新社工攻击借用户习惯撒播DarkGate恶意软件

首页 > 清静研究 > 清静转达 > 清静简讯

新社工攻击借用户习惯撒播DarkGate恶意软件

宣布时间 2025-12-19

1. 新社工攻击借用户习惯撒播DarkGate恶意软件

12月17日，网络清静研究职员克日披露一种名为ClickFix的新型社会工程攻击手法，该攻击使用用户对常见手艺提醒的信托心理，诱骗其手动执行恶意下令以撒播DarkGate远程会见恶意软件。攻击始于虚伪提醒，用户被误导以为缺少"Word Online"浏览器扩展，当点击"怎样修复"按钮时，网站会通过JavaScript将恶意PowerShell下令神秘复制到用户剪贴板。随后攻击者指导用户按下Windows+R翻开运行对话框，并通过Ctrl+V粘贴复制的文本执行下令。由于该操作由用户自动触发，清静机制可能不会将其识别为威胁。攻击链进一步睁开：执行后的PowerShell剧本会毗连linktoxic34.com服务器下载nC.hta文件，该文件生涯在C盘公共目录。通过多层base64编码和反向函数混淆，黑客乐陋习避检测。剧本运行后会自动建设C盘目录，安排AutoIt可执行文件和script.a3x剧本，在无需用户交互的情形下继续攻击流程。DarkGate恶意软件一旦运行，将建设长期性机制确珍重启后仍保存，同时窃取用户敏感信息并外泄，使用DES加密隐藏恶意文件，导致系统泛起卡顿、瓦解、未经授权工具栏及大宗弹出广告等症状。

http://hackread.com/clickfix-attack-fake-browser-install-darkgate-malware/

2. 万万级Chrome扩展被曝窃取AI对话数据

12月17日，网络清静公司Koi研究发明，一款名为Urban VPN Proxy的Chrome扩展程序正神秘窃取用户与AI谈天机械人的对话纪录，涉及ChatGPT、Claude、Gemini等至少十个主流平台。该扩展拥有超600万用户，评分为4.7星，并获得Google"精选"徽章认证，自称提供免费VPN服务以增强隐私清静，实则潜在数据网络�？�。研究职员发明，扩展程序通过硬编码设置标记默认启用数据网络功效，用户无法通过设置禁用，只能通过卸载退出。该功效于2025年7月9日宣布的5.5.0版本中引入，此前版本无此行为。由于Chrome扩展自动更新机制，已装置用户会在无明确通知的情形下获得新功效。更令人震惊的是，统一刊行商推出的其他七款扩展程序均包括相同的AI数据收罗功效，总用户数达800万。这些扩展涵盖VPN、广告阻挡器、清静工具等多个种别，且大都带有Google或Microsoft的"精选"徽章，批注平台审核机制保存严重误差。

https://cybernews.com/security/ai-chat-vpn-extension-spying/

3. 悉尼大学遭黑客入侵致超2.7万人数据泄露

12月18日，克日，澳大利亚悉尼大学遭遇严重网络清静事务，黑客入侵其在线代码库并窃取包括教职员工、学生及校友小我私家信息的文件。该事务于上周被检测到，大学连忙关闭未经授权的会见通道，并同步转达新南威尔士州隐私专员、澳大利亚网络清静中心及教育羁系机构。经核查，此次泄露涉及凌驾27,000名职员，详细包括：阻止2018年9月4日的10,000名现员工及隶属机构职员、12,500名前员工及隶属职员、约2010年至2019年间的5,000名学生和校友，以及6名支持者。泄露数据涵盖姓名、出生日期、电话号码、家庭住址、事情详情等敏感信息。大学强调，虽确认数据已被会见下载，但未发明果真撒播或滥用证据。作为澳大利亚规模最大的公立大学之一，悉尼大学拥有7万名学生和1万名教职员工。现在，该校已启动个性化通知程序，预计下月完成对受影响职员的见告事情，并设立专门支持服务提供咨询援助，同时宣布动态更新的常见问题解答页面。官方建议受影响者小心未授权通讯、实时修改账号密码并启用多因素认证。

https://www.bleepingcomputer.com/news/security/university-of-sydney-suffers-data-breach-exposing-student-and-staff-info/

4. Clop团伙瞄准Gladinet CentreStack服务器实验数据窃取

12月18日，近期，Clop勒索软件团伙正针对袒露于互联网的Gladinet CentreStack文件服务器提倡新一轮数据窃取攻击。该服务器允许企业通过Web浏览器、移动应用或映射驱动器清静共享外地文件，无需VPN，已被49国数千家企业接纳。自4月起，Gladinet虽已宣布清静更新修复多个被使用误差，但Clop仍通过扫描并入侵未受�；さ腃entreStack服务器实验攻击，在受熏染服务器上留下勒索信。现在，攻击者使用的详细误差尚未明确，可能是零日误差或未实时修复的已知误差。威胁情报机构Curated Intel披露，至少200个运行“CentreStack-Login”HTTP请求的IP地点已成为潜在目的。Clop的攻击模式延续其历史战略，先窃取敏感数据，再通过暗网泄露网站及Torrent宣布，以此勒索受害者。

https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/

5. GlobalProtect与Cisco SSL VPN遭大规模凭证探测

12月18日，近期，一场针对多个VPN平台的自动化凭证攻击运动引发关注。威胁监控平台GreyNoise于12月11日视察到，针对Palo Alto Networks GlobalProtect门户的登录实验在16小时内激增至170万次，涉及超10,000个差别IP地点，主要攻击目的位于美国、墨西哥和巴基斯坦的基础设施。恶意流量险些所有源自德国3xK GmbH的IP地点空间，体现保存集中式云基础设施支持。攻击特征显示，威胁行为者重复使用常见用户名和密码组合，且大都请求伪装成Firefox用户署理。用户署理、请求结构实时间的一致性批注，这是旨在识别袒露或�；け∪醯腉lobalProtect门户的剧本化凭证探测，而非交互式会见或误差使用。12月12日，统一托管提供商的攻击转向Cisco SSL VPN端点，唯一攻击IP地点数目从缺乏200个跃升至1,273个，这是已往12周内首次大规模使用3xK托管IP针对Cisco SSL VPN的攻击。登录有用载荷遵照正常SSL VPN身份验证流程，进一步证实这是自动化凭证攻击而非误差使用。

https://www.bleepingcomputer.com/news/security/new-password-spraying-attacks-target-cisco-pan-vpn-gateways/

6. 弗吉尼亚州RBHA遭勒索攻击致超11万人数据泄露

12月18日，弗吉尼亚州里士满行为康健治理局（RBHA）克日披露，其于9月29日遭受勒索软件攻击，导致部分网络被加密，超11.3万人小我私家信息面临泄露危害。作为里士满市公共机构，RBHA提供心理康健支持、�；展嘶な俊⒁┪锢挠迷し赖纫Ψ�。攻击越日，该机构即发明事务并迅速驱逐攻击者，但威胁行为者可能已获取包括姓名、社会包管号码、护照号码、金融账户及康健信息在内的敏感数据。据美国卫生与公众服务部报告，此次事务影响113,232名个体。RBHA在官网宣布的事务通知中强调，虽无确凿证据批注数据已被会见，但出于审慎仍提醒受影响者增强小心，建议按期核查账户对账单、监控信用报告以提防身份偷窃及诓骗行为。值得注重的是，勒索软件组织“麒麟”已宣称对此次攻击认真，并将RBHA列入其基于Tor的泄露站点。该组织随后宣布了据称窃取的192GB数据，含超39.3万份文件，进一步加剧了数据滥用危害。

https://www.securityweek.com/113000-impacted-by-data-breach-at-virginia-mental-health-authority/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究