Windows内存新恶意软件:黑客实时盗取数字资产
发布时间 2026-02-021. Windows内存新恶意软件:黑客实时盗取数字资产
1月31日,Point Wild旗下Lat61威胁情报团队近日发现一种隐蔽的新型Windows恶意软件活动,该活动利用Pulsar RAT和Stealerv37工具,通过内存驻留方式实施全面数字入侵。研究人员指出,攻击始于%APPDATA%\Microsoft目录下隐藏的微型文件,随后采用"借力打力"技术劫持系统可信工具如PowerShell,完全在内存中执行恶意代码,避免传统硬盘文件残留,从而绕过基础杀毒软件检测。该恶意软件具备双重破坏特性:一方面通过Donut工具将恶意代码注入explorer.exe等日常进程,即便被拦截也会启动监视程序实现秒级自动重启;另一方面主动禁用任务管理器和UAC安全提示,阻断用户反击渠道。其核心目标聚焦于信息窃取,Pulsar RAT可远程操控摄像头和麦克风实施监控,而Stealerv37则专门扫描加密货币钱包、监控剪贴板并替换支付地址实施资金盗取,同时窃取Chrome/Edge浏览器密码及Cookie、NordVPN等VPN凭证、开发者工具数据及Steam/Roblox等游戏账号。所有赃物数据均通过Discord/Telegram通道传输给黑客。
https://hackread.com/windows-malware-pulsar-rat-live-chats-steal-data/
2. StopICE超10万用户信息遭联邦机构获取
1月31日,反移民执法局(ICE)活动人士平台StopICE近日遭遇重大安全漏洞,导致超过10万名用户的个人信息泄露给包括联邦调查局(FBI)、移民执法局(ICE)和国土安全调查局(HSI)在内的美国联邦机构。黑客声称获取了用户的姓名、登录名、密码、电话号码及精确GPS坐标,并将这些数据直接发送给当局。此次事件引发用户和安全分析师对数据规模及具体性的担忧,泄露的GPS坐标可能暴露活动人士住所或常去地点,而登录信息则可能被用于追踪个人或访问其他关联账户,加剧反ICE活动人士面临的风险。StopICE平台由著名无政府主义者谢尔曼·奥斯汀主导运营,该平台定位为“阻止ICE突袭警报网络”,通过众包方式收集并发布ICE在全国范围内的执法行动信息,包括车辆目击记录、车牌号、时间戳和位置,旨在为弱势群体提供执法预警、法律援助及社区支持资源。然而,平台存在信任度评分低、所有权不明等争议。
https://www.ibtimes.co.uk/stopice-hacked-names-locations-over-100k-users-were-sent-fbi-ice-hsi-1775307
3. 孟加拉EC网站故障致1.4万记者敏感信息泄露
1月31日,孟加拉国选举委员会(EC)专用门户网站pr.ecs.gov.bd发生重大技术故障,导致约14000名记者的敏感个人数据泄露。此次泄露涉及国民身份证号码、手机号码及媒体从业人员的完整申请表副本,这些记者此前已在线注册申请记者证和车辆贴纸,以备即将到来的第十三届全国议会选举和全民公投之用。该网站原旨在通过现代化手段简化记者证申请流程,但故障暴露了严重安全隐患。具体而言,用户登录网站后,首页会立即显示所有申请人的完整名单,系统允许任何人访问并打开完整的申请文件,从而泄露私人联系方式和身份证号码等敏感信息。漏洞被发现后,网站迅速被禁用以防止进一步未经授权访问。选举委员会公共关系部门主任鲁胡尔·阿明·马利克表示,该在线系统本应于周五停用,但负责网站管理的官员周六下午短暂开启了该网站,导致数据泄露。他确认网站目前已下线,并强调正在调查系统为何能在非预期时间被访问。
https://www.observerbd.com/news/564449
4. Arsink安卓木马伪装50余品牌全球感染超4.5万设备
1月30日,Zimperium zLabs研究人员近日发现名为Arsink的危险安卓木马,该木马伪装成WhatsApp、TikTok等50余个知名品牌,通过Telegram、Discord及MediaFire等非官方渠道传播,在全球143个国家感染超4.5万台设备,其中埃及(约1.3万)、印度尼西亚(7000)、伊拉克(3000)为重灾区。该木马采用“专业版”应用陷阱策略,以提供正版应用缺失的特殊功能为诱饵,诱导用户下载。安装后,应用立即要求用户授予大量权限,随后隐藏自身图标并在后台运行,部分版本甚至内置第二个“有效载荷”,实现离线感染。Arsink启动“持续后台服务”确保永不关闭,具备远程控制、录音监听、短信窃取、照片盗取、联系人及通话记录读取、谷歌账户邮箱访问等恶意功能,更可强制手机拨打电话、追踪精确位置,甚至对存储空间进行“破坏性擦除”。所有窃取数据通过317个数据库入口包括Firebase、Telegram机器人及Google云端硬盘隐藏文件夹回传至黑客。
https://hackread.com/arsink-spyware-whatsapp-youtube-instagram-tiktok/
5. 全球联合执法捣毁工业级非法IPTV犯罪网络
1月30日,欧洲刑警组织、欧洲司法组织与国际刑警组织联合协调,由意大利卡塔尼亚检察官办公室和国家警察主导的全球执法行动,在11个城市14个国家展开最新阶段打击,重点针对意大利米兰冬奥会期间非法体育赛事转播问题。行动查获三家工业级非法IPTV服务商IPTVItalia、migliorIPTV和DarkTV,拆解其覆盖百万级终端用户的信息技术基础设施,确认31名涉案人员,其中11人位于意大利,其余分布在英国、西班牙、罗马尼亚、科索沃等地。调查显示,该犯罪组织层级分明,通过加密货币支付、空壳公司洗钱等手段逃避监管,每月非法获利数百万欧元。其非法截取并重新传输Sky、DAZN、Mediaset、Amazon Prime、Netflix、Paramount、Disney+等平台内容,侵犯版权的同时实施计算机欺诈、虚假资产登记等犯罪行为。意大利警方披露,仅该国就有至少250家经销商和10万用户受影响,罗马尼亚拆除6台服务器,非洲亦有一台服务器被查封。
https://www.bleepingcomputer.com/news/legal/operation-switch-off-dismantles-major-pirate-tv-streaming-services/
6. CISA将Ivanti EPMM高危漏洞加入KEV目录
1月30日,美国网络安全和基础设施安全局(CISA)近日将Ivanti Endpoint Manager Mobile(EPMM)的代码注入漏洞(CVE-2026-1281,CVSS评分9.8)纳入已知利用漏洞(KEV)目录。该漏洞允许未经身份验证的攻击者远程执行代码,构成严重安全威胁。Ivanti公司证实已监测到针对该漏洞的攻击行为,但表示仅有极少数客户在漏洞披露时受到实际利用。根据安全公告,漏洞源于Ivanti EPMM的代码注入缺陷,攻击者可借此实现未经认证的远程代码执行。Ivanti强调,Sentry和Ivanti Neurons MDM产品不受此漏洞影响,云服务客户也未波及。目前,公司正持续调查事件细节,虽尚未发现可靠入侵迹象,但已发布技术补丁、扩大客户支持范围,并与安全合作伙伴及执法部门展开协作。依据具有约束力的操作指令(BOD)22-01要求,联邦机构需在2026年2月2日前完成漏洞修复,以降低重大风险。
https://securityaffairs.com/187488/security/u-s-cisa-adds-a-flaw-in-ivanti-epmm-to-its-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号