SantaStealer恶意软件曝光:内存运行避检测存漏洞
发布时间 2025-12-171. SantaStealer恶意软件曝光:内存运行避检测存漏洞
12月15日,近日,一种名为SantaStealer的新型恶意软件即服务(MaaS)信息窃取程序在Telegram及黑客论坛上公开宣传。该程序由俄语开发者打造,基础订阅价175美元/月,高级版300美元/月,宣称通过内存运行规避基于文件的检测机制。然而,据Rapid7安全团队分析,其实际样本远未达到“无法检测”的宣称效果,且存在操作安全缺陷,样本泄露时包含未加密字符串和符号名称,暴露开发过程中的疏漏。SantaStealer实为BluelineStealer项目的重包装,计划年底正式上线。它集成14个独立线程的数据收集模块,可窃取浏览器密码、Cookie、信用卡信息、Telegram/Discord/Steam数据、加密货币钱包内容及文档,并截取桌面截图。数据经内存归档为ZIP文件后,通过6767端口分10MB单位传输至预设C2端点。该恶意软件还试图绕过Chrome 2024年7月推出的应用绑定加密保护,但已被多款信息窃取程序突破。其控制面板支持用户配置目标范围,从全量数据窃取到精简有效载荷,并允许排除独联体地区系统及延迟执行以迷惑受害者。
https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/
2. PornHub会员数据遭ShinyHunters勒索
12月15日,成人视频平台PornHub近日因第三方数据分析商Mixpanel数据泄露事件陷入勒索危机。据报道,ShinyHunters勒索团伙声称窃取了PornHub Premium高级会员的94GB历史数据,包含2.01亿条搜索、观看及下载记录,并通过勒索邮件威胁不支付赎金将公开数据。Mixpanel于2025年11月8日遭短信钓鱼攻击导致系统入侵,其客户数据泄露波及PornHub。尽管PornHub强调自2021年起已终止与Mixpanel合作,泄露数据为2021年或更早的历史分析记录,且用户密码、支付及财务信息未受影响,但高级会员的敏感活动记录仍被曝光。泄露数据包括会员电子邮件地址、视频URL、关键词、活动时间及地理位置等,部分样本显示甚至包含订阅者是否观看/下载视频或浏览频道的具体行为。ShinyHunters作为幕后黑手,不仅向PornHub发送勒索邮件,还公开证实此次攻击,并关联多起重大数据泄露事件。
https://www.bleepingcomputer.com/news/security/pornhub-extorted-after-hackers-steal-premium-member-activity-data/
3. Frogblight安卓木马伪装政府网站窃取信息
12月15日,近期,一款名为“Frogblight”的复杂安卓银行木马在土耳其引发重大安全威胁,其通过精心设计的社会工程手段窃取银行凭证与个人数据,并展现出持续进化特征。该木马最初伪装成土耳其官方政府门户应用,声称可访问法庭案件文件,后演变为仿冒Chrome等流行应用,通过钓鱼短信传播,受害者收到虚假法庭案件通知短信,点击链接后被导向恶意网站并诱导下载应用。安装后,Frogblight会请求读取短信、访问存储空间及获取设备信息等敏感权限。启动时,其通过嵌入式浏览器视图显示真实政府网页制造“合法假象”,同时在后台监控用户操作。该木马具备双重功能:既作为银行木马窃取在线银行登录信息,又具备间谍软件特性,监控短信、跟踪已安装应用、扫描文件系统,甚至可向外发送任意文本消息。技术层面,Frogblight通过WebView注入JavaScript代码捕获用户输入,与控制服务器通信采用Retrofit库的REST API调用,后期变种转向WebSocket连接以增强隐蔽性。
https://cybersecuritynews.com/new-android-malware-frogblight-mimics-as-official-government-websites/
4. 委内瑞拉国家石油公司PDVSA遭网络攻击
12月16日,近日,委内瑞拉国家石油公司(PDVSA)遭遇网络攻击导致出口业务短暂中断,但该公司强调此次事件仅影响部分行政管理系统,未波及日常运营。PDVSA在Telegram声明中指出,安全协议成功阻止了供应中断,并将该事件定性为“与美国企图夺取委内瑞拉石油相关的侵略行为”,称“断然拒绝外国势力策划的卑劣行径”。委内瑞拉政府进一步将事件上升为对“主权能源开发权”的攻击,直指美国与极端势力勾结破坏国家稳定。为应对风险,PDVSA要求员工关闭电脑、断开外部设备、禁用WiFi及星链连接,并强化设施安保。彭博社援引内部备忘录称,自周日以来安保措施已全面升级。公司周一发布声明称已挫败“破坏企图”,石油产量未受影响。然而,路透社消息源透露,此次攻击实为勒索软件攻击,反病毒修复工作导致管理系统瘫痪,货物交付受阻。事件发生在美委关系持续紧张背景下。此前,美国扣押一艘载有委内瑞拉原油的受制裁油轮,这是自2019年美国财政部对PDVSA实施制裁以来首次扣押油轮。
https://securityaffairs.com/185755/security/a-cyber-attack-hit-petroleos-de-venezuela-pdvsa-disrupting-export-operations.html
5. 黑客利用新近修复的Fortinet身份验证绕过漏洞
12月16日,网络安全公司Arctic Wolf监测到黑客正利用Fortinet旗下多个产品的严重漏洞非法访问管理员账户并窃取系统配置文件。此次暴露的两个高危漏洞分别为CVE-2025-59718(影响FortiOS、FortiProxy、FortiSwitchManager)和CVE-2025-59719(影响FortiWeb),均源于SAML消息加密签名验证不当,攻击者可构造恶意SAML断言绕过身份验证,在未授权情况下登录管理员账户。漏洞触发需设备启用FortiCloud单点登录(SSO)功能,该功能虽非默认设置,但通过FortiCare注册设备时会自动激活,除非手动禁用。自12月12日起,黑客通过与The Constant Company、BL Networks、Kaopu Cloud HK关联的IP地址发起攻击,利用恶意SSO获取管理员权限后,通过Web管理界面下载系统配置文件。这些文件包含网络布局、互联网服务端口、防火墙策略、路由表及潜在密码哈希等敏感信息,可能泄露网络架构细节,为后续攻击提供支持。漏洞影响FortiOS、FortiWeb等多个版本,Fortinet建议管理员立即禁用FortiCloud SSO登录功能,并升级至修复版本。
https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/
6. 新型Android恶意软件Cellik现身地下论坛
12月16日,移动安全公司iVerify在地下网络犯罪论坛发现一款名为Cellik的新型Android恶意软件即服务(MaaS)正在公开宣传。该软件以每月150美元或终身900美元的价格出售,提供了一套强大的功能组合,最引人注目的是其APK构建器可集成Google Play商店,攻击者能直接从官方应用商店选择任意应用,创建表面可信的木马版本,同时保留原应用的界面和功能,从而延长恶意软件的潜伏期。Cellik具备实时屏幕捕获、通知拦截、文件系统浏览、数据窃取、远程擦除及加密通道通信等核心功能。其隐藏浏览器模式允许攻击者利用受害者设备存储的cookie访问网站;应用注入系统则可在任意应用中叠加虚假登录页面或注入恶意代码,窃取账户凭据;而向已安装应用注入有效载荷的功能,更使感染源难以追溯,长期受信任的应用可能突然变为流氓软件。卖家声称,通过将恶意载荷包裹在受信任的应用程序中,Cellik可绕过Google Play Protect的检测机制。
https://www.bleepingcomputer.com/news/security/cellik-android-malware-builds-malicious-versions-from-google-play-apps/
京公网安备11010802024551号