1、安卓GhostSpy木马窃取用户银行数据

https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/

研究人员发现了一种名为GhostSpy的新型安卓远程控制木马。该恶意软件通过多阶段感染来控制系统，并窃取银行信息、通信数据以及敏感文件。攻击过程始于一个伪装成合法应用的初始APK文件，该文件会利用安卓的无障碍服务自动授予自身权限，并静默安装恶意载荷。GhostSpy木马具备键盘记录、屏幕截图、摄像头/麦克风监控以及远程擦除设备日志的能力。

2、新型macOS窃密木马AppleProcessHub窃取开发者数据

https://securityonline.info/new-macos-infostealer-appleprocesshub-uses-objective-c-to-steal-developer-data/

新型macOS窃密木马AppleProcessHub使用Objective-C编写，它能够窃取多种敏感文件，这些文件包括.bash_history、.zsh_history、GitHub的gitconfig文件、SSH密钥及其配置、/etc/hosts文件以及.ssh文件夹中的内容，还包括macOS Keychain数据库。这些被窃取的文件中包含认证令牌、shell命令、端点IP地址、内部主机名以及私钥等宝贵信息。AppleProcessHub伪装成动态库的Mach-O二进制文件，利用苹果的Grand Central Dispatch技术下载恶意载荷，并通过AES-128解密命令与控制逻辑来执行这些恶意载荷。已知的有效载荷包括一个名为fSidEOWW.sh的脚本，该脚本负责收集目标数据、将其压缩并上传给攻击者。

3、Interlock勒索组织在大学部署新型NodeSnake远程控制木马

https://www.bleepingcomputer.com/news/security/interlock-ransomware-gang-deploys-new-nodesnake-rat-on-universities/

研究人员发现，勒索组织Interlock针对英国高校及地方政府机构发起了新型攻击，并部署了NodeSnake远程控制木马。该恶意软件通过硬编码的C2服务器建立连接，利用HTTP协议外泄数据，同时支持远程控制、文件窃取以及后续恶意工具的投递。研究人员通过代码同源性分析，确认该攻击行为源自Interlock勒索组织。此外，新变种的技术复杂度显著提升，其攻击目标已从高校扩展至地方议会系统。该勒索组织延续了加密数据与威胁泄露相结合的双重勒索模式，但与主流的勒索软件即服务（RaaS）模式不同，它没有附属组织参与，而是独立运作。

4、Dark Partners攻击组织伪造下载站部署窃密软件

https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/

Dark Partners攻击组织通过伪造37款热门应用的下载网站，大规模部署窃密软件。其伪造的站点涵盖了Sora、DeepSeek等AI工具应用，Ledger、Exodus等加密货币相关应用，以及Windscribe VPN、TikTok Studio等软件。该组织通过在这些伪造站点的“下载按钮”上做手脚，诱导用户下载并获取恶意载荷。攻击行为会根据用户操作系统分发不同的恶意软件：若用户为Windows系统，则部署Lumma窃密软件和PayDay加载器，其中PayDay加载器会利用Google Calendar链接来获取C2地址，并通过NTFS备用数据流隐藏虚拟硬盘（VHD）以实现持久化，该恶意软件组合可窃取76种加密货币钱包数据；若用户为macOS系统，则植入Poseidon窃密软件，该软件通过定制的DMG启动器窃取浏览器数据以及MetaMask、Ledger Live等钱包的密钥。

5、新型"选择劫持"攻击：恶意充电器可入侵安卓与iOS设备

https://cybersecuritynews.com/choicejacking-attack/

新型"选择劫持"攻击通过恶意充电站窃取智能手机数据，利用安卓AOAP漏洞和输入系统缺陷绕过安全措施，影响主流品牌设备。建议避免使用公共USB接口，保持系统更新，使用数据隔离器。

6、PumaBot僵尸网络瞄准Linux物联网设备窃取SSH凭证并挖矿

https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html

新型僵尸网络PumaBot攻击Linux物联网设备，通过Go语言暴力破解SSH传播，伪装系统文件持久化并挖矿，需监控异常登录、审计服务及加强防火墙防御。

7、新型AyySSHush僵尸网络入侵9000余台华硕路由器

https://securityaffairs.com/178413/malware/new-ayysshush-botnet-compromised-over-9000-asus-routers-adding-a-persistent-ssh-backdoor.html

新型AyySSHush僵尸网络入侵9000多台华硕路由器，植入持久SSH后门，利用CVE-2023-39780漏洞绕过安全功能，攻击隐蔽且重启后仍有效，需警惕固件升级无法清除后门。

8、微软Entra平台设计缺陷：来宾用户可获取Azure控制权

https://hackread.com/microsoft-entra-design-guest-users-gain-azure-control/

微软Entra身份平台存在设计缺陷，来宾用户可利用计费权限在目标租户创建订阅并获取所有者权限，导致特权升级风险。微软确认此为预期行为但默认未启用防护措施，建议启用订阅策略并加强监控审计。

9、UTG-Q-015组织利用零日漏洞在亚洲实施间谍活动

https://securityonline.info/new-cyber-threat-utg-q-015-exploits-0-days-for-espionage-in-asia/

黑客组织UTG-Q-015战术升级，利用零日漏洞、水坑攻击等手段，针对区块链、金融及AI基础设施发起定向攻击，植入后门并横向渗透，与东亚黑客组织竞争激烈，威胁加剧。

10、苹果五年拦截90亿美元欺诈交易

https://www.freebuf.com/articles/endpoint/432657.html

苹果公司周二披露，过去五年间已阻止超过90亿美元的欺诈交易，其中仅2024年就拦截逾20亿美元。该公司表示，App Store正面临各类威胁，包括"窃取个人信息的欺诈性应用"和"试图利用用户的虚假支付方案"等多样化欺诈手段。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。