请警惕 Office 破解器，黑客用于分发“全家桶”恶意软件

黑客篡改知名激活工具Office C2R Install投放木马病毒和挖矿软件

黑客篡改知名激活工具Office C2R Install投放木马病毒和挖矿软件 Office 2013-2024 C2R Install 是个比较知名的 Microsoft Office 系列软件安装和激活工具，支持快速下载 Office 各个版本并使用 KMS 等方式执行激活。激活工具向来是恶意软件的重灾区，毫无意外 Office C2R Install 也被黑客盯上，利用 Office C2R Install 的知名度发布篡改版本投放木马病毒。网络安全公司 AhnLab 日前就发现黑客分发带毒版的 Office C2R Install 用来安装木马病毒、挖矿软件和代理工具等。此次黑客选择的发布渠道也比较有趣，仅限于 Telegram 和 Mastodon 平台，这两个都是目前比较知名的社交网络平台，黑客诱骗一些不太懂的初级用户下载带毒版 Office C2R Install。值得注意的是带毒版的 Office C2R Install 需要连接谷歌云端硬盘或 GitHub 下载数据，下载的数据被证实为 PowerShell 命令，最终负责安装各类恶意软件。但由于网络连接问题国内用户无法连接谷歌云端硬盘以及连接 GitHub 不是很顺畅，因此此次国内用户被感染的情况应该是比较少的。黑客的目的也比较让人迷惑，AhnLab 分析后发现黑客通过 PowerShell 执行的命令会安装多种不同功能的恶意模块，包括远程木马、XMR 门罗币挖矿程序、反杀毒软件程序和代理程序等。其中远程木马具备多种功能，包括收集系统信息、命令执行各种文件 / 注册表 / 进程、使用键盘记录器记录用户的输入、可以远程调用摄像头进行监视、还可以通过 HVNC 和 RDP 监视屏幕操作等。按理说这类携带挖矿软件的恶意软件都是为了求财而不是执行太复杂的攻击，黑客安装的远程木马具有监视功能，所以我们无法理解这黑客的最终目标到底是什么。最后也提醒各位谨慎从网上下载各类破解器和激活工具，关于 Office 的激活工具有 Office Tool Plus 和 HEU KMS 等，这些软件有自己的发布渠道，Office C2R Install 网上能搜到的版本太多难以确定哪些是安全的。 ... PC版：手机版：

黑客工具包保护的软件有：

黑客工具包保护的软件有： NO.1 文件编辑–1.PEID查壳软件 2.Uedit32 32位编辑器 3.WinHex 16进制编辑器等…… NO.2 免杀辅助–1.MYCLL定位器 2.A~V Devil定位器 3.OC偏移量转换器等…… NO.3 破解辅助–1.keymake2.0 2.keymake1.73 3.Crack tool 等…… NO.4 学习资源–1.安全 2.汇编 3.免杀 4.破解 5.编程 6.系统二、壳NO.1 花指令–1.多款花指令添加器 2.木马彩衣 3.冰枫文件加密器等…… NO.2 保护壳类–1.Unknown Protect v1.1 2.PEProtector0.3 3.Punisher1.5 等…… NO.3 压缩壳类–1.Minkecn 2.NeoLiteCN 3.WinUpack0.39 等…… NO.4 脱壳程序–1.stripper 2.QUnpack 3.AspackDie 等……三、攻NO.1 漏洞攻击–1.Hdsi30 2.Domain3.5 3.流光Fluxay5Beta2 等……NO.2 漏洞利用–1.ShutDown 2.GetWebshell 3. FtpServer 等……NO.3 脚本攻击–1.ANI网马生成器（暗组版）2.RealPlayer网马 3.MS06014网马等……NO.4 密码破解–1.pcanywhere破解器 2.多款MD5破解器 3.多款*密码查看器等……NO.5 远程控制–1.HA~V_Rat_1.2_Private 2.TGA BAckdoor 3.0 3.Poison ivn2.20 等……NO.6 其他精品–1.Framework-2.7 2.SSS扫描器7.84版本 3.DDOS攻击软件包等……四、防NO.1 文件检测–1.HashCalc文件检查 2.Winmd5文件检查 3.FBFD捆绑检测等……NO.2 系统防御–1.360安全卫士 2.冰刃IceSword1.20 3.fint2005木马辅助查找器等……NO.3 杀毐升升–1.瑞星升级保姆 2.金山升细鲍灵 3.江民杀毐2007升级程序等…… 软件包内的东西我们只选最好用的版本，不求最新。等最新的稳定后我们自然会添加进去本工具包适用于：破解学习、免杀学习、汇编学习、网站安全检测、系统安全检测、软件逆向工程，密码爆破

一种新的恶意软件正在加密货币和NFT相关的服务器上传播。该恶意使用 Babadeda 加密技术来伪装自己，并在受感染的机器上

一种新的恶意软件正在加密货币和NFT相关的服务器上传播。该恶意软件使用 Babadeda 加密技术来伪装自己，并在受感染的机器上隐秘地植入恶意软件。攻击者已经催生了80多个钓鱼网站，这些网站看起来像是著名的加密货币项目和NFT的网站。这些网站向用户提供下载应用程序；那是一系列伪装成无害软件的远程访问木马。由于它是一个伪装成加密程序的恶意软件，因此很难检测到它：它能够绕过基于签名的防病毒解决方案。对于受害者来说，这使得感染的可能性很高而且很危险。据悉，该恶意软件安装程序已被用于多种最近发现的攻击，以提供信息窃取程序、RAT 甚至 LockBit 勒索软件。 Morphisec 公司的研究人员在他们的报告中提供了关于该活动的更多细节： #ThreatIntelligence #cryptocurrency

动视暴雪正在调查黑客通过恶意软件盗取玩家账号密码以及加密钱包

动视暴雪正在调查黑客通过恶意软件盗取玩家账号密码以及加密钱包 Zebleer 表示，他注意到黑客的目标主要是游戏玩家，或者更准确地来说是针对那些开挂的游戏玩家，当然 Zebleer 自称自己开发的外挂没有问题，一些游戏玩家通过其他渠道搜索并获得的外挂是恶意软件。这些恶意软件版外挂的主要目标是窃取数据，包括游戏玩家的账号和密码，如果玩家电脑上也安装了加密货币钱包之类的软件，那么黑客也会窃取加密钱包的数据。针对该问题 Zebleer 联系了动视暴雪官方提交了报告，他也注意到他的买家里也有玩家中招，这些玩家可能还下载安装过其他带有后门程序的外挂。一名无权接受媒体访问因此希望匿名的动视暴雪员工表示，公司已经在调查并且试图帮助玩家删除恶意软件，目前没有任何证据表明这是游戏漏洞或者服务器漏洞，也就是主要受影响的还是外挂玩家。不过动视暴雪官方对此有不同说法，动视暴雪否认正在尝试帮助删除恶意软件，该公司强调问题在于第三方软件供应商 (外挂) 而不是动视暴雪软件或平台。目前建议所有动视暴雪玩家都开启账号的 2FA 验证，这有助于提高安全性，至少黑客在异地登录时，你的 2FA 验证码会将其拦截。 ... PC版：手机版：

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击据网络安全公司 ESET 的研究人员称，这种名为 FontOnLake 的恶意软件似乎是精心设计的，虽然正在积极开发，但已经包括远程访问选项、凭证盗窃功能，并能够初始化代理服务器。 FontOnLake 样本于2020年5月首次出现在 VirusTotal 上，但与这些文件相连的命令和控制（C2）服务器被禁用，研究人员说这可能是由于上传的原因。研究人员指出，该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。 ESET认为，操作者对被抓住和他们的活动暴露 “过于谨慎”，因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外，该恶意软件的作者利用了C/C++和一些第三方库，如 Boost 和 Protobuf。 FontOnLake 是模块化的恶意软件，利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake，但该公司表示，在其已知的组件中，有被用来加载后门、rootkits和收集信息的木马应用程序。总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的，并创建了一个通往同一C2的桥梁，用于数据外流。此外，它们能够发出 “心跳” 命令，以保持这种连接的活性。 FontOnLake 总是与一个内核模式的 rootkit 一起，在受感染的 Linux 机器上保持持久性。据 Avast 称，该 rootkit 是基于开源的 Suterusu 项目。以下是ESET发布的技术白皮书，研究 FontOnLake。 #ThreatIntelligence #malware

最近，一名信息安全研究人员发现，在公共领域中，有600万份由 RedLine 恶意软件收集的黑客设备日志。显然，黑客们打算将这些