警惕BitB钓鱼新威胁:Facebook用户安全指南
发布时间 2026-01-131. 警惕BitB钓鱼新威胁:Facebook用户安全指南
1月12日,过去六个月,黑客频繁利用浏览器内浏览器(BitB)技术对Facebook用户发起钓鱼攻击,该技术由安全研究员mr.d0x于2022年开发,后被网络犯罪分子扩展至Steam等平台。Trellix研究人员发现,攻击者通过伪造律师事务所通知、版权侵权警告或Meta安全提示,诱导用户点击包含虚假登录表单的弹出窗口。此类窗口利用iframe技术模仿官方认证界面,并通过自定义窗口标题和URL增强欺骗性,甚至加入缩短URL和虚假MetaCAPTCHA页面以规避检测。攻击流程中,受害者会在攻击者控制的网页上看到看似合法的浏览器弹出窗口,要求输入Facebook凭据。由于iframe与底层窗口绑定,用户无法将其拖出浏览器窗口,这是识别BitB攻击的关键特征。研究指出,大量钓鱼页面托管在Netlify、Vercel等合法云平台,伪装成Meta隐私中心或申诉表单,收集用户个人信息。与传统钓鱼相比,这种手法通过滥用受信任的基础设施绕过安全过滤器,营造虚假安全感。
https://www.bleepingcomputer.com/news/security/facebook-login-thieves-now-using-browser-in-browser-trick/
2. CISA紧急下令修补已被利用的Gogs高危漏洞
1月12日,美国网络安全和基础设施安全局(CISA)已要求联邦民事行政部门在2026年2月2日前修补Gogs高危漏洞CVE-2025-8110。该漏洞源于PutContents API的路径遍历缺陷,允许已认证攻击者通过符号链接覆盖存储库外部文件,绕过此前修复的CVE-2024-55947保护措施,进而通过修改Git配置文件(如sshCommand)执行任意命令,构成零日攻击风险。Gogs作为Go语言编写的轻量级Git服务替代方案,常用于远程协作,但其开放性使其成为攻击目标。Wiz Research在7月调查客户Gogs服务器恶意软件感染时发现该漏洞,并于7月17日报告,10月30日获Gogs确认,上周发布补丁。然而,11月1日即出现第二波零日攻击。调查显示,超1400台Gogs服务器暴露于互联网,其中1250台仍可访问,700个实例显示被入侵迹象。CISA已将CVE-2025-8110列入“已利用漏洞目录”,强调此类漏洞是恶意网络攻击者的常用途径,对联邦机构构成重大风险。
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-gogs-rce-flaw-exploited-in-zero-day-attacks/
3. Target的开发服务器在黑客声称窃取源代码后离线
1月12日,近日,黑客在Gitea平台发布多个疑似Target公司内部代码库的样本,并声称正通过地下论坛出售完整数据集。事件起因于上周一名身份不明的攻击者在Gitea创建代码仓库,包含Target部分内部代码、开发者文档及名为SALE.MD的文件。该文件显示完整数据集包含超5.7万行目录列表,总容量约860GB,涉及"钱包服务渗透测试""TargetIDM-TAPProvisioningAPI"等敏感项目,且提交元数据提及多位Target现任首席工程师姓名及内部API端点(如confluence.target.com),暗示数据源自私有开发基础设施。Target的Git服务器(git.target.com)已无法从互联网访问,此前该域名曾重定向至员工登录页面,但现已完全宕机。黑客发布的Gitea仓库在媒体联系Target后被删除,返回404错误,与下架请求一致。搜索引擎缓存记录显示,git.target.com部分资源曾被索引,但无法确认是否与近期暴露事件直接相关。
https://www.bleepingcomputer.com/news/security/targets-dev-server-offline-after-hackers-claim-to-steal-source-code/
4. 西班牙能源巨头Endesa披露数据泄露事件
1月12日,西班牙最大能源供应商Endesa及其运营商Energía XXI近日披露重大安全事件:黑客通过非法访问其商业平台,窃取了与客户能源合同相关的敏感个人信息。作为Enel集团旗下企业,Endesa在西班牙和葡萄牙拥有超1000万用户,总客户基数约2200万。此次泄露的数据类型包括基本身份信息、联系信息、国民身份证号码(DNI)、合同详情及付款信息(如IBAN账号),但公司强调账户密码未被波及。事件发生后,Endesa迅速采取多项防护措施:封锁受影响内部账户、导出日志进行技术分析、增强系统监控以检测后续可疑活动,并同步向西班牙数据保护局及相关监管机构报告。公司通过正式渠道通知所有受影响客户,并提醒用户警惕身份冒用、数据盗窃及网络钓鱼攻击风险,建议将可疑活动报告至指定号码。Endesa声明称,截至目前无证据显示泄露数据已被欺诈使用,因此对用户权利和自由构成高风险的可能性较低。
https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/
5. APT28持续开展低成本凭证窃取活动
1月12日,与俄罗斯关联的APT28组织(别名Fancy Bear、BlueDelta等)2025年2月至9月持续开展低成本凭证窃取活动,目标涵盖土耳其能源和核能机构、欧洲智库、北马其顿及乌兹别克斯坦组织,反映其对能源、国防、政府领域的持续关注,与俄罗斯情报重点高度契合。该组织采用“区域定制诱饵+低成本基础设施”策略:通过模仿Microsoft OWA、Google、Sophos VPN的虚假登录页面窃取凭据,并利用Webhook.site、InfinityFree、Byet Internet Services、ngrok等免费托管和隧道服务托管钓鱼页面、泄露数据及实现重定向。例如,6月部署的Sophos VPN密码重置页面通过JavaScript提取URL标识符并发送至攻击者控制端,最终重定向至合法VPN门户;9月则利用InfinityFree托管的OWA过期密码页面,将受害者导向北马其顿军事组织及乌兹别克斯坦IT公司的合法登录页面。此外,攻击者嵌入海湾研究中心、ECCO等可信智库的合法PDF诱饵,先引导用户点击,再显示伪造登录页面,通过隐藏HTML表单和JavaScript信标窃取邮箱、密码、IP及用户代理信息,最后重定向回真实PDF,增强欺骗性。
https://securityaffairs.com/186801/apt/credential-harvesting-attacks-by-apt28-hit-turkish-european-and-central-asian-organizations.html
6. 伊朗MuddyWater用RustyWater发起钓鱼攻击
1月10日,近日,被称为MuddyWater的伊朗黑客组织被指针对中东地区外交、海事、金融及电信实体发动鱼叉式钓鱼攻击,其使用基于Rust语言开发、代号为RustyWater的植入程序实施入侵。CloudSEK研究员Prajwal Awasthi在报告中指出,攻击通过伪装成网络安全指南的钓鱼邮件附带恶意Word文档,诱导受害者启用内容后激活VBA宏,进而部署RustyWater程序。该植入程序具备异步命令与控制(C2)通信、反分析检测、通过Windows注册表实现持久化及模块化扩展能力,可收集计算机信息、检测安全软件,并与C2服务器建立联系以执行文件操作和命令。此次攻击标志着MuddyWater攻击手法的持续演变。该组织自2017年起被评估隶属于伊朗情报与安全部,近年来逐步减少对合法远程访问软件的依赖,转而采用多样化定制恶意软件库,包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。此次引入Rust语言开发的植入程序,进一步体现了其工具链向更结构化、模块化和低噪声的远程访问木马能力演进。
https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html
京公网安备11010802024551号