iClicker平台遭ClickFix攻击
发布时间 2025-05-121. iClicker平台遭ClickFix攻击
5月11日,流行的学生参与平台iClicker网站遭遇ClickFix攻击,该攻击通过虚假CAPTCHA提示诱骗用户安装恶意软件。iClicker是麦克米伦的子公司,作为数字课堂工具被美国多所大专院校广泛使用,涉及5000名教师和700万名学生。2025年4月12日至16日期间,iClicker网站被黑客入侵,显示伪造的CAPTCHA,诱导用户点击“我不是机器人”进行验证。当用户点击后,PowerShell脚本被复制到Windows剪贴板,用户被指示打开运行对话框粘贴并执行该脚本以完成验证。尽管该攻击已不再在iClicker网站上运行,但Reddit上有用户揭示了执行的PowerShell有效负载。攻击中使用的PowerShell命令高度混淆,执行时会连接到远程服务器检索另一个PowerShell脚本。根据访问者类型,该脚本会下载不同的内容:对于目标访客,会下载恶意软件到计算机上,允许威胁行为者完全访问受感染设备;对于非目标对象,如恶意软件分析沙箱,则会下载并运行合法的Microsoft Visual C++ Redistributable。从过去活动看,此次攻击很可能传播信息窃取程序,能窃取浏览器cookie、凭据、密码、信用卡和浏览历史记录,还能窃取加密货币钱包、私钥和敏感文本文件。
https://www.bleepingcomputer.com/news/security/iclicker-hack-targeted-students-with-malware-via-fake-captcha/
2. 虚假AI视频工具传播Noodlophile恶意软件
5月10日,近期,虚假人工智能视频生成工具被网络犯罪分子利用,传播名为“Noodlophile”的新型信息窃取恶意软件家族。这些恶意网站使用“梦想机器”等诱人名称,在Facebook高知名度群组中打广告,冒充先进人工智能工具,诱骗用户上传文件以生成视频。Morphisec发现,Noodlophile在暗网论坛上出售,常与“获取Cookie+Pass”服务捆绑,与越南语运营商相关,是一种新型恶意软件即服务行动。其感染链为多阶段过程:受害者访问恶意网站并上传文件后,会收到一个包含欺骗性可执行文件(Video Dream MachineAI.mp4.exe)的ZIP存档,该文件看似MP4视频,实为重新利用的CapCut视频编辑工具版本,用以逃避用户怀疑和部分安全解决方案检测。双击该文件后,会执行一系列可执行文件,最终启动批处理脚本,利用合法Windows工具解码并提取受密码保护的RAR文件,同时添加注册表项以实现持久性。随后,执行从远程服务器获取的混淆Python脚本,在内存中执行Noodlophile Stealer。Noodlophile旨在窃取网络浏览器上存储的数据,如账户凭据、会话cookie、令牌和加密货币钱包文件,并通过Telegram机器人泄露数据,该机器人充当隐蔽的命令和控制服务器。
https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-drop-new-noodlophile-infostealer-malware/
3. Ascension数据泄露影响超43万名患者
5月9日,美国Ascension医疗保健系统近日透露,上个月发生了一起重大数据泄露事件,超过43万名患者的个人和医疗保健信息遭到泄露。据Ascension在4月份发送给受影响者的通知信显示,这些信息在去年12月的一次数据盗窃攻击中被盗,攻击涉及Ascension的一位前商业伙伴。攻击者获取了与患者住院就诊相关的个人健康信息,如医生姓名、入院和出院日期、诊断和账单代码等,还包括患者的个人信息,如姓名、地址、电话号码、电子邮件地址、出生日期、种族、性别和社会安全号码等。Ascension在获悉潜在安全事件后立即展开调查,并于今年1月21日确定,其无意中向前商业伙伴泄露了信息,且部分信息可能因前商业伙伴使用的第三方软件漏洞而被窃取。尽管Ascension当时未透露受影响总人数,但后续文件显示,此次事件影响了德克萨斯州的11万多人,马萨诸塞州也有96名居民的医疗记录和社会安全号码被泄露。此外,Ascension还向美国卫生与公众服务部提交的文件中披露,此次数据泄露共影响了43万多人。Ascension为受影响用户提供了两年的免费身份监控服务。
https://www.bleepingcomputer.com/news/security/ascension-says-recent-data-breach-affects-over-430-000-patients/
4. 执法部门摧毁运营20年的僵尸网络
5月9日,执法部门近日摧毁了一个运营20年的僵尸网络,该网络通过恶意软件感染了数千台旧式无线互联网路由器,并建立了Anyproxy和5socks两个住宅代理网络。美国司法部起诉了三名俄罗斯公民和一名哈萨克斯坦公民,指控他们参与运营并从中获利。此次行动由美国当局与荷兰国家警察局、荷兰公共检察机关、泰国皇家警察局及Lumen Technologies旗下Black Lotus Labs分析师联合开展。僵尸网络自2004年起便利用恶意软件感染路由器,允许未经授权访问设备,并将其作为代理服务器出售。用户无需身份验证即可直接连接代理,导致大量恶意行为者可能获得免费访问权限。此类代理服务隐蔽性强,能避开网络监控工具,被用于广告欺诈、DDoS攻击等多种非法行为。用户需支付订阅费,而四名被告通过出售对Anyproxy僵尸网络受感染路由器部分的访问权限,收取了巨额资金。他们使用俄罗斯和荷兰等地的服务器来运营网站和管理僵尸网络。四人均被指控犯有共谋罪和破坏受保护计算机罪,其中两人还被指控虚假注册域名。
https://www.bleepingcomputer.com/news/security/police-dismantles-botnet-selling-hacked-routers-as-residential-proxies/
5. 网络钓鱼攻击利用Blob URI绕过安全窃取凭据
5月9日,Cofense Intelligence揭示了一种新型网络钓鱼技术,该技术利用blob URI在用户浏览器中创建本地虚假登录页面,以绕过电子邮件安全机制并窃取用户凭据。这种技术自2022年中期出现以来,正日益被网络犯罪分子所利用,他们通过电子邮件将凭证钓鱼页面直接发送到用户收件箱。Blob URI原本是指向浏览器保存在用户计算机上的临时数据的地址,常用于合法Web功能,如YouTube的视频数据临时存储。然而,其本地化特性,即一个浏览器创建的Blob URI无法被其他浏览器访问,却被威胁行为者利用来实施恶意攻击。由于Blob URI数据不在常规互联网上,电子邮件安全系统难以检测到其中的有害虚假登录页面。当用户点击钓鱼邮件中的链接时,他们通常会被引导至一个受信任的真实网站,随后再被重定向到攻击者控制的隐藏网页。这个隐藏网页会利用Blob URI在用户浏览器中直接创建虚假登录页面,窃取用户名和密码。这种技术对自动化安全系统,尤其是安全电子邮件网关(SEG)构成了挑战,因为基于人工智能的安全模型可能尚未充分训练以区分Blob URI的合法与恶意用途。
https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/
6. 南非航空遭网络攻击致系统瘫痪
5月8日,南非航空近日遭遇网络攻击,导致其官方网站、多个内部运营系统及移动应用程序暂时中断。不过,公司IT团队已控制事态,并将核心航班运营的干扰降至最低。在周二发布的声明中,南非航空强调关键客服渠道如客户服务中心和销售办公室持续运行,且所有受影响平台已恢复正常功能。关于此次事件是否涉及勒索软件,公司未予回应。首席执行官约翰·拉莫拉表示,公司正在调查事件根本原因,并核查敏感信息是否外泄,同时已向国家安全局、南非警察局及信息监管机构报告此事。南非航空承诺,若确认存在信息被盗将通知受影响人员。此次攻击是南非关键机构持续遭受网络犯罪冲击的又一案例,此前勒索团伙曾泄露总统个人联系方式、窃取国防部数据,国有银行、能源巨头等也接连遇袭。面对愈演愈烈的网络威胁,南非政府于今年4月出台新规,强制要求所有机构向信息监管机构报告网络攻击,以加强个人信息安全事件的监控。这项立法出台之际,正值南非航空等国有企业从长期财务危机中复苏的关键时期,该航司2024年才实现13年来首次盈利,此前已累计接受政府注资约137亿元人民币。
https://therecord.media/south-african-airways-cyberattack-disrupted
京公网安备11010802024551号