HackerNews 编译，转载请注明出处： 荷兰巨头电信运营商 Odido 电信于 2026 年 2 月 12 日证实，公司遭遇重大网络攻击，黑客窃取了 620 万客户账户的个人数据。 该数据泄露事件于 2 月 7 日至 8 日周末被发现，尽管未造成业务中断，但已引发钓鱼攻击风险预警。 黑客渗透进入 Odido 的客户关系管理系统，在公司阻断未授权访问前下载了敏感信息。 公司发言人向荷兰新闻网站 NU.nl 与 NOS 表示，攻击者主动联系 Odido，声称掌握数百万条客户记录。目前暂无勒索软件组织宣称对此负责，截至 2 月 12 日，被盗数据未出现在公开网络或暗网中。 此次事件波及 Odido 大量客户，该公司为个人及企业用户提供移动、互联网与电视服务。 由安宏资本与华平投资控股的 Odido 强调，核心业务未受影响，客户可正常通话、上网与流媒体播放。 Odido 电信遭网络攻击 泄露信息包括客户全名、地址、手机号、客户编号、邮箱地址、国际银行账户号码（IBAN）、出生日期，以及护照、驾照等政府身份证件号码。关键的是，“我的 Odido” 门户密码、通话记录、定位数据、账单详情及身份证件扫描件未遭泄露。 Odido 将在 48 小时内通过 info@mail.odido.nl 邮箱或短信通知受影响客户，说明具体受影响情况。公司已按照欧盟法规要求，向荷兰数据保护局（AP）上报此次数据泄露事件。 Odido 已迅速聘请外部网络安全专家强化防御体系、提升监控能力并加强员工安全意识。公司首席执行官 Søren Abildgaard 表示：“我们对此次事件深表遗憾，将全力降低事件影响，为客户提供一切必要支持。” 公司已开设专属页面，发布事件进展、常见问题解答与自我防护建议。 此次泄露凸显电信行业安全漏洞，攻击者利用了客户联系数据库的防护短板。Odido 保证，事件发生后黑客未获取私人通讯录信息，也未进行定位追踪。 网络犯罪分子可能利用被盗数据实施冒充诈骗、伪造账单，或冒充 Odido、银行等机构发起钓鱼攻击。客户需谨慎甄别非邀约来电、邮件与短信，核查发件人域名、文字错误，或通过官方渠道核实号码。 防护建议 绝不泄露密码 / 个人识别码，独立核实来电人身份，仅通过 “我的 Odido” 平台核对账单。并非所有数据泄露都会导致信息滥用，但在攻击事件频发的背景下，保持警惕至关重要。 Odido 承诺将采取更严格措施防范类似事件，但专家指出，620 万条数据的泄露规模会大幅提升身份盗窃风险。建议客户持续关注 Odido 官网更新的常见问题解答与事件进展。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起大规模数据窃取活动曝光：287 款 Chrome 扩展程序秘密窃取全球约 3740 万用户的浏览历史。 代号 qcontinuum1 的研究人员发现，受影响用户约占全球 Chrome 用户总量的 1%，这是一起波及数百万网民的重大隐私泄露事件。 研究人员搭建了基于 Docker 容器与中间人代理的自动化扫描系统，用于检测可疑网络行为。 该系统监控扩展程序的外发流量，判断数据传输是否与 URL 长度相关 —— 这是识别浏览历史窃取行为的核心特征。 中间人代理拦截恶意 Chrome 扩展程序流量（来源：GitHub） 这些恶意扩展使用多种混淆技术掩盖其窃取行为。 部分扩展采用 ROT47 编码，还有部分使用 AES-256 加密搭配 RSA 密钥对，对浏览数据加密后再传输至远程服务器。 知名扩展程序 “Poper Blocker”“Stylish”“BlockSite” 均被列入恶意程序名单。调查发现，多家数据经纪商参与了用户信息的收集活动。 知名网络分析公司 Similarweb 运营多款扩展，包括其官方产品 “Website Traffic & SEO Checker”，该扩展拥有 100 万用户。 研究还发现与 Similarweb 关联的 Big Star Labs，其管控的扩展程序影响 370 万用户。 即便安装量达 600 万的正规安全工具 Avast Online Security，也因存在数据收集行为被标记。 隐私安全影响 被窃取的浏览数据除用于精准广告外，还会带来多重严重风险。 若员工安装看似无害的办公类扩展，这些程序会窃取内部 URL、内网地址与 SaaS 平台面板链接，为企业间谍活动提供可乘之机。 URL 通常包含个人标识信息，恶意分子可借此对特定人员实施精准攻击。研究人员搭建蜜罐陷阱，监测到第三方爬虫工具在主动收集被盗数据。 扩展程序泄露 Honey URL（来源：GitHub） 与 Kontera 等公司关联的多个 IP 地址反复访问蜜罐，表明存在一个利用用户浏览历史牟利的完整黑色产业链。 用户应立即核查已安装的 Chrome 扩展，卸载研究报告中列出的恶意程序。Chrome 网上应用店约有 24 万款扩展，人工逐一核验难度极大。 依据 qcontinuum1 的安全建议，专家推荐仅安装可审核代码的开源扩展，并在安装前仔细核查权限申请。 研究团队刻意未披露具体技术细节，避免攻击者快速调整作案手段。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布紧急安全更新，修复 Windows 桌面窗口管理器（DWM）中的一处高危零日漏洞。 该漏洞编号为 CVE-2026-21519，目前已遭在野利用，攻击者可借此完全控制受影响系统。 桌面窗口管理器（dwm.exe）是 Windows 核心系统进程，负责在屏幕上渲染各类视觉效果。包括透明窗口、实时任务栏缩略图，以及高分辨率显示器支持。 由于该进程管理整个视觉界面，因此在所有现代 Windows 版本中都会在后台持续运行。这种逻辑不匹配会导致程序向错误的内存位置读写数据，引发系统崩溃，或在本漏洞中导致安全突破。 在 CVE-2026-21519 漏洞中，攻击者可利用该逻辑缺陷，诱骗桌面窗口管理器进程执行恶意代码。 由于桌面窗口管理器与操作系统内核深度交互，成功利用该漏洞可使本地攻击者将权限从普通用户提升至系统（SYSTEM）级别。 系统权限可提供完整的管理控制权，攻击者可安装程序、查看或删除数据，并创建拥有完全权限的新账户。 微软将该漏洞评级为 “重要”，CVSS 评分为 7.8 分，并在 2 月安全更新中完成修复。 尽管攻击者需要获得设备本地访问权限（即已登录或攻陷低权限账户），但攻击操作简单，且无需用户交互。 该漏洞影响大量 Windows 版本，包括： 鉴于该漏洞正遭主动利用，强烈建议用户与管理员立即安装 2026 年 2 月安全更新。 官方修复程序可通过 Windows 更新与微软更新目录获取。抵御该攻击必须安装操作系统补丁，目前暂无已知有效缓解措施。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域出现了两种复杂的勒索软件家族：BQTLock 和 GREENBLOOD。它们采用截然不同的策略来破坏企业运营并勒索受害者。 虽然典型的勒索软件攻击通常遵循可预测的模式，即立即加密，但这些新型勒索软件展现了策略上的危险演变。 BQTLock 优先考虑隐蔽性和间谍活动，在文件被锁定之前，就能有效地将初始感染转化为数据泄露风险。 相反，GREENBLOOD 的设计目标是极致速度，它利用 Go 编程语言在执行后几分钟内即可加密系统并删除取证证据。 这些威胁的攻击途径在操作目标上存在显著差异。 BQTLock 在早期阶段的运行方式很像一个隐蔽的监视工具，它会将自身深度嵌入到合法的系统进程中，以避免触发安全警报。 这使得攻击者能够长期保持访问权限并窃取敏感信息而不被立即发现。 相比之下，GREENBLOOD 采用“突袭式”攻击策略，利用快速的 ChaCha8 加密技术瞬间瘫痪网络，同时通过基于 TOR 的泄露站点施加压力。 这种双重性给防御者带来了复杂的挑战，他们现在必须同时应对缓慢的间谍活动和高速的破坏。 Any.Run 分析师在最近的沙箱测试中发现了这些不同的行为，并指出有效的遏制措施需要在加密发生之前发现攻击。 借助 ANY.RUN 交互式沙箱，分析师能够实时观察完整的攻击行为链。查看 BQTLock 的完整执行链 BQTLock 攻击在沙箱中完全暴露（来源：Any.Run） 在 ANY.RUN 交互式沙箱中，勒索软件的行为和清理活动在执行过程中即可被观察到，从而能够在攻击最关键的阶段进行早期检测。 他们的研究强调，早期行为指标（例如意外的进程注入或快速的文件修改）通常是造成重大损害之前唯一可用的预警信号。查看 GREENBLOOD 的完整攻击链。 GREENBLOOD 在沙箱中暴露（来源：Any.Run） 通过在受控环境中观察这些攻击链，安全团队可以从被动恢复转向主动遏制，在威胁站稳脚跟之前将其阻止。 BQTLock 的规避和持久化机制 BQTLock 的独特之处在于其高度技术化的感染链，旨在绕过标准防御。恶意软件执行后不会立即勒索设备。 相反，它会将 Remcos 有效载荷直接注入到 Windows 核心进程 explorer.exe 中。 这种技术使恶意代码能够伪装成合法的系统活动，有效地绕过信任标准操作系统进程的传统防病毒工具。 通过这种隐蔽的方式，攻击者可以在网络中自由穿梭并提升权限而不引起注意。 为了确保对受感染机器的控制权，BQTLock 使用 fodhelper.exe 绕过用户帐户控制 (UAC)。 这种特殊操作会在未经用户许可的情况下授予恶意软件更高的管理员权限。 权限提升后，它会建立自动运行持久性，确保恶意访问在系统重启后仍然存在。 这种牢固的访问权限使攻击者能够进入第二阶段：窃取凭据并捕获屏幕截图，从而最大限度地提高勒索的筹码。 BQTLock 窃取凭据（来源：Any.Run） 建议安全专业人员关注行为监控，而不仅仅是静态文件签名。 检测 explorer.exe 和 fodhelper.exe 之间的特定交互可以作为针对此恶意软件的高保真警报。 入侵指标 (IOC)（来源：Any.Run） 此外，各组织应确保其威胁情报源已更新，以便识别与这些新型恶意软件家族相关的独特命令行参数和基础架构，从而防止重复感染。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度国防领域及政府关联机构遭多轮攻击活动盯上，攻击者通过远程访问木马攻陷 Windows 与 Linux 环境，窃取敏感数据并维持对受感染主机的持久控制。 此类攻击活动以使用 Geta RAT、Ares RAT、DeskRAT 等恶意软件家族为特征，这些工具通常关联亲巴基斯坦的威胁组织 SideCopy 与 APT36（又称透明部落）。SideCopy 至少自 2019 年起活跃，据评估为透明部落的分支组织。 Aryaka 公司安全工程与人工智能战略副总裁 Aditya K. Sood 表示：“整体来看，这些攻击延续了惯用模式但持续迭代升级。” “透明部落与 SideCopy 并非重构间谍攻击模式，而是对其不断优化。” “通过扩大跨平台覆盖范围、采用内存驻留技术、尝试新型投放向量，该攻击体系在保持战略目标的同时，始终隐蔽作案。” 所有攻击活动的共性是使用钓鱼邮件，搭载恶意附件或内嵌下载链接，将目标导向攻击者控制的基础设施。这类初始入侵载体为 Windows 快捷方式（LNK）、ELF 二进制文件、PowerPoint 插件文件，一旦被打开，便会启动多级流程释放木马。 上述恶意软件家族可实现持久远程控制、系统侦察、数据收集、指令执行，支持在 Windows 与 Linux 环境中开展长期入侵后操作。 其中一条攻击链如下：恶意 LNK 文件调用 mshta.exe，执行托管在被攻陷合法域名上的 HTML 应用（HTA）文件。该 HTA 载荷内嵌 JavaScript 用于解密嵌入的 DLL 载荷，DLL 进一步处理内嵌数据块，将诱饵 PDF 写入磁盘，连接硬编码的命令与控制（C2）服务器，并展示该诱饵文件。 诱饵文档展示后，恶意软件会检测已安装的安全产品，调整持久化方式，随后在受感染主机部署 Geta RAT。值得注意的是，该攻击链由 CYFIRMA 与 Seqrite 实验室研究员 Sathwik Ram Prakki 于 2025 年 12 月下旬详细披露。 Geta RAT 支持多项指令，可采集系统信息、枚举运行进程、终止指定进程、列出已安装应用、窃取凭据、获取并替换剪贴板内容、截屏、执行文件操作、运行任意 Shell 指令、窃取外接 USB 设备数据。 与针对 Windows 的攻击同步开展的还有 Linux 版本攻击，攻击者以 Go 语言二进制文件为起点，通过从外部服务器下载的 Shell 脚本释放基于 Python 的 Ares RAT。与 Geta RAT 类似，Ares RAT 可执行多项指令窃取敏感数据，运行攻击者下发的 Python 脚本或指令。 Aryaka 公司表示，还监测到另一起攻击活动：攻击者通过恶意 PowerPoint 插件文件投放 Go 语言编写的 DeskRAT，插件运行内嵌宏代码与远程服务器建立外连，下载恶意软件。2025 年 10 月，Sekoia 与奇安信威胁研究中心已披露 APT36 使用 DeskRAT 的相关情况。 “这些攻击表明，具备充足资源、以间谍活动为目的的威胁组织，通过国防主题诱饵、伪造官方文件、区域可信基础设施，精准靶向印度国防、政府及战略部门。” “攻击范围已超出国防领域，蔓延至政策、科研、关键基础设施及同一可信生态内的国防关联机构。” “同步部署 DeskRAT、Geta RAT 与 Ares RAT，凸显出攻击者的武器库持续迭代，专为隐蔽性、持久化与长期控制优化。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了首个在真实环境中监测到的恶意微软 Outlook 插件。 在 Koi 安全公司披露的这起非常规供应链攻击中，未知攻击者认领了与一款已弃用的合法插件关联的域名，用于投放伪造微软登录页面，在此过程中窃取了超 4000 条用户凭据。该网络安全公司将此次攻击活动代号定为 AgreeToSteal。 涉事 Outlook 插件名为 AgreeTo，开发者宣传其可帮助用户在同一平台整合不同日历，并通过邮件共享日程可用性。该插件最后一次更新时间为 2022 年 12 月。 Koi 公司联合创始人兼首席技术官 Idan Dardikman 表示，此次事件标志着供应链攻击向量的进一步扩大。 Dardikman 称：“这类攻击与我们在浏览器扩展、npm 包、IDE 插件中见到的属于同一类型：依托受信任的分发渠道，内容却可在审核通过后被篡改。” “Office 插件之所以格外令人担忧，是多重因素叠加所致：插件运行在用户处理最高敏感通信的 Outlook 内，可申请读写与修改邮件的权限，且通过微软官方应用商店分发，自带天然信任属性。” “AgreeTo 事件还带来了新的问题维度：原开发者并无任何过错，他们开发了合法产品后便不再维护。攻击利用了开发者弃用项目与平台察觉之间的时间差。所有托管远程动态依赖项的应用商店都存在此类风险。” 该攻击的核心是利用了 Office 插件的运行机制，以及应用商店对已上架插件缺乏定期内容监控的漏洞。 根据微软官方文档，插件开发者需创建账号并将产品提交至合作伙伴中心，随后通过审核流程方可上架。 此外，Office 插件依赖清单文件声明 URL，每次在应用内的内嵌框架中打开插件时，都会从开发者服务器实时拉取并展示对应内容。但现有机制无法阻止恶意分子接管已过期的域名。 在 AgreeTo 事件中，插件清单文件指向一个托管在 Vercel 平台的 URL（outlook-one.vercel.app），该插件约 2023 年成为弃用软件，开发者删除 Vercel 部署后，该域名便可被他人认领。截至本文撰写时，该恶意基础设施仍在运行。 攻击者利用这一机制在该 URL 上架设钓鱼工具包，展示伪造的微软登录页面，捕获用户输入的密码，通过电报机器人 API 窃取信息，最终将受害者重定向至真实的微软登录页面。 但 Koi 公司警示称，此次事件本可能造成更严重的后果。 鉴于该插件配置了 “读写项目” 权限，可读写并修改用户邮件，威胁行为者本可利用这一防御盲区部署 JavaScript 代码，隐秘窃取受害者邮箱内容。 该发现再次凸显出对应用商店与代码仓库中上传的程序包和工具进行重新扫描、标记恶意 / 可疑行为的必要性。 Dardikman 表示，微软仅在插件初次提交时审核清单文件，一旦通过签名审核，便无法管控插件每次打开时从开发者服务器实时拉取的实际内容。因此，对 URL 实际加载内容缺乏持续监控，为非预期的安全风险埋下了隐患。 Dardikman 补充道：“Office 插件与传统软件有着本质区别。” “它们不搭载静态代码包，清单文件仅声明一个 URL，而该 URL 在任意时刻加载的内容，都会直接在 Outlook 中运行。” 在 AgreeTo 事件中，微软于 2022 年 12 月对清单文件完成签名，指向 outlook-one.vercel.app。如今该 URL 正投放钓鱼工具包，而插件仍在应用商店中上架。 为应对该威胁引发的安全问题，Koi 公司向微软提出多项整改建议： ·     当插件 URL 返回内容与审核时不一致时，触发重新审核。 ·     验证域名所有权，确保由插件开发者管理，并标记域名基础设施已变更归属的插件。 ·     建立机制，对超过一定时长未更新的插件进行下架或标记处理。 ·     展示插件安装量，用于评估影响范围。 值得注意的是，此类问题并非仅存在于微软应用商店或 Office 应用商店。 上月，Open VSX 宣布计划在微软 VS Code 扩展程序上架开源仓库前强制执行安全检测。微软 VS Code 应用商店也会对仓库中的所有程序包进行定期批量重新扫描。 Dardikman 称：“所有托管远程动态依赖项的应用商店都存在相同的结构性问题：一次审核，永久信任。” “各平台的具体机制虽有不同，但只要应用商店仅在提交时审核清单文件，却不监控后续关联 URL 的实际加载内容，就会存在催生 AgreeTo 这类攻击的核心漏洞。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复 Windows 11 记事本中的一处 “远程代码执行” 漏洞，该漏洞可使攻击者诱骗用户点击特制的 Markdown 链接，从而执行本地或远程程序，且不会弹出任何 Windows 安全警告。 自 Windows 1.0 发布起，微软推出了记事本这款简单易用的文本编辑器，多年来，它被广泛用于快速记录笔记、阅读文本文件、创建待办事项，或作为简易代码编辑器使用。 若用户需要支持不同字体、字号，以及粗体、斜体、列表等格式工具的富文本格式（RTF）编辑器，可使用 Windows 写字板，后续则是 WordPad。 但随着 Windows 11 的发布，微软决定停止维护 WordPad 并将其从系统中移除。 微软转而对记事本进行现代化重写，使其兼具简易文本编辑器与富文本编辑器功能，并新增 Markdown 支持，用户可实现文本格式化与插入可点击链接。 Markdown 支持意味着记事本可打开、编辑并保存 Markdown 文件（.md），这类纯文本文件通过简易符号实现文本格式化、列表与链接展示。 微软修复 Windows 记事本远程代码执行漏洞 在 2026 年 2 月补丁星期二更新中，微软披露已修复记事本的一处高危远程代码执行漏洞，漏洞编号为 CVE-2026-20841。 微软安全公告说明：“Windows 记事本应用对命令中特殊元素处理不当（命令注入），可使未授权攻击者通过网络执行代码。” 微软将该漏洞发现归功于 Cristian Papa、Alasdair Gorniak 与 Chen，并称攻击者可通过诱骗用户点击恶意 Markdown 链接实施利用。 微软解释：“攻击者可诱骗用户点击记事本中打开的 Markdown 文件内的恶意链接，使应用启动未验证的协议，加载并执行远程文件。” 公告补充：“恶意代码将以打开该 Markdown 文件的用户安全上下文执行，攻击者将获得与该用户相同的权限。” 该漏洞的新颖性迅速引发社交媒体关注，网络安全研究人员快速摸清其原理与简易的利用方式。 攻击者只需创建 test.md 这类 Markdown 文件，构造指向可执行文件的 file:// 链接，或 ms-appinstaller:// 等特殊统一资源标识符（URI）即可。 用于创建可执行文件或应用安装链接的 Markdown（来源：BTtea） 若用户在 11.2510 及更早版本的 Windows 11 记事本中打开该 Markdown 文件，并以 Markdown 模式查看，上述文本会显示为可点击链接。按住 Ctrl 键点击该链接，文件会自动执行，且系统不会向用户弹出警告。 程序无警告执行，正是微软认定的远程代码执行漏洞核心问题。 Windows 11 命令提示符无警告启动（来源：BTtea） 该漏洞还可能使攻击者构造指向远程 SMB 共享文件的链接，实现无警告执行。 经科技媒体 BleepingComputer 测试，微软现已修复该 Windows 11 记事本漏洞，对非 http:// 或 https:// 协议的链接点击行为弹出警告。 Windows 11 记事本打开非标准 URL 时弹出警告（来源：BleepingComputer） 如今点击 file:、ms-settings:、ms-appinstaller、mailto:、ms-search: 等其他类型 URI 链接时，记事本均会弹出上述对话框。 但目前尚不清楚微软为何未直接禁用非标准链接，攻击者仍可通过社会工程学诱骗用户在提示框中点击 “是”。 好消息是，Windows 11 会通过微软应用商店自动更新记事本，该漏洞除技术新颖性外，大概率不会造成实际影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员监测到一起大规模钓鱼攻击活动，该活动投放长期存在的 Phorpiex 恶意软件，所使用邮件的主题为 “您的文档”，这一诱骗手段在 2024 至 2025 年被广泛使用。 此类邮件包含看似无害的文档附件，实则为经过武器化改造的 Windows 快捷方式文件，用于启动多级感染链。 网络安全公司 Forcepoint 发布的最新公告显示，该攻击活动依托 Windows 快捷方式（.lnk）文件作为初始入侵向量的持续有效性，用于投放 Global Group 勒索软件 —— 这是一款具备隐蔽性、可离线运行的勒索软件即服务（RaaS）工具。 Windows 快捷方式诱骗手段为何经久不衰 Windows 快捷方式文件仍是将单次点击转化为代码执行的可靠途径。攻击者通过 Document.doc.lnk 这类双后缀形式伪装文件，并利用 Windows 系统默认隐藏已知文件后缀名的设置。 视觉伪装同样发挥作用，攻击者复制合法 Windows 资源中的图标，强化文件为可信文档的假象。 快捷方式文件被打开后会启动 cmd.exe，进而运行 PowerShell 下载并执行第二阶段载荷。攻击过程不会显示安装界面，也不会向用户弹出明显告警，可在后台静默运行。 该感染链流程简洁但效果显著： ·     钓鱼邮件提供形似文档的附件 ·     快捷方式通过 cmd.exe 执行内嵌指令 ·     PowerShell 下载远程载荷并保存为 windrv.exe ·     该二进制文件在本地执行，无任何用户可见提示 本次攻击中获取的载荷关联 Phorpiex 恶意软件，这是一款 2010 年左右活跃的模块化恶意软件即服务（MaaS）僵尸网络，常用于分发勒索软件及其他次生恶意程序。 Global Group 的离线勒索软件模式 在本次攻击中，Phorpiex 最终投放 Global Group 勒索软件，该软件与多数现代勒索软件家族不同，可完全离线运行。 该恶意软件在本地生成加密密钥，不连接命令与控制（C2）服务器，也不执行数据窃取操作。 该设计使其可在隔离或物理隔离环境中运行，同时减少对易触发告警的网络流量的依赖。 该勒索软件采用 ChaCha20-Poly1305 算法加密文件，并为文件添加.Reco 后缀。恶意软件会在系统内释放名为 README.Reco.txt 的赎金通知，并将桌面壁纸替换为 GLOBAL GROUP 相关信息。 该恶意软件执行后会自删除，并清除系统卷影副本，增加取证分析与数据恢复难度。 Forcepoint 表示：“本次攻击表明，Phorpiex 这类老牌恶意软件家族搭配简单可靠的钓鱼手段，仍能保持极高攻击效率。” “攻击者利用 Windows 快捷方式这类常见文件类型，可低阻力获取初始访问权限，进而顺利投放 Global Group 勒索软件等高危害载荷。”     消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文