TamperedChef信息窃取法式通过诓骗性PDF编纂器传布

首页 > 安全钻研 > 安全传递 > 安全简讯

TamperedChef信息窃取法式通过诓骗性PDF编纂器传布

颁布功夫 2025-09-01

1. TamperedChef信息窃取法式通过诓骗性PDF编纂器传布

8月30日，近期网络安全钻研人员披露了一路涉及Google告白推广的复杂网络犯罪活动，威胁行为者通过50余个伪造域名分发携带TamperedChef信息窃取恶意软件的PDF编纂工具。该活动出现多阶段特点，自2024年6月26日起，攻击者通过注册或收受网站推广"AppSuite PDF Editor"等工具，利用至少四家企业的合法证书签署糊弄性利用法式，形成技术可信度假装。主题恶意软件TamperedChef通过可执行文件的"-fullupdate"参数触发，在8月21日前以正常职能示人，待Google告白实现60天推广周期前四天忽然激活恶意�？�。该窃取法式通过DPAPI接口解密浏览器数据，沉点窃取用户凭证、网络Cookie等敏感信息，并具备检测安全代理的环境感知能力。钻研揭示该犯罪团伙构建了互有关联的利用生态，除主攻PDF工具表，还通过OneStart、Epibrowser等潜在有害法式（PUP）形成交叉习染链。Expel公司发现部门利用会诱导用户将设备注册为住宅代理，攻击者可能通过合法代理服务商洗白犯法流量。值妥贴心的是，即便代码署名证书已被撤除，当前已装置设备仍面对持续风险。

https://www.bleepingcomputer.com/news/security/tamperedchef-infostealer-delivered-through-fraudulent-pdf-editor/

2. APT37利用谍报文件对韩发起精密网络垂钓攻击

8月29日，网络安全公司Seqrite最新披露，朝鲜支持的黑客组织APT37近期针对韩国当拘陌谍报机构提议代号"韩国幻影行动"的鱼叉式网络垂钓攻击，通过双沉钓饵战术成功渗入指标系统。该组织利用韩国钻研机构内部通讯和朝鲜官方申明文件作为攻击载体，展示高度定造化的网络间谍能力。初次攻击中，APT37伪造韩国国度谍报钻研协会第52期通讯文件，诱骗指标成员下载蕴含恶意LNK快捷方式的PDF文档。执行后，该快捷方式触发内存加载的RokRAT后门，通过多层混合技术（蕴含批处置剧本、XOR解密及无文件注入）实现荫蔽驻留。攻击链还选取伪造HTTP流量上传TEMP文件的方式，躲避传统安全检测。第二次攻击则对准韩国当局内阁及统一部等机构，利用朝鲜最高辅导人金正恩的胞妹金与正7月28日颁发的敌对申明作为钓饵。攻击者构建了类似的渗入蹊径：恶意LNK文件开释假装成PDF上传的混合组件，通过PowerShell号令执行内存中的加密载荷，最终从C2服务器获取abs.tmp执行后续操作。两次攻击均选取"钓饵文件+恶意快捷方式"的组合模式，结合内存执行与流量混合技术，形成难以追踪的荫蔽通路。

https://www.infosecurity-magazine.com/news/north-korea-apt37-spear-phishing/

3. 黑客宣称窃取了43.3万医疗从业者的具体信息

8月29日，一个盛行数据泄露论坛上出现针对美国医疗从业者的大规模数据泄露帖子，攻击者宣称获取了蕴含43.3万名医生、表科医生及医疗保健专业人员敏感信息的数据库。Cybernews钻研团队分析样本后指出，泄露数据涵盖全名、电话、职称、专业领域、医院信息、电子邮件、地址等幼我与工作账户混合信息，其起源可能指向第三方服务提供商的缝隙。这次泄露出现两大特点：其一，部门电子邮件此前未呈此刻公开数据泄露事务中，暗示数据可能整合自屡次未公开缝隙或特定未披露的第三方服务泄露；其二，攻击者此前曾颁布按地域、行业分类的类似数据库，批注其可能通过多源网络刻意暗藏具体起源。这种模式增长了追踪数据源头的难度，也反映出医疗行业第三方服务生态的安全隐患。医疗数据因高价值成为网络犯罪沉点指标。泄露信息可被用于多沉恶意场景：最直接的是身份偷窃，通过伪造医疗从业者身份开设诓骗账户；更危险的是定向垂钓攻击，攻击者可能假装成医疗机构发送蕴含恶意链接的内容，诱导受害者泄漏更多幼我信息或下载勒索软件。

https://cybernews.com/security/american-doctors-data-breach-healthcare/

4. WhatsApp 0-Day缝隙被利用攻击iOS和macOS用户

8月31日，WhatsApp垂危建复了一个编号为CVE-2025-55177的严沉0day缝隙，该缝隙允许攻击者通过零点击间谍软件攻击入侵iOS和Mac用户的设备，无需用户点击链接或打开文件即可窃取数据。这次缝隙由WhatsApp内部安全团队发现，属于复杂的攻击链的一部门，结合了另一个已由苹果建复的缝隙（CVE-2025-43300），形成可远程执行恶意代码的齐全攻击蹊径。据安全布告，该缝隙源于“关联设备同步新闻授权不齐全”，攻击者可利用此机造强造指标设备处置恶意网址内容，进而植入间谍软件窃取短信等敏感信息。WhatsApp已向“不到200名”特定指标用户发送通知，并强挪用户需当即更新至最新版本以防备风险�？ㄋ韧绨踩郑∟CSA）指出，该缝隙的严沉性在于其利用新闻同步机造获取设备初步接见权限，而国际特赦组织安全尝试室则将其定性为“高级间谍软件活动”，称其从前90天内已针对用户提议攻击。尝试室掌管人Donncha ó Cearbhaill建议用户更新设备或复原出厂设置以彻底断根潜在威胁。

https://hackread.com/whatsapp-0-day-exploit-attack-targeted-ios-macos-users/

5. TAOTH活动：被劫持的软件更新在亚洲各地传布恶意软件

9月1日，趋向科技近日披露一路代号"TAOTH"的复杂网络间谍活动，该行动自2024年底启动，通过劫持软件更新服务器和鱼叉式网络垂钓攻击，在东亚地域定向传布多个恶意软件家族，指标涵盖中国大陆、台湾、香港、日本及韩国的异见人士、记者、钻研人员和商界翘楚，部门美国和挪威用户也遭波及。攻击者利用已拔除的搜狗注音输入法更新机造执行供给链攻击：2024年10月，在搜狗输入法终场更新五年后，威胁组织收受其失效域名，通过看似合法的更新过程分发恶意负载。用户装置官方装置法式后数幼时，系统会自动触发攻击者节造的域更新，植入TOSHIS、DESFY、GTELAM和C6DOOR四大恶意软件家族。除供给链攻击表，TAOTH行动还结合鱼叉式网络垂钓：攻击者发送假装成政治主题文档的邮件，诱导用户接见虚伪云存储页面下载恶意存档，或通过伪造Google/Microsoft登录门户骗取OAuth授权，进而操控邮箱执行横向网络垂钓。

https://securityonline.info/taoth-campaign-hijacked-software-updates-are-spreading-malware-across-asia/

6. SikkahBot：针对孟加拉国粹生的新型安卓恶意软件执行金融诓骗

9月1日，Cyble钻研与谍报尝试室（CRIL）近期告发了一路专门针对孟加拉国粹生的新型Android恶意软件活动"SikkahBot"。该活动自2024年7月起活跃，通过伪造孟加拉国教育委员会官方奖学金利用法式执行精准诳骗，已形成集网络垂钓、数据窃取与自动化金融买卖于一体的复合型威胁。攻击者通过短信发送缩短链接，诱导受害者接见恶意APK下载网站。假装成正规奖学金利用的恶意软件在装置后，会要求用户使用谷歌或Facebook账号登录，并逐步索取姓名、所属机构等幼我信息，最终诱导用户提供钱包号、PIN码等敏感财政数据。CRIL指出，受害者提交信息后会收到"客服将联系"的虚伪提醒，实则已落入诳骗陷阱。SikkahBot的主题威胁在于其滥用设备权限的能力。在获取用户信赖后，恶意软件会强造要求无阻碍服务、短信接见、通话治理等高风险权限，实现对设备的深度节造。通过注册短信监听器，其可拦截蕴含"bKash""NAGAD"等银行关键词及特定服务号码的短信内容，并上传至攻击者节造的Firebase服务器。更危险的是，该恶意软件能自动登录孟加拉国主流银行利用，通过从C2服务器检索PIN码并自动填充登录字段，实现未经授权的转账操作。

https://securityonline.info/fraudulent-scholarship-apps-a-new-malware-campaign-targets-students-in-bangladesh/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研