1、 新型.NET后门CAPI攻击俄汽车与电商业

https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/

Seqrite Labs披露一项针对俄罗斯汽车与电商领域的网络钓鱼行动，攻击者通过含ZIP压缩包的邮件投递名为“CAPI Backdoor”的新型.NET恶意软件。压缩包内含伪装为税收法规通知的俄文诱饵文档及同名LNK快捷方式，后者利用系统合法程序rundll32.exe加载后门DLL“adobe.dll”，实现“借壳执行”。该后门具备检测管理员权限、识别防病毒软件、窃取浏览器数据、截图、收集系统信息及目录内容等功能，并将结果回传至远程服务器。CAPI还通过计划任务与启动文件夹两种机制实现持久化，具备反虚拟机检测能力。研究者指出，其中域名carprlce[.]ru伪装成车价网站carprice[.]ru，印证其针对俄罗斯汽车行业的定向意图。

2、131款Chrome扩展劫持WhatsApp进行大规模垃圾信息活动

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

安全公司Socket揭露，一场针对巴西用户的协调性滥用活动利用了131个伪装为WhatsApp Web自动化工具的Chrome扩展，用于大规模垃圾信息发送。这些扩展共享相同代码与基础设施，合计拥有约2万活跃用户，由“WL Extensão”及其变体账户发布，源自巴西公司DBX Tecnologia的白标授权计划。攻击者通过这些扩展在WhatsApp Web中直接注入代码，自动批量发送信息、绕过反垃圾机制，并以“CRM客户管理工具”名义在Chrome商店推广。Socket指出，该操作违反了Google扩展商店反垃圾政策，DBX甚至在YouTube上宣传如何规避WhatsApp的反滥用算法。此事件暴露出巴西地区滥用浏览器扩展进行自动化信息投递的持续安全风险。

3、TikTok视频蔓延ClickFix窃密攻击

https://www.bleepingcomputer.com/news/security/tiktok-videos-continue-to-push-infostealers-in-clickfix-attacks/

安全研究者发现，犯罪分子在TikTok上发布伪装为“免费激活”指南的视频，利用ClickFix社工手法诱导用户在PowerShell中运行一行命令以下载并执行恶意脚本，从而感染信息窃取器（如Aura Stealer）并窃取浏览器凭证、钱包及其它敏感数据。ISC与BleepingComputer的分析指出，攻击链会从远程站点（例如 slmgr[.]win）检索脚本并进一步从Cloudflare Pages分发可执行体，攻击者还采用自编译与内存注入手法增加隐蔽性。研究者警告，执行此类命令的用户应假定凭证已被泄露并立即重置相关密码以减轻影响。

4、微软警告十月更新导致智能卡认证故障

https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-25h2#3697msgdesc

微软发布通告称，2025年10月的Windows安全更新引发了智能卡认证与证书相关问题，影响范围涵盖所有版本的Windows 10、Windows 11及Windows Server。该问题源于微软为增强加密安全性而默认启用的一项更改，将RSA智能卡证书从CSP迁移至KSP机制，以防止CVE-2024-30098漏洞利用。然而，该调整导致部分系统出现无法识别智能卡、签名失败及“invalid provider type specified”等错误。微软建议受影响用户可通过修改注册表键值DisableCapiOverrideForRSA=0临时恢复功能，但此键将在2026年4月移除。公司提醒用户在修改前备份注册表，并建议与应用供应商协作以修复根本兼容性问题。

5、CISA 警告称苹果、Kentico、微软多个漏洞已被利用

https://www.securityweek.com/cisa-warns-of-exploited-apple-kentico-microsoft-vulnerabilities/

美国网络安全机构 CISA 于周一警告称，最近公开的 Windows SMB 客户端和 Kentico Xperience CMS 漏洞已在野外被利用。CVE-2022-48503（CVSS 评分为 8.8），一个在苹果产品中的任意代码执行问题，已经在野外被滥用。

6、无印良品因物流合作伙伴遭勒索攻击暂停线上销售

https://www.freebuf.com/articles/es/453589.html

日本零售巨头无印良品（Muji）在其物流合作伙伴Askul遭受勒索软件攻击后，暂停了线上销售业务。此次网络事件导致配送服务和线上商店功能中断，包括订单处理和应用服务。

7、TP-Link Omada网关曝高危漏洞，可未授权远程执行命令

https://www.freebuf.com/articles/es/453472.html

TP-Link Systems 已发布新版固件，修复其广受欢迎的 Omada 网关系列产品中四个高危漏洞，这些产品包括 ER605、ER7206、ER8411 等在企业和小型商业网络中广泛部署的型号。编号为 CVE-2025-6541、CVE-2025-6542、CVE-2025-7850 和 CVE-2025-7851 的漏洞可使攻击者在受影响设备上执行任意操作系统命令，某些情况下甚至无需认证。

8、杜比解码器零点击漏洞曝光，安卓用户可能遭RCE

https://www.freebuf.com/articles/system/453416.html

杜比DDPlus解码器中被披露存在一处关键零点击漏洞，攻击者可通过看似无害的音频消息远程执行恶意代码。谷歌Project Zero团队的Ivan Fratric与Natalie Silvanovich发现，DDPlus解码器在处理音频文件演进数据时存在越界写入缺陷。

9、GlassWorm蠕虫利用隐形Unicode与区块链实现隐蔽C2通信

https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/

全球首个VS Code扩展恶意软件GlassWorm被发现，结合隐形Unicode注入、区块链C2和RAT功能，已感染3.58万次安装。它能自主传播、窃取凭证并控制设备，代表供应链攻击新高度，目前仍在活跃扩散。

10、微软WSUS曝高危漏洞PoC 利用代码已公开

https://cybersecuritynews.com/poc-wsus-rce-vulnerability/

微软WSUS(Windows Server Update Services )曝高危漏洞CVE-2025-59287（CVSS 9.8），允许未授权攻击者以SYSTEM权限远程执行代码，影响2012-2025所有版本。PoC已公开，建议立即应用10月补丁并隔离WSUS服务器，防范供应链攻击风险。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。