特别关注

首个机器人电话黑客

Grandoreiro 木马重浮水面，全球 1500 多家组织遭殃

臭名昭著的黑客平台BreachForums再遭FBI重锤

安全资讯

首个机器人电话黑客

标签：人工智能，黑客攻击

美国联邦通信委员会 (FCC) 已将其首个官方指定的机器人电话黑客命名为“Royal Tiger”，此举旨在帮助国际合作伙伴和执法部门更轻松地追踪重复机器人电话活动背后的个人和实体。

Royal Tiger 是一群来自印度、英国、阿拉伯联合酋长国和美国的不良分子，他们使用欺骗性电话号码冒充政府机构、银行和公用事业公司拨打自动电话，并拨打虚假信用卡利率。减价优惠。据称，由 Jashvantlal Anand 王子及其同伙 Kaushal Bhavsar 领导的 Royal Tiger 集团正在美国经营多个与非法电话有关的实体，包括 VoIP 公司 Illum T communications Limited (Illum)、PZ T communications LLC (PZ Telecom) 和 One眼睛有限责任公司（一只眼睛）。

他们将美国境内的自动骚扰电话转接到总部位于德克萨斯州的 Great Choice Telecom 公司，此前该公司曾因拨打非法欺骗性自动骚扰电话而被联邦通信委员会 (FCC) 和联邦贸易委员会 (FTC) 处以 2.25 亿美元的没收令和勒令停止函。

“无论垃圾电话最初来自何处，旨在欺骗或伤害消费者的垃圾电话都需要终止。我们将继续寻找新的方法来打击这些非法诈骗，” FCC 主席杰西卡·罗森沃塞尔 (Jessica Rosenworcel)表示。

“当我们发现屡犯者时，我们将确保继续使用我们所拥有的一切工具来阻止这些垃圾到达消费者并对其造成伤害。”

这个新的 FCC robocall 不良行为者分类系统被称为消费者通信信息服务威胁 (C-CIST) [ PDF ]，旨在帮助州、联邦和国际监管机构和执法实体识别和跟踪滥用电信的黑客基础设施，并对其采取适当行动。

FCC 表示，新的指定还使其能够利用其全部权力来阻止这些威胁组织进入美国电信领域并针对消费者。

虽然潜在的执法行动可能包括停止函、从 Robocall 缓解数据库中删除以及没收令，但 FCC 采取的最终行动将取决于当事人及其违法行为。

今天的行动以执法局的“春季大扫除”举措为基础，该举措于四月开始，针对虚假税收减免计划背后的机器人来电者增加了目标。

FCC在周一发布的公告中补充道：“执法部门、行业利益相关者和消费者应将 Royal Tiger 视为对通信信息服务的潜在威胁。”

“如果您怀疑与 Royal Tiger 有关的个人或实体违反了 1934 年通信法（修订版）或委员会的规则，请发送电子邮件至 CCIST@fcc.gov 通知 FCC。”

去年，美国联邦贸易委员会 (FTC) 收到 853,935 起冒名顶替诈骗的报告，报告损失总额近 27 亿美元。

冒名顶替诈骗也是 2023 年军事人员报告的最常见欺诈行为，造成总损失 1.78 亿美元。此外，联邦贸易委员会 (FTC) 于 2022 年指出，老年人因政府冒充诈骗而遭受重大损失，损失总额约为 1.86 亿美元。

信源：https://mp.weixin.qq.com/s/_DBq-GGDo4ZmGczs-IEbgQ

Grandoreiro 木马重浮水面，

全球 1500 多家组织遭殃

标签：恶意病毒

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。

IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。

值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。

同时，Grandoreiro  恶意软件自身也进行了重大改进。

安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。

在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。

自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。

值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。

特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。

研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可以利用电子邮件在受感染的受害者收件箱中传播，这很可能是导致从 Grandoreiro 中观察到大量垃圾邮件的原因。

信源：https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html

臭名昭著的黑客平台BreachForums再遭FBI重锤

标签：黑客论坛

据BleepingComputer消息，FBI于当地时间5月15日早上再度查封了臭名昭著的黑客论坛BreachForums，该论坛前身曾在2023年初的联合执法行动中被取缔。

BreachForums 曾是网络黑客用来共享被盗数据的知名数据泄露论坛，不久前欧洲刑警组织执法门户网站遭到攻击并被窃取数据后，该论坛就成为了这些数据的泄露渠道，而这也可能是它此次被查封的主要原因之一。

目前，网站首页已显示被FBI控制，执法人员已经没收了该网站的后端数据，同时对外公开征集该论坛更多犯罪活动信息。首页上还显示了该网站管理员Baphomet和ShinyHunters的两张个人头像，并在上面覆盖着监狱铁栅栏的标识。

如果FBI已经获得了黑客论坛的后端数据，他们将拥有论坛所有成员的电子邮件地址、IP 地址和私人消息记录，这些信息将有助于对其中任何成员进行执法调查。

此外，FBI还查获到一个与该论坛存在关联的Telegram频道，执法人员通过管理员Baphomet的帐户在频道内发布了通知信息，表明该管理员可能已被捕，个人设备正掌握在执法人员手中。

FBI利用管理员Baphomet的帐户在Telegram频道内发布的消息

臭名昭著的 BreachForums

BreachForums 是一系列黑客论坛的继任者，最早期是于2015年推出的RaidForums，并迅速成为分发被盗数据的最大论坛网站。在2022年初的联合执法行动中该论坛被查封，年仅21岁的创始人兼管理员迪奥戈·桑托斯·科埃略（Diogo Santos Coelho）被捕。

但在不久后，论坛活跃成员之一Pompompurin 创建了名为“BreachForums（又名Breached）”的新论坛，以填补 RaidForums 留下的空白。该网站迅速普及，并被成千上万的成员用来泄露和出售被盗数据。在其中一名成员泄露了涉及美国众议院议员和工作人员信息的健康保险机构 DC Health Link的数据后，该论坛于2023年3月被FBI查获，Pompompurin被捕。

而最新的BreachForums 则是由Baphomet接手，并与另一名臭名昭著的被盗数据卖家 ShinyHunters 合作，推出了一个新的BreachForums论坛。与它的前身一样，BreachForums也在黑客中迅速流行起来，泄露并出售过AT&T、23andMe、Hewlett Packard Enterprise、Home Depot、Dell、PandaBuy和The Post Millenial等知名企业的数据。

信源：FBI seize BreachForums hacking forum used to leak stolen data

 

原文始发于微信公众号（网络盾牌）：0520-首个机器人电话黑客-Grandoreiro木马殃及全球1500多家组织-黑客平台BreachForums遭FBI重锤