TamperedChef信息窃取程序通过欺诈性PDF编辑器传播
发布时间 2025-09-011. TamperedChef信息窃取程序通过欺诈性PDF编辑器传播
8月30日,近期网络安全研究人员披露了一起涉及Google广告推广的复杂网络犯罪活动,威胁行为者通过50余个伪造域名分发携带TamperedChef信息窃取恶意软件的PDF编辑工具。该活动呈现多阶段特征,自2024年6月26日起,攻击者通过注册或接管网站推广"AppSuite PDF Editor"等工具,利用至少四家企业的合法证书签署欺骗性应用程序,形成技术可信度伪装。核心恶意软件TamperedChef通过可执行文件的"-fullupdate"参数触发,在8月21日前以正常功能示人,待Google广告完成60天推广周期前四天突然激活恶意模块。该窃取程序通过DPAPI接口解密浏览器数据,重点窃取用户凭证、网络Cookie等敏感信息,并具备检测安全代理的环境感知能力。研究揭示该犯罪团伙构建了相互关联的应用生态,除主攻PDF工具外,还通过OneStart、Epibrowser等潜在有害程序(PUP)形成交叉感染链。Expel公司发现部分应用会诱导用户将设备注册为住宅代理,攻击者可能通过合法代理服务商洗白非法流量。值得注意的是,即使代码签名证书已被吊销,当前已安装设备仍面临持续风险。
https://www.bleepingcomputer.com/news/security/tamperedchef-infostealer-delivered-through-fraudulent-pdf-editor/
2. APT37利用情报文件对韩发动精密网络钓鱼攻击
8月29日,网络安全公司Seqrite最新披露,朝鲜支持的黑客组织APT37近期针对韩国政府及情报机构发起代号"韩国幻影行动"的鱼叉式网络钓鱼攻击,通过双重诱饵策略成功渗透目标系统。该组织利用韩国研究机构内部通讯和朝鲜官方声明文件作为攻击载体,展现高度定制化的网络间谍能力。首次攻击中,APT37伪造韩国国家情报研究协会第52期通讯文件,诱骗目标成员下载包含恶意LNK快捷方式的PDF文档。执行后,该快捷方式触发内存加载的RokRAT后门,通过多层混淆技术(包括批处理脚本、XOR解密及无文件注入)实现隐蔽驻留。攻击链还采用伪造HTTP流量上传TEMP文件的方式,规避传统安全检测。第二次攻击则瞄准韩国政府内阁及统一部等机构,利用朝鲜最高领导人金正恩的胞妹金与正7月28日发表的敌对声明作为诱饵。攻击者构建了相似的渗透路径:恶意LNK文件释放伪装成PDF上传的混淆组件,通过PowerShell命令执行内存中的加密载荷,最终从C2服务器获取abs.tmp执行后续操作。两次攻击均采用"诱饵文件+恶意快捷方式"的组合模式,结合内存执行与流量混淆技术,形成难以追踪的隐蔽通道。
https://www.infosecurity-magazine.com/news/north-korea-apt37-spear-phishing/
3. 黑客声称窃取了43.3万医疗从业者的详细信息
8月29日,一个流行数据泄露论坛上出现针对美国医疗从业者的大规模数据泄露帖子,攻击者声称获取了包含43.3万名医生、外科医生及医疗保健专业人员敏感信息的数据库。Cybernews研究团队分析样本后指出,泄露数据涵盖全名、电话、职称、专业领域、医院信息、电子邮件、地址等个人与工作账户混合信息,其来源可能指向第三方服务提供商的漏洞。此次泄露呈现两大特征:其一,部分电子邮件此前未出现在公开数据泄露事件中,暗示数据可能整合自多次未公开漏洞或特定未披露的第三方服务泄露;其二,攻击者此前曾发布按地域、行业分类的类似数据库,表明其可能通过多源收集刻意隐藏具体来源。这种模式增加了追踪数据源头的难度,也反映出医疗行业第三方服务生态的安全隐患。医疗数据因高价值成为网络犯罪重点目标。泄露信息可被用于多重恶意场景:最直接的是身份盗窃,通过伪造医疗从业者身份开设欺诈账户;更危险的是定向钓鱼攻击,攻击者可能伪装成医疗机构发送包含恶意链接的内容,诱导受害者透露更多个人信息或下载勒索软件。
https://cybernews.com/security/american-doctors-data-breach-healthcare/
4. WhatsApp 0-Day漏洞被利用攻击iOS和macOS用户
8月31日,WhatsApp紧急修复了一个编号为CVE-2025-55177的严重0day漏洞,该漏洞允许攻击者通过零点击间谍软件攻击入侵iOS和Mac用户的设备,无需用户点击链接或打开文件即可窃取数据。此次漏洞由WhatsApp内部安全团队发现,属于复杂的攻击链的一部分,结合了另一个已由苹果修复的漏洞(CVE-2025-43300),形成可远程执行恶意代码的完整攻击路径。据安全公告,该漏洞源于“关联设备同步消息授权不完整”,攻击者可利用此机制强制目标设备处理恶意网址内容,进而植入间谍软件窃取短信等敏感信息。WhatsApp已向“不到200名”特定目标用户发送通知,并强调用户需立即更新至最新版本以防范风险。卡塔尔国家网络安全局(NCSA)指出,该漏洞的严重性在于其利用消息同步机制获取设备初步访问权限,而国际特赦组织安全实验室则将其定性为“高级间谍软件活动”,称其过去90天内已针对用户发起攻击。实验室负责人Donncha ó Cearbhaill建议用户更新设备或恢复出厂设置以彻底清除潜在威胁。
https://hackread.com/whatsapp-0-day-exploit-attack-targeted-ios-macos-users/
5. TAOTH活动:被劫持的软件更新正在亚洲各地传播恶意软件
9月1日,趋势科技近日披露一起代号"TAOTH"的复杂网络间谍活动,该行动自2024年底启动,通过劫持软件更新服务器和鱼叉式网络钓鱼攻击,在东亚地区定向传播多个恶意软件家族,目标涵盖中国大陆、台湾、香港、日本及韩国的异见人士、记者、研究人员和商界领袖,部分美国和挪威用户也遭波及。攻击者利用已废弃的搜狗注音输入法更新机制实施供应链攻击:2024年10月,在搜狗输入法停止更新五年后,威胁组织接管其失效域名,通过看似合法的更新进程分发恶意负载。用户安装官方安装程序后数小时,系统会自动触发攻击者控制的域更新,植入TOSHIS、DESFY、GTELAM和C6DOOR四大恶意软件家族。除供应链攻击外,TAOTH行动还结合鱼叉式网络钓鱼:攻击者发送伪装成政治主题文档的邮件,诱导用户访问虚假云存储页面下载恶意存档,或通过伪造Google/Microsoft登录门户骗取OAuth授权,进而操控邮箱实施横向网络钓鱼。
https://securityonline.info/taoth-campaign-hijacked-software-updates-are-spreading-malware-across-asia/
6. SikkahBot:针对孟加拉国学生的新型安卓恶意软件实施金融欺诈
9月1日,Cyble研究与情报实验室(CRIL)近期揭露了一起专门针对孟加拉国学生的新型Android恶意软件活动"SikkahBot"。该活动自2024年7月起活跃,通过伪造孟加拉国教育委员会官方奖学金应用程序实施精准诈骗,已形成集网络钓鱼、数据窃取与自动化金融交易于一体的复合型威胁。攻击者通过短信发送缩短链接,诱导受害者访问恶意APK下载网站。伪装成正规奖学金应用的恶意软件在安装后,会要求用户使用谷歌或Facebook账号登录,并逐步索取姓名、所属机构等个人信息,最终诱导用户提供钱包号、PIN码等敏感财务数据。CRIL指出,受害者提交信息后会收到"客服将联系"的虚假提示,实则已落入诈骗陷阱。SikkahBot的核心威胁在于其滥用设备权限的能力。在获取用户信任后,恶意软件会强制请求无障碍服务、短信访问、通话管理等高风险权限,实现对设备的深度控制。通过注册短信监听器,其可拦截包含"bKash""NAGAD"等银行关键词及特定服务号码的短信内容,并上传至攻击者控制的Firebase服务器。更危险的是,该恶意软件能自动登录孟加拉国主流银行应用,通过从C2服务器检索PIN码并自动填充登录字段,完成未经授权的转账操作。
https://securityonline.info/fraudulent-scholarship-apps-a-new-malware-campaign-targets-students-in-bangladesh/
京公网安备11010802024551号