1、攻击者利用微软脚本传播Amatera窃密木马

https://hackread.com/fake-captcha-scam-microsoft-tools-amatera-stealer/

研究人员于2026年1月23日披露一起新型虚假验证码攻击事件，黑客以伪造的“我不是机器人”验证为诱饵，诱导用户执行恶意操作，最终植入Amatera窃密木马窃取敏感数据，攻击手段极具隐蔽性且善用合法工具规避检测。该攻击要求用户按下Windows键+R组合键后粘贴代码执行，实则利用微软合法脚本SyncAppvPublishingServer.vbs（一款LOLBin工具）实施攻击。这款脚本是Windows系统中管理虚拟应用的可信签名组件，凭借官方合法性可轻松绕过多数杀毒软件检测。攻击者采用多重隐蔽策略：主动检测是否处于安全沙箱环境，步骤异常则立即终止；验证剪贴板特定标记确认人为操作，避免被自动化工具分析。

2、攻击者利用Microsoft Teams发起钓鱼攻击

https://blog.checkpoint.com/email-security/attackers-continue-to-target-trusted-collaboration-platforms-12000-emails-target-teams-users/

近期出现一起滥用Microsoft Teams功能的钓鱼活动，攻击者借助该可信协作平台分发伪造成微软官方服务的钓鱼内容，通过访客邀请及钓鱼主题团队名称伪装账单和订阅通知，诱导受害者拨打欺诈支持电话，无传统恶意链接却极具迷惑性。此次活动规模较大，累计发送钓鱼信息12866条，日均990条，影响6135名用户。攻击流程清晰：攻击者先创建新Teams团队，赋予其金融主题恶意名称，模仿紧急账单或订阅通知，名称中嵌入字符替换、混合Unicode字符等混淆技术，规避自动化检测的同时保证用户可阅读。

3、微软发布紧急更新修复在野利用的Office零日漏洞

https://securityaffairs.com/187349/hacking/emergency-microsoft-update-fixes-in-the-wild-office-zero-day.html

当地时间2026年1月26日，微软发布紧急带外安全更新，修复一个正被在野利用的Office零日漏洞，漏洞编号为CVE-2026-21509，属于安全功能绕过漏洞，影响Office 2016、2019、LTSC 2021、LTSC 2024及Microsoft 365企业应用等多个版本。微软公告指出，该漏洞因Office在安全决策中依赖不可信输入，导致攻击者可本地绕过安全功能，攻击需向用户发送恶意Office文件并诱使其打开，漏洞会绕过Microsoft 365及Office中的OLE安全保护，暴露易受攻击的COM/OLE控件。值得注意的是，Office预览窗格不受影响，无法作为攻击载体，微软暂未披露该漏洞被利用的具体技术细节。

4、谷歌支付6800万美元就其语音助手非法监听用户等指控达成和解

https://techcrunch.com/2026/01/26/google-pays-68-million-to-settle-claims-its-voice-assistant-spied-on-users/

据路透社报道，谷歌已同意支付6800万美元，就其语音助手非法监听用户以推送定向广告等指控达成集体诉讼和解。该初步和解协议已提交至美国加利福尼亚州圣何塞联邦法院，尚待法官批准，和解范围覆盖2016年5月18日起购买谷歌设备或遭遇语音助手误触发的用户。这起集体诉讼指控谷歌未经用户同意，非法拦截、录制私人对话，并向第三方未授权披露通信内容，还将录音获取的信息用于定向广告及其他用途。案件核心聚焦“误触发”问题，即谷歌助手在未收到用户唤醒词主动指令的情况下，仍被激活并录制对话内容，此类问题此前也曾导致谷歌助手录音泄露事件。值得注意的是，谷歌在和解中并未承认任何不当行为，此举与科技行业同类隐私诉讼的处理惯例一致。

5、LA-Studio Element Kit中发现严重后门

https://www.anquanke.com/post/id/314510

WordPress 社区近日遭遇一起严重安全事件：在 LA-Studio Element Kit for Elementor 插件中发现了一个后门漏洞。该插件在超过 20,000 个网站上运行。漏洞编号为 CVE-2026-0920，CVSS 评分高达 9.8（严重），允许未授权攻击者立即创建管理员账号，从而完全接管受影响网站。

6、数千个Clawdbot Agent暴露在公网风险中

https://www.freebuf.com/articles/ai-security/468403.html

当前流行的AI助手工具Clawdbot正在社交媒体上快速扩散，众多用户通过Mac mini硬件进行部署。但该工具同样适用于容器化环境或虚拟专用服务器(VPS)，而默认配置往往会导致服务暴露在公共互联网上。虽然全球可达性让用户能从任何地点访问Clawdbot，但大量用户未能实施严格的安全协议。这一疏忽使得众多实例直接暴露于外部探测之下——事实上，安全研究团体已发现多个毫无防护的Clawdbot节点正在运行。

7、高危沙箱逃逸漏洞：vm2 缺陷危及数百万应用

https://www.freebuf.com/articles/468372.html

Node.js 生态中广受欢迎的沙箱库 vm2 曝出重大安全漏洞（CVE-2026-22709），该漏洞 CVSS 评分高达 9.8 分，可使攻击者完全绕过沙箱环境，在宿主机上执行任意代码。数百万开发者使用该库运行不可信代码，受影响版本为 3.10.0 及以下。

8、微软向FBI提供BitLocker密钥以解锁调查中的加密笔记本电脑

https://cybersecuritynews.com/microsoft-shares-bitlocker-keys/

微软配合FBI提供BitLocker密钥解锁涉案电脑，揭示云存储加密密钥的双重性：既便利用户恢复数据，又可能被执法部门获取。案件凸显隐私与执法的平衡难题，专家建议离线保存密钥以增强安全性。

9、隐形陷阱：生成式AI现可创建"活体"多态钓鱼页面

https://securityonline.info/the-invisible-trap-genai-now-creates-living-polymorphic-phishing-pages/

攻击者利用生成式AI创建动态钓鱼页面，通过受信任的AI服务实时生成恶意代码，绕过传统检测。多态性使每次攻击代码唯一，基于签名的检测失效，需依赖运行时行为分析防御。

10、2025年新增漏洞5万个，公开遭到利用的不足千个

https://www.secrss.com/articles/87379

2025年新增的CVE漏洞数量目前大约为4.8万个，但公开遭到利用（KEV）的仅884个；漏洞利用速度已成为防御方面临的核心挑战，如果企业能将安全资源优先用于已遭利用漏洞，将极大减缓安全噪音、降低暴露风险、领先于攻击者。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。