ClickFix攻击正传播Vidar Stealer窃密木马
发布时间 2026-05-091. ClickFix攻击正传播Vidar Stealer窃密木马
5月7日,澳大利亚网络安全中心(ACSC)近日发布警告称,一场利用ClickFix社会工程技术的持续恶意软件攻击活动正在传播Vidar Stealer信息窃取木马,澳大利亚各组织和基础设施实体成为主要目标。在此次攻击中,攻击者利用了被入侵的WordPress网站,将访问者重定向到携带恶意载荷的页面。用户访问后会看到一个虚假的Cloudflare验证或CAPTCHA提示,指示其复制并手动在系统上执行恶意PowerShell命令,从而导致Vidar Stealer感染。其攻击目标包括浏览器密码、Cookie、加密货币钱包、自动填充信息及系统详细信息。该恶意软件此前已在ClickFix攻击中被发现,并通过Windows修复程序、TikTok视频和GitHub等渠道传播,开发者去年还发布了功能升级的新版本。ACSC指出,Vidar在受感染设备上启动后会主动删除自身的可执行文件,转而从系统内存中运行,从而极大减少取证痕迹。此外,它通过Telegram机器人和Steam个人资料等公共服务,利用“死信箱”URL获取命令与控制(C2)服务器的地址。
https://www.bleepingcomputer.com/news/security/australia-warns-of-clickfix-attacks-pushing-vidar-stealer-malware/
2. AI自主识别OT系统:墨西哥供水公司遭入侵
5月7日,网络安全公司Dragos发布的一份威胁情报报告揭示了一起非同寻常的网络入侵事件:墨西哥蒙特雷市一家市政供水和排水公用事业公司遭到黑客攻击,Anthropic的Claude和OpenAI的GPT模型在其中扮演了核心角色,共同构成一个人工智能辅助的运营引擎。其中,Claude是主要的技术主力,负责入侵计划、工具开发和问题解决;而GPT则负责受害者数据处理和结构化报告。此次攻击是2025年12月至2026年2月期间针对多个墨西哥政府机构的大规模网络攻击活动的一部分。研究人员缴获的最引人注目的成果之一,是Claude根据攻击者反馈不断编写和完善的一个长达17000行的Python框架。该脚本被Claude命名为“BACKUPOSINT v9.0 APEX PREDATOR”,包含49个模块,涵盖了从凭证窃取、Active Directory侦察到数据库访问和权限提升等各个方面。从工业安全角度来看,最具深远影响的AI辅助行动是:Claude在内部网络侦察过程中,自主识别出了一台运行着vNode SCADA和IIoT管理接口的内部服务器。随后,Claude分析了vNode接口,确定其依赖单一密码认证机制,并建议使用密码喷洒攻击作为最可行的入口向量。
https://www.securityweek.com/claude-ai-guided-hackers-toward-ot-assets-during-water-utility-intrusion/
3. 勒索组织RansomHouse宣称攻击Trellix
5月8日,勒索软件组织RansomHouse近日声称对网络安全公司Trellix遭受的网络攻击负责,并公布了据称显示其已访问Trellix内部服务的屏幕截图以佐证其说法。今年5月初,Trellix披露了一起安全漏洞事件,导致其部分源代码库遭到未经授权的访问。该公司表示,已迅速与顶尖取证专家展开调查,并通知了执法部门。虽然具体被访问的数据尚不清楚,但Trellix强调,目前没有证据表明其源代码已被篡改或恶意利用,也未发现代码发布或分发流程受到影响。该公司承诺将在调查结束后酌情分享更多细节。目前,Trellix尚未透露攻击者的身份及具体攻击方式,也不清楚攻击者获得代码库访问权限的时长。源代码库遭未经授权访问可能带来严重风险:攻击者可研究代码寻找漏洞、创建攻击程序或策划定向攻击,若篡改后的代码被分发给客户,还可能引发知识产权盗窃、声誉受损及供应链风险。所幸Trellix确认,目前无证据表明其代码发布流程或产品受到损害。
https://securityaffairs.com/191879/cyber-crime/ransomhouse-says-it-breached-trellix-and-exposes-internal-systems.html
4. Google Play欺诈应用:谎称查通话记录实为骗订阅费
5月8日,网络安全研究人员在官方Google Play商店发现了一批欺诈性安卓应用,它们谎称能够访问任意电话号码的通话记录、短信甚至WhatsApp记录,实际目的是诱骗用户付费订阅虚假服务,最终造成用户经济损失。这批由ESET命名为“CallPhantom”的攻击活动主要针对印度及亚太地区用户,28款应用在被下架前累计下载量超过730万次,其中单款应用下载量就超过300万次。这些应用宣称可查看任何号码的通话详情,用户付款后却只能获得随机生成或硬编码在源代码中的虚假数据。至少一款应用以“Indian gov.in”的开发者名称发布,试图建立虚假信任感。受害者被要求通过Google Play官方结算系统、统一支付接口第三方应用(如Google Pay、PhonePe)或直接填写支付卡信息进行订阅,价格从约6美元到80美元不等。部分应用还额外使用欺骗手段:用户退出时,应用会谎称某号码的通话记录已发送至邮箱,点击通知后直接跳转到订阅页面。
https://thehackernews.com/2026/05/fake-call-history-apps-stole-payments.html
5. NVIDIA证实GeForce NOW用户数据遭泄露
5月8日,NVIDIA在一份声明中证实,GeForce NOW云游戏服务的用户信息在一次数据泄露事件中遭到泄露。NVIDIA表示,其调查发现公司运营的服务未受影响,问题仅限于位于亚美尼亚的第三方GeForce NOW联盟合作伙伴运行的系统,公司正与该合作伙伴紧密合作支持调查和解决方案,受影响的用户将通过GFN.am收到通知。这份声明是对上周黑客论坛上一个使用ShinyHunters昵称的威胁行为者发布帖子的回应,该帖子声称已入侵GeForce NOW服务并窃取了数百万用户记录。不过,该威胁行为者被认为是ShinyHunters的冒名顶替者。据该威胁行为者称,被盗信息包括全名、电子邮件地址、用户名、出生日期、会员状态和双因素认证状态,其还发布了数据样本,并提出以10万美元的比特币或门罗币出售完整数据库。GFN.am随后发布声明证实,3月20日至26日期间发生了一起网络安全事件,泄露了全名、电子邮件、电话号码(如果通过移动运营商注册)、出生日期和用户名等信息。GFN.am澄清,此次事件中没有任何账户密码泄露,3月9日之后注册该服务的用户均不受影响。
https://www.bleepingcomputer.com/news/security/nvidia-confirms-geforce-now-data-breach-affecting-armenian-users/
6. Zara 19.7万客户数据泄露:ShinyHunters作案细节曝光
5月8日,据数据泄露监测平台Have I Been Pwned披露,西班牙快时尚品牌Zara遭遇重大数据泄露事件,黑客窃取了197,400名客户的敏感信息。此次泄露的数据涵盖唯一电子邮件地址、地理位置、产品SKU、订单ID及支持工单来源等业务关联信息,但未包含客户姓名、电话、地址、支付凭证等核心隐私数据。泄露源追溯至Zara母公司Inditex集团的前技术提供商托管数据库。Inditex集团声明称,其运营系统未受影响,但未披露具体供应商名称或归咎威胁行为者。然而,勒索团伙ShinyHunters已主动认领此次攻击,并公开了140GB的泄露档案。该团伙宣称通过被盗的Anodot身份验证令牌,从BigQuery实例中提取数据,并透露其曾尝试攻击Salesforce实例但被AI检测系统阻止。
https://www.bleepingcomputer.com/news/security/zara-data-breach-exposed-personal-information-of-197-000-people/
京公网安备11010802024551号