【一周安全资讯0222】《个人信息保护合规审计管理办法》发布，5月起施行；雅虎再曝数据泄露：60万邮箱账户暗网兜售

 WEEKLY NEWS

近日，一种名为“自骗”的新型攻击手段正在瞄准加密货币爱好者和金融交易者。这种攻击利用AI生成的深度伪造（Deepfake）视频和恶意脚本，标志着社交工程技术的一次危险升级。网络安全公司Gen Digital的研究人员发现，该攻击活动通过利用经过验证的YouTube频道、合成人物形象以及AI制作的恶意载荷，诱使受害者主动破坏自己的系统。

攻击手段：深度伪造视频结合恶意脚本

这种攻击在2024年第三季度激增了614%，它结合了尖端的深度伪造技术和心理定制的诱饵，引发了人们对生成式AI在网络犯罪中被武器化的高度关注。攻击通常从一个托管在已被劫持的YouTube频道上的深度伪造视频开始，该频道拥有11万订阅者。视频中出现一个名为“Thomas Harris”或“Thomas Roberts”的合成人物形象，通过高级的面部动画、语音合成和身体动作复制技术创建。

从深度伪造到PowerShell恶意载荷

攻击的核心在于其使用AI生成的脚本，旨在绕过用户的怀疑。受害者被引导打开Windows的运行对话框（Win+R），并执行一个PowerShell命令，从Pastefy[.]com或Obin[.]net等粘贴分享网站获取恶意脚本。

研究人员解密的一例代表性载荷显示，攻击者甚至使用ChatGPT优化了他们的代码：

该脚本连接到命令与控制（C&C）服务器（最近被追踪为developer-update[.]dev或developerbeta[.]dev），以部署Lumma Stealer或NetSupport远程访问工具。

Lumma Stealer会窃取加密货币钱包和浏览器凭证，而NetSupport则授予攻击者对其系统的完全控制权。取证分析揭示了关键组件的SHA-256哈希值，包括：

• a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意PowerShell脚本）
• 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer变种）

随着网络犯罪分子现在能够自动化人物创建和脚本优化，通过多种渠道验证数字指令已成为一项不可或缺的安全实践。

近日，埃隆·马斯克的政府效率部(DOGE)推出的网站被发现存在重大安全漏洞，允许未经授权的用户直接修改网站内容，引发了人们对DOGE安全实践的质疑。

DOGE网站于今年1月上线，旨在展示该部门削减政府开支的努力。然而数周以来，该网站基本处于闲置状态，只有三行文字和一个卡通标志。直到上周，网站才得到进一步开发。该网站从Cloudflare Pages站点获取数据，底层代码在那里部署。两名网页开发专家发现，doge.gov网站连接到一个可被第三方访问和修改的数据库。这使任何人都能进行未经授权的修改，并在正式网站上显示。该漏洞很快就被利用，有人在网站主页发布了讽刺性的信息。其中一条写着"这是一个.gov网站的笑话。"另一条则是"这些'专家'让他们的数据库暴露了。"这些信息在网站上停留了数小时。专家指出，该网站似乎是匆忙构建的，页面源代码中存在许多错误和暴露的敏感信息。

目前，DOGE团队已解决了网站问题，删除了有争议的信息。然而，此事引发了人们对该部门处理敏感数据和维护安全系统的能力的质疑。据报道，在被黑之前，DOGE网站曾公布过机密情报数据。

消息来源：GoUpSec

https://mp.weixin.qq.com/s/qwlYui7rnfg8goybl-6mpA