假意Booking.com的网络垂钓活动利用ClickFix攻击窃守信息

首页 > 安全钻研 > 安全传递 > 安全简讯

假意Booking.com的网络垂钓活动利用ClickFix攻击窃守信息

颁布功夫 2025-03-14

1. 假意Booking.com的网络垂钓活动利用ClickFix攻击窃守信息

3月13日，微软近日发出忠告，指出存在一路假意Booking.com的网络垂钓活动，该活动自2024年12月起持续至今，重要针对酒店、观光社等使用Booking.com预约服务的组织员工。攻击者利用ClickFix社会工程攻击伎俩，通过发送含有恶意软件的电子邮件，意图劫持员工账户并窃取客户付款详情和幼我信息。据微软安全钻研人员分析，这次活动由名为“Storm-1865”的威胁组织提议。在这次活动中，攻击者发送假装成客人询问Booking.com有关屎的电子邮件，邮件中蕴含虚伪的CAPTCHA页面链接或PDF附件，诱骗受害者执行暗藏的mshta.exe号令。该号令会在攻击者服务器上执行恶意HTML文件，进而下载并装置多种RAT和信息窃取软件，如XWorm、Lumma stealer等。这些有效载荷拥有窃取财政数据和凭证以供诓骗使用的能力，是Storm-1865活动的典型特点。为了防御此类攻击，微软建议用户始终确认发件人地址的合法性，对垂危行动呼吁维持警惕，并寻找可能的拼写谬误以鉴别诳骗。同时，建议通过独立登录平台验证Booking.com账户状态和待处置警报，预防点击电子邮件中的链接，以降低被攻击的风险。

https://www.bleepingcomputer.com/news/security/clickfix-attack-delivers-infostealers-rats-in-fake-bookingcom-emails/

2. Mora_001利用Fortinet缝隙部署SuperBlack勒索软件

3月13日，名为“Mora_001”的勒索软件运营商在利用Fortinet披露的两个身份验证绕过缝隙（CVE-2024-55591和CVE-2025-24472）来获取防火墙设备的未授权接见，并部署定造的SuperBlack勒索软件。这两个缝隙别离在2024年1月和2月被Fortinet公开，但CVE-2024-55591自2024年11月起就已被用作零日缝隙进行攻击。而关于CVE-2025-24472，只管最初Fortinet暗示不明显是否被利用，但Forescout钻研人员在2025年1月下旬发现了SuperBlack攻击，批注该缝隙也已被利用。Mora_001运营商通过这两个缝隙获得“super_admin”权限，创建新治理怨厥户，并尝试横向移动以窃取数据。之后，他们使用自界说工具加密文件以进行双沉勒索，并在加密实现后搁置勒索信。此表，还部署了名为“WipeBlack”的定造擦除器以删除痕迹。Forescout发现SuperBlack与LockBit勒索软件之间存在缜密联系，只管前者似乎是独立行动，但两者在加密器结构、赎金纪录中的TOX谈天ID以及IP地址等方面存在大量沉叠。Forescout分享了与SuperBlack攻击有关的入侵指标列表以供防御参考。

https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/

3. CISA忠告Apple WebKit越界写入缝隙在被野表利用

3月13日，近日，美国网络安全和基础设施安全局（CISA）发出忠告，指出苹果WebKit浏览器引擎存在一个已被野表利用的零日缝隙，编号为CVE-2025-24201。这是一个越界写入问题，攻击者可通过精心机关的恶意网页内容，突破Web Content沙盒隔离，在受影响设备上执行未经授权的代码，甚至部署间谍软件。该缝隙宽泛影响iPhone XS及后续机型、iPad Pro系劣注iPad Air系劣注iPad系劣注iPad mini系劣注运行macOS Sequoia的Mac设备以及Apple Vision Pro，同时iOS和iPadOS上的第三方浏览器也受到影响，由于它们必须使用WebKit引擎。苹果已确认，该缝隙可能在针对特定幼我的“极其复杂”的攻击中被利用，并已颁布更新进行建复。CISA建议用户依照供给商批示采取缓解措施，蕴含当即更新设备、预防点击不成信链接和接见未知网站、监控设备行为以及启用自动更新。对于高风险用户和企事业用户，建议启用锁定模式以加强防护能力。企业用户还应部署移动设备治理解决规划，确保设备实时更新，并监控网络活动以发现潜在攻击迹象。

https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/

4. ESHYFT数据库配置谬误致86,000名医护人员敏感数据泄露

3月13日，ESHYFT 是一家总部位于新泽西州的健全科技公司，业务遍及 29 个州。近日，一个配置谬误的数据库露出了ESHYFT旗下86,000多名医护人员的108.8 GB敏感数据，蕴含SSN、身份证件扫描件、薪资详情等幼我身份信息。该数据库没有密码�；せ蚣用�，由网络安全钻研员Jeremiah Fowler发现。被泄露的数据还蕴含幼我资料图像、面部图像、专业证书、工作工作和谈等，以及一份具体纪录了80多万条护士信息的电子表格。此表，医疗文件也被泄露，可能受到HIPAA律例的约束。只管Fowler当即通知了ESHYFT，但该公司花了一个多月才限度公家接见。目前尚不明显数据库是否由ESHYFT占有或直收受理，以及露出的持续功夫和是否有未经授权的人员接见数据。网络犯罪分子可能会利用这些数据执行犯罪或糊弄受害者。因而，HealthTech必须执行适当的网络安全措施，如强造加密敏感数据、使用多成分身份验证、进行定期安全审核等，以�；び没莅踩�。同时，造订数据泄露应对打算、成立沟通渠路、提供掌管任的披露通知并教育用户鉴别网络垂钓贪图也是必要的。

https://hackread.com/healthtech-database-exposed-medical-employment-records/

5. 黑客滥用Microsoft Copilot进行复杂的网络垂钓攻击

3月13日，随着Microsoft Copilot在2023年推出并迅快成为很多组织不成或缺的出产力工具，网络犯罪分子也对准了这一新攻击媒介。他们利用精心造作的网络垂钓电子邮件，仿照合法的Microsoft通讯，诱骗用户点击链接，从而沉定向到伪造的Microsoft Copilot迎接页面。这些页面与合法的Microsoft界面高度类似，但URL并不属于Microsoft域。攻击者进一步仿照Microsoft身份验证过程，诱使用户输入凭证，并呈显燠诈性的Microsoft Authenticator多沉身份验证页面。此类网络垂钓活动已经显示出其严沉性，攻击者甚至发送电子邮件宣称向用户收取Microsoft Copilot服务用度。随着微软持续在其产品套件中集成人为智能职能，安全专业人员必须警惕新出现的威胁，执行全面的安全措施以防御这些威胁。微软和Cofense等工具能够援手鉴别和治理糊弄发件人，阻止潜在威胁。相识这些攻击步骤并执行适当的�；ご胧�，能够降低组织风险，同时依然受益于Microsoft Copilot等工具提供的出产力优势。

https://cybersecuritynews.com/microsoft-copilot-phishing-attack/

6. 捷豹路虎遭“Rey”黑客入侵，700份敏感数据泄露

3月12日，近期，一名化名“Rey”的威胁行为者入侵了英国驰名汽车造作商捷豹路虎（JLR）的内部系统，并泄露了约700份蕴含敏感技术和运营数据的内部文件，初次在暗网论坛上颁布。泄露的数据涉及多个类别，蕴含专有源代码、车辆开发日志、跟踪数据集以及员工数据库等，可能对该公司的知识产权安全和员工隐衷造成严沉威胁。这次泄密事务若是得到证实，将成为捷豹路虎面对的最严沉的网络安全威胁之一。网络安全分析师揣摩，数据泄露可能源自受到攻击的公司服务器或云存储库。只管尚未明确提及赎金要求，但泄露数据的技术性质可能使竞争敌手受益。捷豹路虎尚未就此颁发官方申明，但网络安全公司已起头验证泄露数据的真实性。这次事务凸显了汽车行业数字基础设施的脆弱性，专家建议JLR当即审核代码存储库，加强开发者账户的安全措施，并进行渗入测试。对于员工来说，凭证监控和安全意识培训也至关沉要。这次泄密事务再次警醒人们，汽车造作商在日益由软件驱动的行业中面对着不休变动的威胁，创新与网络安全之间的平衡依然不不变。

https://cybersecuritynews.com/threat-actor-allegedly-claiming-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研