的一部分。同时,假冒客户的卧底特工也协助关闭了这些服务。
YouTube-Tools服务的隐私隐忧
近期上线的一项名为YouTube-Tools的新服务声称能够找到YouTube用户发布的所有评论,并利用AI创建一份概述,推测该用户的住址、语言能力、兴趣和政治观点。
该服务最初是为了研究《英雄联盟》的用户名而创建的,但随着其功能移至修改后的Mistral LLM,其能力得到了扩展。尽管开发者表示,这项工具旨在为执法机构服务,但注册后只需支付约每月20美元,任何人都可使用。专家警告,该工具可能对隐私构成严重威胁。
英国新网络指挥部的建立
英国国防部长约翰·希利(John Healey)披露了政府计划创建一个负责保护国家免受黑客攻击,并支持军事网络作战的网络指挥部。
该新结构将以10亿英镑(约13亿美元)的预算现代化军队单位使用AI技术的指导和协调系统,并将负责电子战,拦截敌方通信并干扰无人机。在过去两年中,英国当局估计遭受来自外国情报机构的90,000次网络攻击,主要来源于俄罗斯和中国。
