研究团队分析API中转站的安全性，发现多个付费和免费中转站存在注入恶意代码和窃取用户凭证的风险。测试结果显示，1个付费和8个免费中转站注入恶意代码，17个触碰了诱饵凭证，甚至窃取了以太坊资金。研究呼吁加强安全措施以保护用户隐私。

安全研究人员发现了一种新方法，可以绕过FIDO认证，攻击者通过诱导用户使用低安全性的认证方式进行入侵。某些FIDO实施方案存在降级攻击漏洞，可能导致用户凭证被窃取。尽管尚未实际应用于网络犯罪，但此技术被视为新兴威胁。

作者在Bugcrowd的漏洞赏金计划中发现了一个未认证的存储型XSS漏洞，攻击者可通过修改页面内容创建伪造登录页面，窃取用户凭证，可能导致账户接管及更严重的攻击。文章详细记录了漏洞的发现与利用过程。

网络安全公司Positive Technologies警告，未知攻击者已入侵多个国家的Microsoft Exchange服务器，植入键盘记录器以窃取用户凭证。受影响的组织包括政府和IT企业，用户应检查登录页面是否存在恶意代码，并重置受影响账户的凭证。

本研究提出了一种基于用户凭证验证的访问控制框架，旨在解决AI安全系统的双重用途问题。通过结合小型专家模块与生成模型，有效实施风险检测，确保经过验证的用户能够获取专业知识，同时阻止对手访问，从而实现模型效用与安全性的平衡。

本文记录了AD域ACL攻击的案例，涵盖从ACL枚举到利用的完整攻击链。首先介绍ACL的基本概念和权限类型，然后描述如何获取用户凭证和枚举ACL权限，最终利用这些权限进行攻击，包括修改用户密码、添加用户到特定组及执行DCSync攻击。最后强调了攻击后的环境清理步骤。

研究人员警告，恶意邮件活动利用Rockstar 2FA工具包窃取Microsoft 365用户凭证。该工具包通过中间对手攻击，即使启用多因素身份验证的用户也易受攻击，具备多种钓鱼功能，支持大规模攻击。

thief_raccoon是一款教育工具，用于演示网络钓鱼攻击测试。它支持多种操作系统，捕获用户凭证，提供定制登录屏幕和全屏模式。安装需求包括Python 3.x、pip和Ngrok。工具遵循MIT开源许可协议。