安全团队发现新型恶意软件Styx Stealer，可利用Windows漏洞盗取加密货币

金色财经报道，据Apple Insider 2月23日发布的一份报告，在macOS上发现了一种新的加密劫持恶意软件。该恶意软件似乎是通过盗版的电影剪辑包Final Cut Pro传播的。 苹果生态系统的网络安全公司Jamf Threat Labs首先发现了这种恶意软件。过去几个月，它一直在追踪最近重新出现的恶意软件变种。2018年，苹果的操作系统也遭遇了类似的加密劫持恶意软件。 安装后，该恶意软件会使用受感染的Mac秘密进行加密货币挖矿，还可以逃避检测。Apple Mac有一个“活动监视器”，用户可以打开它查看正在运行的程序。当此工具被激活以避免检测时，恶意软件会停止运行。（BeInCrypto）

金色财经报道，苹果 Mac 用户近日收到了关于名为“Cthulhu Stealer”的新型恶意软件的警告，这种恶意软件可以窃取用户的个人信息，并以加密钱包为目标。 数日前，网络安全公司 Cado Security 表示：“多年来，人们普遍认为 macOS 系统对恶意软件免疫。虽然 MacOS 以安全著称，但相关恶意软件近年来呈上升趋势。” 据悉，“Cthulhu Stealer”以苹果磁盘映像（DMG）的形式出现，并伪装成 CleanMyMac 和 Adobe GenP 等合法软件。当用户打开该文件时，用于运行 AppleScript 和 JavaScript 的 macOS 命令行工具会提示用户输入密码。 一旦输入，将出现第二个提示，输入以太坊钱包 MetaMask 的密码。其还针对其他流行的加密钱包，包括来自 Coinbase、Wasabi、Electrum、Atomic、币安和 Blockchain Wallet 的钱包。 该恶意软件将窃取的数据存储在文本文件中，然后对受害者的系统进行指纹识别，以收集 IP 地址和操作系统版本等数据。 “Cthulhu Stealer 的主要功能是从包括游戏账户在内的各种商店窃取凭证和加密货币钱包，”Cado 研究员 Tara Gould 解释说。然而，据称该恶意软件背后的诈骗者已不再活跃。（Cointelegraph）

据慢雾区情报，8月29日，某流行企业财务软件面积中勒索病毒，该病毒会向受害者索要 0.2 BTC（约人民币 2.8 万）的赎金，勒索地址为 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v。 慢雾 MistTrack 对勒索地址进行分析发现： 1/截止目前，共有 2 个用户支付了赎金 0.2 BTC 和 0.1 BTC，分别从 Binance 和 Gate.io 提款支付赎金。 2/收到勒索资金后，黑客当天就开始转移资金，其中 0.2 BTC 被转移，其中部分资金转移到 Binance、恶意地址 3CCV3 和疑似恶意地址 37jAA；截止目前，约剩余 0.2 BTC 还分散在不同的地址，没有进一步转移。 3/通过情报关联我们发现，恶意地址 3CCV3 同样接收了来自 Glupteba 僵尸网络恶意地址 bc1qhj 的资金；根据 bitcoinwhoswho 报告，恶意地址 3CCV3 为项目名为 BTC Global 的庞氏骗局地址；疑似恶意地址 37jAA 同样与用户被钓鱼事件有关。

金色财经报道，Beosin 发现Circom 验证库漏洞CVE-2023-33252，提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器，该团队同时开发了SnarkJS库用于实现证明系统，包括：可信设置、零知识证明的生成和验证等，支持Groth16、PLONK、FFLONK算法。 此前，Beosin 安全研究人员在 SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞，当该库在验证证明时未对参数进行完整的合法性检查，使得攻击者可以伪造出多个证明通过校验，实现双花攻击。Beosin在提了这个漏洞以后，第一时间联系项目方并协助修复，目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本！以确保安全性。 同时针对此漏洞，Beosin安全团队提醒zk项目方，在进行proof验证时，应充分考虑算法设计在实际实现时，由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台（Common Vulnerabilities and Exposures）并获取认可。

金色财经报道，根据Elastic Security Labs的一份报告，黑客组织Lazarus Group使用一种新型恶意软件试图攻击加密货币交易所。Elastic 将新恶意软件命名为“KANDYKORN”，并将其加载到内存中的加载程序命名为“SUGARLOAD”，因为加载程序文件的名称中有一个新颖的“.sld”扩展名。Elastic没有透露目标交易所的名称。据Elastic称，攻击始于Lazarus成员冒充区块链工程师，并针对来自未具名加密交易所的工程师。

金色财经报道，CoinsPaid Media在社交媒体上称，朝鲜黑客组织Lazarus Group正在使用一种新型恶意软件，即一种名为 LightlessCan 的先前未记录的后门，作为虚假招聘骗局的一部分。ESET研究人员警告说，它比以前使用的BlindingCan更难检测。