https://securityonline.info/shadowreactor-malware-builds-remcos-rat-via-text-files/
研究人员发现新型复杂恶意软件框架SHADOW#REACTOR,其以多阶段攻击部署臭名昭著的Remcos RAT,采用无文件技术几乎不在受害者硬盘留下痕迹,成功绕过企业防御。该框架核心规避手段为使用“纯文本中间件”,通过混淆VBS脚本启动器调用PowerShell下载器,获取含有效载荷碎片的普通文本文件,而非易被检测的恶意二进制文件。碎片在内存中重组编码后,经.NET Reactor保护组件解码,最终借助MSBuild.exe等合法Windows工具(Living-off-the-Land战术)完成执行,伪装正常管理行为规避监测。Remcos RAT可实现屏幕监控、键盘记录、密码窃取等恶意操作,而攻击者采用“广撒网”策略随机攻击,疑似初始访问中介,意图出售网络访问权牟利。
韩国大型综合企业教元集团(Kyowon)确认遭遇勒索软件攻击,导致业务运营中断,客户数据疑似泄露。该集团业务涵盖教育、出版、媒体、科技等多个领域,旗下多家核心子公司均受影响。攻击于2026年1月10日早间被发现,教元集团立即启动应急响应隔离受影响服务器,并向韩国互联网与安全局(KISA)及相关部门报备,联合外部网络安全专家排查攻击原因与损失范围。据调查,攻击者利用暴露在外网的服务器及开放端口入侵内网,横向渗透至各子公司,感染勒索软件后发起敲诈,目前已有600台服务器(共800台)受影响,多家子公司网站仍处于下线状态。韩国当局预估约960万用户账户可能受波及,客户信息是否泄露仍在核查中。
黑客正活跃利用WordPress插件Modular DS的最高危漏洞(CVE-2026-23550),远程绕过身份验证并获取目标网站管理员权限。该漏洞影响2.5.1及以下版本,这款插件可通过单一界面管理多个WordPress站点,拥有超4万次安装量,功能涵盖远程监控、用户管理、服务器信息访问等。Patchstack研究人员发现,攻击于2026年1月13日凌晨2时(UTC)首次被检测到,目前已在野活跃利用。漏洞源于设计与实现缺陷,开启“直接请求”模式后会默认信任请求且不验证来源,触发自动管理员登录机制,无指定用户ID时会自动登录现有管理员账户。
https://www.theregister.com/2026/01/14/france_fines_free_free_mobile/
法国数据保护监管机构CNIL对 Iliad集团旗下两家电信公司Free(固网业务)与Free Mobile(移动业务)处以总计4200万欧元(约合4890万美元)罚款,起因是2024年10月的数据泄露事件违反GDPR规定,波及超2400万用户,含IBAN等财务信息。攻击始于2024年9月28日,攻击者通过VPN入侵Free网络,借助Free Mobile的MOBO用户管理工具窃取数据,10月6日开始泄露数据,两家公司共2463万余份合约信息受影响。企业10月21日才从攻击者处得知入侵。
https://hackread.com/paypal-scam-verified-invoices-fake-support-numbers/
一种新型钓鱼诈骗正利用PayPal合法发票系统实施攻击,凭借邮件蓝色认证标记(BIMI标识)绕过安全过滤,连技术熟手也可能受骗。攻击者先在PayPal创建虚假商家账户,借助平台“收款请求”或“发票”功能发送邮件,因由PayPal官方发送,可通过SPF、DKIM、DMARC全项认证,成功获得收件箱蓝色对勾,甚至绕过Google Workspace安全过滤。诈骗陷阱暗藏在发票“客户备注”栏,而非恶意链接,会伪造扣款信息并附上虚假客服电话诱导回拨。攻击者还会将邮件发送至陌生邮箱,利用收件人的困惑心理促使其拨打诈骗电话,以此实施进一步诈骗。
研究人员发现Reprompt攻击方法,可绕过Microsoft Copilot内置安全机制窃取数据,该漏洞已在2026年1月周二补丁更新中修复,目前无在野利用证据。该攻击滥用Copilot对URL参数的处理逻辑,在q参数中隐藏恶意提示,用户点击钓鱼链接后,Copilot会自动执行提示,劫持已认证的个人会话。其区别于同类注入攻击的优势是,无需用户输入提示、安装插件或启用连接器,仅通过让Copilot重复执行操作即可绕过防护。
Lumen公司黑莲花实验室通过阻断550余台命令与控制(C2)服务器,成功瓦解了用于DDoS攻击和代理滥用的AISURU及Kimwolf僵尸网络。AISURU属TurboMirai家族,提供付费DDoS服务,攻击速率超1.5Tb/秒,还具备凭证填充、AI爬虫等多类非法功能,其攻击曾致宽带服务中断及路由器故障。Kimwolf是关联AISURU的新型安卓僵尸网络,感染超180万台设备,3天内下发17亿条DDoS指令,主要针对电视盒子,具备多重隐匿及攻击功能。
https://securityonline.info/spy-steal-lock-devixor-android-trojan-hits-banking-crypto-users/
研究人员发布分析报告,揭露deVixor安卓银行木马的恶性攻击行为,该木马自2025年10月起持续针对伊朗用户发起攻击,已从简单短信窃取工具进化为全功能远程控制木马(RAT)。攻击者通过伪装成正规汽车业务的钓鱼网站,诱骗用户下载恶意APK文件。木马安装后会申请多项高危权限,窃取短信中的验证码、银行卡号等金融信息,还借助WebView注入技术劫持银行会话、通过键盘记录和截图等功能监控设备,更搭载远程触发勒索模块可锁定设备。其利用Telegram搭建C2架构保障稳定性,具备模块化扩展能力,是针对性极强的犯罪工具。专家提醒区域用户切勿从第三方渠道下载应用,尤其警惕汽车服务类伪装程序。
https://hackread.com/ghostposter-browser-malware-840000-installs/
研究人员揭露一起持续5年的恶意软件攻击事件,GhostPoster浏览器恶意软件通过多浏览器扩展传播,凭借隐蔽技术长期未被发现,累计安装量超84万次。该恶意软件最初现身于微软Edge浏览器,后扩散至Chrome和Firefox,通过将恶意载荷隐藏在PNG图片中解码执行,规避静态分析与人工审核。Koi Security披露相关发现后,LayerX追踪到17款采用相同架构的关联扩展,部分扩展在用户设备中潜伏近5年。此外,还有一高级变种通过更多规避技术传播,虽仅3822次安装,但设计缜密。目前 Mozilla 与微软已下架相关扩展,但其仍在已安装设备运行,需用户手动卸载,专家提醒定期清理无用扩展、限制权限。
研究人员发现谷歌Fast Pair协议存在高危漏洞WhisperPair(CVE-2025-36911),可让黑客劫持蓝牙音频设备,实施追踪与窃听,影响数亿台支持该功能的耳机、音箱等设备,跨iOS与安卓系统。漏洞因厂商未严格执行协议规范,设备非配对模式下仍响应配对请求,黑客可通过蓝牙设备在14米内秒级强制配对,无需用户操作。配对后可控制设备播放高音、通过麦克风窃听,还能借助谷歌Find Hub网络追踪位置。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
