Cloudflare 表示，它本月阻止了另一次破纪录的基于 HTTPS 的分布式拒绝服务攻击，这次攻击比仅两个月前发生的上一次最大的 DDoS 攻击要大得多。

4 月，该公司表示，它缓解了HTTPS DDoS 攻击，该攻击达到了每秒 1530 万次请求 (rps) 的峰值。根据 Cloudflare 产品经理 Omer Yoachimik 的说法，上周洪水达到了 2600 万 rps 的峰值，目标是使用 Cloudflare 免费计划的公司的网站。

与 4 月份的攻击一样，最近的一次攻击不仅因其规模大小不同寻常，而且还因为它涉及使用垃圾 HT​​TPS 请求来淹没网站，阻止其为合法访问者提供服务，从而有效地从网络上掉下来。

也因为这场网络流量海啸源自云服务提供商，而不是住宅互联网服务提供商 (ISP)，这意味着网络犯罪分子需要劫持虚拟机来发动攻击，而不是更简单的物联网 (IoT) 设备和家庭网关, Yoachimik 在一篇博文中写道。

“HTTPS DDoS 攻击在所需计算资源方面的成本更高，因为建立安全 TLS 加密连接的成本更高，”他写道。“因此，攻击者发起攻击以及受害者缓解攻击的成本更高。过去我们已经看到通过（未加密的）HTTP 进行的非常大的攻击，但这种攻击之所以引人注目，是因为它需要大量资源。规模。”

最新的攻击来自一个小型但功能强大的僵尸网络，其中包含 5,067 个受感染设备，这些系统在峰值时平均每个生成约 5,200 rps。

Yoachimik 写道，相比之下，Cloudflare 正在跟踪一个包含超过 730,000 台设备的僵尸网络，这是一个更大的操作，但不能产生超过 100 万个 rps，即每台设备平均 1.3 rps。平均而言，创纪录的僵尸网络虽然小得多，但由于使用了虚拟机和服务器，其强度却提高了 4,000 倍。

“在不到 30 秒的时间内，这个僵尸网络从 121 个国家的 1,500 多个网络生成了超过 2.12 亿个 HTTPS 请求，”他写道。

超过 15% 的请求来自印度尼西亚，其次是美国、巴西、俄罗斯和印度。主要来源网络是法国的 OVH、印度尼西亚的 Telkomnet、美国的 jboss 和利比亚的 Ajeel。

今年第一季度，DDoS 洪水的数量猛增，很大程度上是由于与俄罗斯入侵乌克兰有关的攻击。网络安全机构卡巴斯基表示，这种类型的攻击同比增长了 46%。

Cloudflare 官员在 4 月份的报告中表示，第一季度应用层 DDoS 攻击激增（同比增长 164%），网络层攻击数量增幅较小（71%） . 也就是说，大容量 DDoS 攻击环比增长了 645%。

应用层拒绝服务攻击会破坏 Web 服务器和其他类型的网络软件，因为它们无法处理合法请求，因为它们会收到比其处理能力更多的请求。网络层攻击攻击堆栈较低，通常会破坏系统处理传入网络数据包的能力。

“大多数攻击都很小，例如网络破坏，”Yoachimik 写道。“然而，即使是小型攻击也会严重影响未受保护的互联网资产。另一方面，大型攻击的规模和频率正在增长——但仍然是短暂而迅速的。攻击者集中他们的僵尸网络的力量，试图通过一次快速的击倒来造成严重破坏——试图避免被发现。”

微软在过去一年中两次报告称，它缓解了历史上记录的最大 DDoS 攻击，最近一次发生在 2021 年 11 月，达到每秒 3.47 TB，针对 Azure 上的客户。

Yoahimik 写道，鉴于攻击的速度，减轻攻击的关键是自动化。

“DDoS 攻击可能是由人类发起的，但它们是由机器生成的，”他写道。“当人类能够对攻击做出反应时，它可能已经结束了。即使攻击速度很快，网络和应用程序故障事件也可能在攻击结束后很长一段时间内持续——损失您的收入和声誉。”

马萨诸塞州尼德姆市，2022 年 6 月 14 日——根据国际数据公司 ( IDC )全球季度工业打印机跟踪器的最新数据，2022 年第一季度（2022 年第一季度）工业打印机出货量同比下降 2.1% 。

“年初出货量开始相对疲软，” IDC 硬拷贝解决方案研究总监Tim Greene说。“市场正在与供应链挑战、战争和流行病作斗争，这些都导致了有效供需周期的不一致。”

202年第一季度全球工业板块亮点2

• 大幅面数字打印机出货量占工业打印机的大部分，与 2021 年第四季度相比，2022 年第一季度下降了不到 2%。

• 尽管高端市场有一些强劲的数字，但 22 年第一季度专用直接成衣 (DTG) 打印机出货量再次下降。使用水性直接成膜打印机替代专用 DTG 打印机的趋势仍在继续。

• 22 年第一季度，直接成型打印机出货量环比下降 12.5%。

• 数字标签和包装打印机出货量在 22 年第一季度环比下降 8.9%。

• 工业纺织品打印机的出货量是一个亮点，与 2021 年第四季度相比，全球增长了 4.6%。

区域分析

• 由于乌克兰战争，中欧市场的出货量下降了近 25%。许多工业打印机制造商已暂停在该地区的活动。

• 增长最强劲的是日本市场，出货量同比增长超过 20%。

• 本季度北美出货量增长 4.5%，而西欧出货量增长 3.5%。

• 由于该地区继续应对高水平的大流行，亚太地区下降了 5% 以上。
  
  

202年展望2

供应链挑战、持续的大流行和俄罗斯-乌克兰战争共同推动关键领域的工业打印机活动减少。贸易展览的恢复、可持续纺织品印花的推动以及零售业的重新开放仍在推动需求。

IDC 的全球季度工业打印机跟踪器提供了五个主要市场类别的总市场规模和供应商份额：大幅面、标签和包装、直接用于服装、工业纺织品和直接成型。除了单位、出货价值和平均售价 (ASP) 之外，跟踪器还按墨水类型、介质尺寸、硬件类别或主要应用在 9 个地理区域和 90 个国家/地区提供每个产品类别的市场结果。

微软已经发布了Windows 10 KB5014699和KB5014692版本21H2、21H1、20H2和1809版本的累积更新，修复安全漏洞，解决Bug。

此更新已针对 Windows 10 21H2、Windows 10 21H1 和 Windows 10 20H2 发布。遗憾的是，此更新不适用于已达到服务终止的 Windows 10 1909 或 Windows 10 2004。

今天发布的 Windows 10 累积更新完整列表：

Windows 10 版本 1507 — KB5014710（操作系统内部版本 10240.19325）
Windows 10 版本 1607 — KB5014702（操作系统内部版本 14393.5192）
Windows 10 版本 1703 — EOS （服务终止）
Windows 10 版本 1709 — EOS
Windows 10 版本 1803 — EOS
Windows 10 版本 1809 — KB5014692（操作系统内部版本 17763.3046）
Windows 10 版本 1903 — EOS
Windows 10 版本 1909 — EOS
Windows 10 版本 2004 — EOS
Windows 10 版本 20H2、21H1 和 21H2 — KB5014699（操作系统内部版本 19042.1766、19043.1766 和 19044.1766）
与每个星期二补丁一样，此 Windows 10 累积更新是强制性的，将在您的服务窗口期间由 Windows 更新自动安装。

但是，您可以通过转到 “设置”，单击“ Windows 更新” 并选择 “检查更新”来手动安装更新。'

Windows 10 中的新增功能 KB5014699
今天的更新将 Windows 10 21H2 内部版本号更改为 19044.1741。该更新附带了许多安全修复程序，包括 针对 Microsoft 文件服务器卷影复制代理服务跟踪为 CVE-2022-30154的问题的修复程序。

除了安全修复之外，Windows 10 的 6 月更新还修复了阻止 Microsoft Excel 或 Microsoft Outlook 打开的问题。

上次可选更新中突出显示的非安全修复列表包括：

解决了影响 IE 模式窗口框架的问题。
解决了阻止 Internet 快捷方式更新的问题。
解决了导致输入法编辑器 (IME) 在 IME 转换先前文本时输入字符时丢弃字符的问题。
解决了导致文件复制速度变慢的问题。
解决了影响某些 GPU 并可能导致应用意外关闭或导致影响某些使用 Direct3D 9 的应用的间歇性问题的已知问题。
据报道，Windows 10 应用程序由于兼容性问题而崩溃的错误现已完全解决。同样，已针对 Windows 11 发布了类似的修复程序。

ALPHV 勒索软件团伙，又名 BlackCat，通过创建一个专门的网站，允许受害者的客户和员工检查他们的数据是否在攻击中被盗，从而将敲诈勒索提升到了一个新的水平

当勒索软件团伙进行攻击时，他们会悄悄地窃取公司数据。在收获所有有价值的东西后，攻击者开始加密设备。

然后将被盗数据用于双重勒索计划，黑客要求支付赎金以提供解密器并阻止公开发布公司数据。
为了迫使受害者付费，勒索软件团伙创建了数据泄露站点，在那里他们缓慢地释放部分被盗数据或向客户和员工发送电子邮件，警告他们的信息已被盗。

Clop 勒索软件团伙向受害者的客户发送电子邮件
然而，这些勒索技术并不总是奏效，即使他们的公司、员工和客户数据有被泄露的风险，公司也只是决定不付款。

出于这个原因，勒索软件团伙不断发展他们的策略，以对受害者施加额外的压力。

将敲诈勒索提升到一个新的水平
今天，AlphV/BlackCat 勒索软件操作开始发布据称被盗的数据，他们声称这些数据是从俄勒冈州的一家酒店和水疗中心窃取的。

作为这次攻击的一部分，勒索软件团伙声称窃取了 1500 名员工的 112GB 数据，其中包括员工信息，例如社会安全号码。

然而，勒索软件团伙并没有仅仅在他们正常的 Tor 数据泄露网站上泄露数据，而是更进一步，创建了一个专门的网站，允许员工和客户检查他们的数据是否在酒店攻击期间被盗。

受害者搜索数据泄露网站
来源：ZZQIDC
使用该网站，员工、客户或任何人都可以查看有关酒店客人及其住宿的信息或 1,534 名员工的个人数据。

虽然客户数据仅包含姓名、到达日期和住宿费用，但员工数据包含极其敏感的信息，例如姓名、社会安全号码、出生日期、电话号码和电子邮件地址。

威胁参与者甚至为每位员工创建“数据包”，其中包含与该人在酒店的工作相关的文件。

由于该站点托管在透明网络（即公共互联网）上，因此它可以被搜索引擎索引，并且暴露的信息可能会被添加到搜索结果中，这可能会使受害者变得更糟。

创新还是浪费时间？
这个网站的目的很明确，就是吓唬员工和客人要求酒店从网上删除他们的数据，而这只能通过支付赎金来完成。

Emisosft 安全分析师 Brett Callow 发现了这种新的勒索策略并与ZZQIDC分享，他表示，虽然这种策略是创新的，但现在判断它是否会得到回报还为时过早。

“Alphv 毫无疑问希望这种策略会增加他们通过攻击获利的可能性。如果公司知道与客户和员工有关的信息将以这种方式公开，他们可能更倾向于支付需求以防止它被正在发生 - 并避免可能受到集体诉讼的打击，”卡洛在一次谈话中告诉ZZQIDC。

“虽然这是一种创新方法，但该战略是否会成功还有待观察——当然，这将决定它是否会变得更加普遍。”

AlphV 被认为是 对攻击 Colonial Pipeline 负责 的 DarkSide/BlackMatter团伙的更名，该团伙将这些黑客组织推向了媒体的关注范围，并引起了国际执法部门 和美国政府的充分关注。

这个勒索软件团伙一直被认为是顶级勒索软件操作之一。然而，他们也 以让他们陷入困境的混乱 和 疯狂的想法而闻名 。

使用个人员工数据包建立这个网站对于勒索软件团伙来说绝对是一项耗时的任务。我们将不得不等待，看看努力是否有回报。

勒索软件团伙现在瞄准了一个最近修补并积极利用的远程代码执行 (RCE) 漏洞，该漏洞影响 Atlassian Confluence Server 和数据中心实例，用于对企业网络的初始访问。

如果成功利用此 OGNL 注入漏洞 (CVE-2022-26134)，未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修补的服务器。

在野外报告了主动利用并且 Atlassian修补了该错误后不久，概念验证利用也被在线泄露，进一步降低了利用所需的技能水平。

这个安全漏洞的严重性和已经可用的漏洞并没有被忽视，多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。

勒索软件开始盘旋未打补丁的 Confluence 服务器
正如瑞士网络威胁情报公司 Prodaft 的研究人员发现的那样，AvosLocker 勒索软件附属公司已经加入了马车。

他们现在瞄准并侵入互联网暴露的 Confluence 服务器，但仍未打补丁，“以系统地大规模感染多个受害者”。

此目标由 AvosLocker 的命令和控制服务器的屏幕截图说明，其中威胁参与者创建了“融合”活动，如下所示。

AvosLocker Confluence 活动 (Prodaft)
“通过在各种网络上执行大规模扫描，AvosLocker 威胁参与者搜索用于运行 Atlassian Confluence 系统的易受攻击的机器，”Prodaft 告诉 BleepingComputer。

“AvosLocker 已经成功感染了来自全球不同地区的多个组织；包括但不限于美国、欧洲和澳大利亚。”

许多受害者还告诉 BleepingComputer，Cerber2021 勒索软件（也称为 CerberImposter）正在 积极瞄准和加密 未针对 CVE-2022-26134 打补丁的 Confluence 实例。

ID-Ransomware 创建者 Michael Gillespie 告诉 BleepingComputer，被识别为 CerberImposter 的提交内容包括加密的 Confluence 配置文件——这表明 Confluence 实例正在被加密。
CVE-2022-26134 POC 漏洞的发布恰逢成功的 Cerber 勒索软件攻击数量增加。

Cerber 勒索软件活动 (ID-Ransomware)
微软周五晚上还证实，他们已经看到 Confluence 服务器被利用来安装 Cerber2021。

Cerber此前曾于 2021 年 12 月使用 CVE-2021-26084 漏洞攻击全球范围内的Confluence 服务器，该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。

在野外被广泛利用
由于网络安全公司 Volexity 上周将 CVE-2022-26134 披露为一个被积极利用的零日漏洞，CISA 还命令联邦机构通过阻止其网络上 Confluence 服务器的所有互联网流量来缓解该漏洞。

Volexity 还透露，一些与中国有关的威胁行为者可能正在利用漏洞攻击易受攻击的服务器来部署 Web Shell。

在有关这一被积极利用的漏洞的信息发布一天后，Atlassian 发布了安全更新，并敦促其客户修补他们的安装以阻止持续的攻击。

“我们强烈建议 升级到 Confluence 的固定版本，因为 Confluence 的固定版本中包含其他几个安全修复程序，”Atlassian 说。

如果您不能立即升级您的 Confluence 服务器和数据中心实例，您可以应用一个临时解决方法，需要更新 Confluence 服务器上的一些 JAR 文件，如此处所述。

德国汉堡大学的研究人员进行了一项现场实验，捕获了数十万路人的 WiFi 连接探测请求，以确定在设备所有者没有意识到的情况下传输的数据类型。

WiFi 探测是一个标准过程，是智能手机和接入点（调制解调器/路由器）之间建立连接所需的双边通信的一部分。

默认情况下，出于可用性的原因，大多数智能手机一直在搜索可用的 WiFi 网络，并在受信任的情况下连接到它们。

许多商店已经使用 WiFi 探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址，因此被认为符合 GDPR。

研究人员决定分析这些探测器以查看它们可能包含的其他内容，在 23.2% 的情况下，他们发现请求广播了这些设备过去连接的网络的 SSID。

实验结果
该实验于 2021 年 11 月在德国市中心一个繁忙的步行区进行。该团队使用六个天线来捕获各种通道和频谱中的探针。

他们记录了三个小时内所有广播的 WiFi 连接问题，共捕获了 252,242 个探测请求，其中 46.4% 在 2.4GHz 频谱中，53.6% 在 5GHz 频谱中。

在短短三个小时内，研究人员从随机路人那里获得了 58,489 个 SSID，在许多情况下，其中包含 16 位或更多位的数字字符串，这些字符串可能是来自 FritzBox 或 Telekom 的流行德国家用路由器的“初始密码”。

研究人员在技术论文中解释说：“如果与密码一起，设备还正确或错误类型地广播了真实的 SSID，可以用来推断真实的 SSID，那么泄露 SSID 中的密码尤其重要 。 ”

“通过使用我们观察到的潜在凭据即时设置假接入点，还可以验证嗅探到的密码对应于也传输的 SSID 的假设。”

在捕获的 SSID 的其他子集中，研究人员发现了与商店 WiFi 网络、106 个不同名称、三个电子邮件地址和 92 个以前添加为可信网络的度假屋或住宿相对应的字符串。
在三个小时的录音过程中，通过反复爆发的探测，其中一些敏感的字符串被广播了数十次、数百次，在某些情况下甚至数千次。

来自同一设备的三个探针爆发（汉堡大学）
跟踪影响
撇开数据暴露和设置恶意热点和接受附近设备连接的场景不谈，这里的主要含义是持续跟踪。

这方面的关键方面是 MAC 地址随机化，它可以作为对跟踪尝试的防御。

尽管在 Android 和 iOS 中，让设备跟踪变得更加困难，但并非不可能，这已经取得了长足的进步。

较新的操作系统版本在探测请求中具有更多的随机性和更少的信息，但是当与信号强度、序列号、网络能力等数据集参数结合使用时，仍然可以对单个设备进行指纹识别。

下面概述了每个操作系统版本的隐私功能。请注意，市场份额百分比反映了 2021 年 11 月的数据。

每个操作系统版本上与 WiFi 探测相关的隐私功能（汉堡大学）
显然，操作系统版本越新，隐私保护功能越强，但更新版本的可用性并不意味着立即采用。

在现场实验时，Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中，由于 Apple 更严格的软件更新政策和长期支持，情况有所好转，但许多人仍在使用较旧的 iPhone 机型。

以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如，在 2014 年的一项研究中，46.7% 的记录探测请求包含 SSID，而在 2016 年进行的另外两项研究中，该百分比介于 29.9% 和 36.4% 之间。

如何保护您的隐私
智能手机用户可以做的第一件也是最简单的事情就是升级他们的操作系统并使用更新、更安全的版本，该版本具有更多的隐私保护。

其次，删除您不再使用或不再需要的 SSID 以及无论您走到哪里都不必要地广播的 SSID 将是一个好主意。

第三，Android 和 iOS 提供了一种快速禁用自动加入网络的方法，使热点攻击变得不可能。
最后，用户可以完全静默探测请求，这可以通过高级网络设置来完成。然而，这种方法有几个实际的缺点，例如连接建立速度较慢、无法发现隐藏网络以及更高的电池消耗。

Vice Society勒索软件组织声称对最近针对意大利巴勒莫市的网络攻击负责，该攻击已导致大规模服务中断。

袭击发生在上周五，所有依赖互联网的服务仍然无法使用，影响了130万人和许多访问该市的游客。

当局周一承认了事件的严重性， 并解释说必须使所有系统离线以控制损失，并警告说中断可能会持续几天。

其网络的关闭使得这次攻击看起来像是勒索软件攻击，而不是最近袭击 该国的DDoS攻击的一部分。

副社声称负责
昨天，Vice Society 声称他们是袭击巴勒莫的幕后黑手，他们在他们的暗网数据泄露网站上发布了一个条目，威胁说如果不支付赎金，他们将在周日之前公布所有被盗文件。

巴勒莫受害者添加到副协会洋葱网站
这意味着赎金支付的谈判还没有走到尽头，Vice Society希望它对巴勒莫官员的威胁能够奏效。

通过发布数据来威胁受害者是当今勒索软件组织的标准做法，称为“双重勒索”策略，是勒索受害者的有力方式。

Vice Society 可能持有巴勒莫居民的个人身份信息以及任何使用该市数字服务的人的敏感信息。

值得注意的是，勒索软件团伙尚未发布任何被盗文件的样本，因此，声称的数据泄露尚无法验证。

以利用漏洞而闻名
Vice Society以利用未修补系统上的已知漏洞来破坏网络而闻名。

例如，2021年8月，思科Talos 研究人员观察到特定勒索软件组部署了一个利用CVE-2021-1675 和 CVE-2021-34527（又名“PrintNightmare”缺陷）的 DLL。

虽然无法判断巴勒莫的计算机系统是否存在可用于初始访问的安全漏洞，但对于面向公众的国家网络来说，这并不是一个牵强附会的场景。

巴勒莫的官员没有透露这次攻击的任何细节，尽管他们关闭了运行该市所有服务的整个IT系统已经过去了将近一周。

Bleeping Computer试图从目前处理事件响应和系统恢复的 IT 服务提供商SISPI获取更多信息，但我们尚未收到回复。

Microsoft 宣布了 Microsoft Defender for Endpoint (MDE) 的一项新功能，以帮助组织防止攻击者和恶意软件使用受感染的非托管设备在网络中横向移动。

这个新功能允许管理员在他们的网络上“包含”不受管理的 Windows 设备，如果它们受到损害或怀疑受到损害。

一旦标记为包含，企业端点安全平台将指示网络上的 Windows 系统阻止所有进出设备的通信。

这可以帮助阻止恶意行为者使用非托管设备在组织内横向移动，并防止传播可能造成进一步损害的感染。

微软解释说：“在安全运营分析师定位、识别和修复受感染设备上的威胁时，此操作可以帮助防止相邻设备受到威胁 。 ”

但是，有一个问题：新的 MDE 功能仅适用于运行 Windows 10 及更高版本或 Windows Server 2019 及更高版本的板载设备。

“只有在 Windows 10 及更高版本上运行的设备才会执行包含操作，这意味着只有在 Microsoft Defender for Endpoint 中注册的运行 Windows 10 及更高版本的设备才会在此时阻止‘包含’设备，”微软补充道。

这意味着，尽管包含在网络上的所有托管 Windows 设备中，但包含的系统仍将能够访问尚未载入的其他设备。

如何遏制受感染的 Windows 设备
要控制可能受到威胁的设备，管理员必须执行以下步骤：

转到 Microsoft 365 Defender 门户中的“设备清单”页面，然后选择要包含的设备。
从设备浮出控件的操作菜单中选择“包含设备”。
在包含设备弹出窗口中，输入评论，然后选择“确认”。
包含非托管设备后，Microsoft Defender for Endpoint 板载设备最多可能需要 5 分钟才能开始阻止通信。

如果网络上包含的任何设备将更改其 IP 地址，所有注册的设备都将识别这一点并开始阻止与新 IP 地址的通信。
要停止包含特定设备，请从“设备清单”中选择它或打开设备页面。然后，您需要从操作菜单中选择“从收容中释放”以恢复设备与网络的连接。

随着 Windows 11 Insider Preview Build 25136 的发布到开发频道，微软终于推出了新的文件资源管理器选项卡式界面。

“为了帮助您同时跨多个位置工作，文件资源管理器的标题栏现在有选项卡。我们希望您能就您接下来希望看到哪些选项卡功能提供反馈，”Windows Insider 团队 说。

微软在今年 4 月的“Windows 为混合工作的未来提供动力”活动中首次 展示了重新设计的文件资源管理器 ，一个月后，微软 在 3 月开始将该功能作为隐藏的 Windows 11 开发功能进行测试。

该公司 于 2017 年在 Windows 10 Insider 版本中简要测试了此功能 （Microsoft 反馈中心上最受欢迎的 Windows 功能之一），但很快将其从开发版本中删除。

在这个新的 Windows 11 开发版本中，文件资源管理器还引入了左侧导航窗格的刷新布局，可以快速访问常用和固定文件夹以及 OneDrive 云配置文件。

“OneDrive 云配置文件反映了与帐户关联的用户名，”微软的 Amanda Langowski 和 Brandon LeBlanc 补充道。

“导航窗格中默认可用的已知 Windows 文件夹不再显示在此 PC 下，以使该视图专注于您的 PC 驱动器。”​

Windows 11 文件资源管理器选项卡式界面 (Microsoft)
今天，微软还在 Windows 11 任务栏中添加了更多 Dynamic Widgets 内容，让 Insiders 可以看到突发新闻警报以及来自体育和金融小部件的更多实时内容。

微软解释说：“这应该让你更容易知道何时发生与这些小部件相关的重要事件，并让你随时了解突发新闻。”

“内容旨在快速且一目了然，如果您单击它，则能够在小部件板内查看更多内容。”

今天，微软还开始为 Windows 11 记事本和媒体播放器应用推出新的更新，以提高性能。

如果您已注册 Windows Insider 计划并已从 Dev Channel 安装了 Windows 11 Insider Preview Build 25136，则可以试用新的文件资源管理器选项卡式界面。

如果您还不是 Windows 预览体验成员，您仍然可以通过 在此处注册 并部署今天的 Windows 11 开发频道版本来尝试。

那些想要就重新设计的文件资源管理器体验提供反馈的人可以通过反馈中心（在文件、文件夹和在线存储 > 文件资源管理器下）分享他们的意见。

窃取您的密码、信用卡和加密钱包的恶意软件正在通过 CCleaner Pro Windows 优化程序的盗版副本的搜索结果进行推广。

这种新的恶意软件分发活动被称为“FakeCrack”，由 Avast 的分析师发现，他们报告称，每天从其客户遥测数据中检测到平均 10,000 次感染尝试。这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。

此活动中分发的恶意软件是一种强大的信息窃取程序，可以收集个人数据和加密货币资产，并通过数据窃取代理路由互联网流量。

黑帽 SEO 活动
威胁行为者遵循黑帽 SEO 技术，在谷歌搜索结果中将他们的恶意软件分发网站排名靠前，这样更多的人将被诱骗下载带花边的可执行文件。

Avast 看到的诱惑是 CCleaner Professional 的破解版，这是一种流行的 Windows 系统清洁器和性能优化器，仍然被许多用户认为是“必备”实用程序。

指向恶意网站的 Google 搜索结果 (Avast)
中毒的搜索结果会引导受害者浏览多个网站，这些网站最终会显示一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上，例如 filesend.jp 或 mediafire.com。

恶意软件分发门户 (Avast)
ZIP 使用“1234”之类的弱 PIN 进行密码保护，仅用于保护有效负载免受反病毒检测。

存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”，但 Avast 已经看到在此活动中使用了八种不同的可执行文件。

一种危险的信息窃取恶意软件
恶意软件受害者被诱骗安装企图窃取存储在网络浏览器中的信息，例如帐户密码、保存的信用卡和加密货币钱包凭证。

此外，它会监控剪贴板中复制的钱包地址，并将其替换为受恶意软件运营商控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址，包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。

脚本监控剪贴板 (Avast)
该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据，这种攻击对于受害者来说很难检测或意识到。

“攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC)，” Avast 在报告中解释道。

“通过在系统中设置这个 IP 地址，每次受害者访问任何列出的域时，流量都会被重定向到攻击者控制下的代理服务器。”

此代理机制是通过“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”中的新注册表项添加的。

受害者可以通过在 Windows 设置上导航到网络和互联网并将“使用代理服务器”选项切换为关闭来禁用它。

该活动已经很普遍，并且感染率很高，因此请避免从任何地方下载破解软件，即使下载站点在 Google 搜索中的排名很高。