新社工攻击借用户习惯传播DarkGate恶意软件
发布时间 2025-12-191. 新社工攻击借用户习惯传播DarkGate恶意软件
12月17日,网络安全研究人员近日披露一种名为ClickFix的新型社会工程攻击手法,该攻击利用用户对常见技术提示的信任心理,诱骗其手动执行恶意命令以传播DarkGate远程访问恶意软件。攻击始于虚假提示,用户被误导认为缺少"Word Online"浏览器扩展,当点击"如何修复"按钮时,网站会通过JavaScript将恶意PowerShell命令秘密复制到用户剪贴板。随后攻击者引导用户按下Windows+R打开运行对话框,并通过Ctrl+V粘贴复制的文本执行命令。由于该操作由用户主动触发,安全机制可能不会将其识别为威胁。攻击链进一步展开:执行后的PowerShell脚本会连接linktoxic34.com服务器下载nC.hta文件,该文件保存在C盘公共目录。通过多层base64编码和反向函数混淆,黑客成功规避检测。脚本运行后会自动创建C盘目录,部署AutoIt可执行文件和script.a3x脚本,在无需用户交互的情况下继续攻击流程。DarkGate恶意软件一旦运行,将建立持久性机制确保重启后仍存在,同时窃取用户敏感信息并外泄,使用DES加密隐藏恶意文件,导致系统出现卡顿、崩溃、未经授权工具栏及大量弹出广告等症状。
http://hackread.com/clickfix-attack-fake-browser-install-darkgate-malware/
2. 千万级Chrome扩展被曝窃取AI对话数据
12月17日,网络安全公司Koi研究发现,一款名为Urban VPN Proxy的Chrome扩展程序正秘密窃取用户与AI聊天机器人的对话记录,涉及ChatGPT、Claude、Gemini等至少十个主流平台。该扩展拥有超600万用户,评分为4.7星,并获得Google"精选"徽章认证,自称提供免费VPN服务以增强隐私安全,实则暗藏数据收集模块。研究人员发现,扩展程序通过硬编码配置标志默认启用数据收集功能,用户无法通过设置禁用,只能通过卸载退出。该功能于2025年7月9日发布的5.5.0版本中引入,此前版本无此行为。由于Chrome扩展自动更新机制,已安装用户会在无明确通知的情况下获得新功能。更令人震惊的是,同一发行商推出的其他七款扩展程序均包含相同的AI数据采集功能,总用户数达800万。这些扩展涵盖VPN、广告拦截器、安全工具等多个类别,且多数带有Google或Microsoft的"精选"徽章,表明平台审核机制存在严重漏洞。
https://cybernews.com/security/ai-chat-vpn-extension-spying/
3. 悉尼大学遭黑客入侵致超2.7万人数据泄露
12月18日,近日,澳大利亚悉尼大学遭遇严重网络安全事件,黑客入侵其在线代码库并窃取包含教职员工、学生及校友个人信息的文件。该事件于上周被检测到,大学立即关闭未经授权的访问通道,并同步通报新南威尔士州隐私专员、澳大利亚网络安全中心及教育监管机构。经核查,此次泄露涉及超过27,000名人员,具体包括:截至2018年9月4日的10,000名现员工及附属机构人员、12,500名前员工及附属人员、约2010年至2019年间的5,000名学生和校友,以及6名支持者。泄露数据涵盖姓名、出生日期、电话号码、家庭住址、工作详情等敏感信息。大学强调,虽确认数据已被访问下载,但未发现公开传播或滥用证据。作为澳大利亚规模最大的公立大学之一,悉尼大学拥有7万名学生和1万名教职员工。目前,该校已启动个性化通知程序,预计下月完成对受影响人员的告知工作,并设立专门支持服务提供咨询援助,同时发布动态更新的常见问题解答页面。官方建议受影响者警惕未授权通信、及时修改账号密码并启用多因素认证。
https://www.bleepingcomputer.com/news/security/university-of-sydney-suffers-data-breach-exposing-student-and-staff-info/
4. Clop团伙瞄准Gladinet CentreStack服务器实施数据窃取
12月18日,近期,Clop勒索软件团伙正针对暴露于互联网的Gladinet CentreStack文件服务器发起新一轮数据窃取攻击。该服务器允许企业通过Web浏览器、移动应用或映射驱动器安全共享本地文件,无需VPN,已被49国数千家企业采用。自4月起,Gladinet虽已发布安全更新修复多个被利用漏洞,但Clop仍通过扫描并入侵未受保护的CentreStack服务器实施攻击,在受感染服务器上留下勒索信。目前,攻击者利用的具体漏洞尚未明确,可能是零日漏洞或未及时修复的已知漏洞。威胁情报机构Curated Intel披露,至少200个运行“CentreStack-Login”HTTP请求的IP地址已成为潜在目标。Clop的攻击模式延续其历史策略,先窃取敏感数据,再通过暗网泄露网站及Torrent发布,以此勒索受害者。
https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/
5. GlobalProtect与Cisco SSL VPN遭大规模凭证探测
12月18日,近期,一场针对多个VPN平台的自动化凭证攻击活动引发关注。威胁监控平台GreyNoise于12月11日观测到,针对Palo Alto Networks GlobalProtect门户的登录尝试在16小时内激增至170万次,涉及超10,000个不同IP地址,主要攻击目标位于美国、墨西哥和巴基斯坦的基础设施。恶意流量几乎全部源自德国3xK GmbH的IP地址空间,暗示存在集中式云基础设施支持。攻击特征显示,威胁行为者重复使用常见用户名和密码组合,且多数请求伪装成Firefox用户代理。用户代理、请求结构及时间的一致性表明,这是旨在识别暴露或保护薄弱的GlobalProtect门户的脚本化凭证探测,而非交互式访问或漏洞利用。12月12日,同一托管提供商的攻击转向Cisco SSL VPN端点,唯一攻击IP地址数量从不足200个跃升至1,273个,这是过去12周内首次大规模使用3xK托管IP针对Cisco SSL VPN的攻击。登录有效载荷遵循正常SSL VPN身份验证流程,进一步证实这是自动化凭据攻击而非漏洞利用。
https://www.bleepingcomputer.com/news/security/new-password-spraying-attacks-target-cisco-pan-vpn-gateways/
6. 弗吉尼亚州RBHA遭勒索攻击致超11万人数据泄露
12月18日,弗吉尼亚州里士满行为健康管理局(RBHA)近日披露,其于9月29日遭受勒索软件攻击,导致部分网络被加密,超11.3万人个人信息面临泄露风险。作为里士满市公共机构,RBHA提供心理健康支持、危机护理、药物滥用预防等关键服务。攻击次日,该机构即发现事件并迅速驱逐攻击者,但威胁行为者可能已获取包括姓名、社会保障号码、护照号码、金融账户及健康信息在内的敏感数据。据美国卫生与公众服务部报告,此次事件影响113,232名个体。RBHA在官网发布的事件通知中强调,虽无确凿证据表明数据已被访问,但出于谨慎仍提醒受影响者加强警惕,建议定期核查账户对账单、监控信用报告以防范身份盗窃及欺诈行为。值得注意的是,勒索软件组织“麒麟”已宣称对此次攻击负责,并将RBHA列入其基于Tor的泄露站点。该组织随后公布了据称窃取的192GB数据,含超39.3万份文件,进一步加剧了数据滥用风险。
https://www.securityweek.com/113000-impacted-by-data-breach-at-virginia-mental-health-authority/
京公网安备11010802024551号