/
恶意软件伪装成Claude Code源码泄露进行攻击
数万名用户本周下载了所谓的Claude代码泄露源码,但部分下载包含恶意软件。恶意GitHub仓库利用Claude代码泄露作诱饵,传播Vidar信息窃取器和GhostSocks代理工具。Vidar可窃取账户凭证、信用卡数据和浏览器历史,GhostSocks则将感染设备变为代理基础设施。该恶意仓库曾出现在谷歌搜索结果顶部,获得793个分支和564个星标,展现了网络犯罪分子快速利用热门产品进行诈骗的能力。
微软警告用户不要随意打开WhatsApp消息
微软发现犯罪分子正通过WhatsApp消息发起多阶段攻击,传播恶意MSI安装包以控制受害者设备并窃取数据。攻击始于二月下旬,通过WhatsApp消息传递恶意VBS脚本文件。恶意脚本执行后会创建隐藏文件夹,并利用重命名的合法Windows工具下载二级载荷。攻击者随后部署恶意MSI安装程序获得远程访问权限。微软建议用户识别可疑附件,WhatsApp也推出严格账户设置功能阻止未知用户的附件和链接。
ClickFix攻击者使用新策略躲避检测手段
微软报告称,威胁行为者正在改变ClickFix钓鱼攻击策略来躲避检测。攻击者不再要求受害者将恶意命令复制粘贴到运行对话框,而是指导他们使用Windows+X快捷键直接启动Windows终端。受害者被诱导在终端中粘贴恶意PowerShell命令,这些命令通过虚假验证码页面或故障排除提示传递。这种方法可以绕过寻找异常运行命令的防御措施和安全意识培训。专家指出这种策略并非全新,但仍需要加强员工教育,建议组织限制未签名PowerShell命令的执行。
微软发现ClickFix攻击新变种:诱导用户在Windows终端自我植入恶意软件
微软威胁情报团队发现一种新的ClickFix诈骗变种,攻击者诱导Windows用户打开Windows终端并粘贴恶意代码,从而部署Lumma信息窃取器来盗取浏览器凭据。该攻击通过伪造验证页面或故障排除指南,指导用户使用Windows+X→I快捷键启动终端并执行恶意PowerShell命令。攻击者选择Windows终端是因为安全工具对其监控较少,且该工具被开发者频繁使用显得正常。恶意代码会下载7-Zip工具和压缩载荷,建立持久性访问并收集系统和浏览器数据。
OpenClaw恶意安装包借Bing AI搜索大肆传播
用户在必应AI搜索"OpenClaw Windows"时被引导至恶意GitHub仓库,该仓库分发信息窃取器和GhostSocks恶意软件。攻击者利用OpenClaw的热度,在GitHub上托管虚假安装程序,并通过必应AI搜索结果获得可信度。恶意软件隐藏在发布版本中,执行后会投放多个恶意程序,包括Vidar窃取器和GhostSocks代理恶意软件,用于窃取用户凭据和将受感染机器转化为代理服务器。
黑客利用LinkedIn私信传播RAT恶意软件
网络安全研究人员发现新型钓鱼攻击活动,黑客通过领英私信接触高价值目标,诱导其下载恶意压缩包。攻击利用DLL侧加载技术和开源Python脚本传播远程访问木马,通过合法PDF阅读器加载恶意DLL,在内存中执行shellcode以规避检测。攻击者最终获得受害主机的持久远程访问权限并窃取数据。由于社交媒体私信缺乏安全监控,已成为企业安全防护的薄弱环节,组织需将防御范围扩展至社交媒体平台。
黑客利用c-ares DLL侧加载漏洞绕过安全系统投放恶意软件
安全专家披露了一项活跃的恶意软件攻击活动,攻击者利用开源c-ares库中合法二进制文件的DLL侧加载漏洞,绕过安全控制并传播多种商业木马和窃取程序。攻击者将恶意libcares-2.dll与合法的已签名ahost.exe配对执行代码,绕过传统签名防护。此次攻击分发了Agent Tesla、CryptBot、Formbook等多种恶意软件,主要针对石油天然气、进出口等行业的财务、采购等岗位员工。
Mac用户终于开始重视恶意软件威胁
Moonlock发布的2025年Mac安全调查显示,Mac用户对恶意软件的认知正在发生重要转变。仅15%的受访者认为macOS免疫恶意软件,较2023年的28%大幅下降。66%的Mac用户在过去一年中至少遭遇过一次网络威胁。调查还发现,72%的用户担心人工智能助长网络威胁,46%认为需要额外安全软件保护。
京公网安备 11010802021500号
