新社工攻击借用户习惯传布DarkGate恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

新社工攻击借用户习惯传布DarkGate恶意软件

颁布功夫 2025-12-19

1. 新社工攻击借用户习惯传布DarkGate恶意软件

12月17日，网络安全钻研人员近日披露一种名为ClickFix的新型社会工程攻击手法，该攻击利用用户对常见技术提醒的信赖生理，诱骗其手动执行恶意号令以传布DarkGate远程接见恶意软件。攻击始于虚伪提醒，用户被误导以为短缺"Word Online"浏览器扩大，当点击"若何建复"按钮时，网站会通过JavaScript将恶意PowerShell号令奥秘复造到用户剪贴板。随后攻击者疏导用户按下Windows+R打开运行对话框，并通过Ctrl+V粘贴复造的文本执行号令。由于该操作由用户自动触发，安全机造可能不会将其鉴别为威胁。攻击链进一步发展：执行后的PowerShell剧本会衔接linktoxic34.com服务器下载nC.hta文件，该文件保留在C盘公共目录。通过多层base64编码和反向函数混合，黑客成功躲避检测。剧本运行后会自动创建C盘目录，部署AutoIt可执行文件和script.a3x剧本，在无需用户交互的情况下持续攻击流程。DarkGate恶意软件一旦运行，将成立悠久性机造确保沉启后仍存在，同时窃取用户敏感信息并表泄，使用DES加密暗藏恶意文件，导致系统出现卡顿、崩溃、未经授权工具栏及大量弹出告白等症状。

http://hackread.com/clickfix-attack-fake-browser-install-darkgate-malware/

2. 千万级Chrome扩大被曝窃取AI对话数据

12月17日，网络安全公司Koi钻研发现，一款名为Urban VPN Proxy的Chrome扩大法式正奥秘窃取用户与AI谈天机械人的对话纪录，涉及ChatGPT、Claude、Gemini等至少十个主流平台。该扩大占有超600万用户，评分为4.7星，并获得Google"精选"徽章认证，自称提供免费VPN服务以加强隐衷安全，实则暗藏数据网络�？�。钻研人员发现，扩大法式通过硬编码配置标志默认启用数据网络职能，用户无法通过设置禁用，只能通过卸载退出。该职能于2025年7月9日颁布的5.5.0版本中引入，此前版本无此行为。由于Chrome扩大自动更新机造，已装置用户会在无明确通知的情况下获得新职能。更令人震惊的是，统一刊行商推出的其他七款扩大法式均蕴含一样的AI数据采集职能，总用户数达800万。这些扩大涵盖VPN、告白拦截器、安全工具等多个类别，且无数带有Google或Microsoft的"精选"徽章，批注平台审核机造存在严沉缝隙。

https://cybernews.com/security/ai-chat-vpn-extension-spying/

3. 悉尼大学遭黑客入侵致超2.7万人数据泄露

12月18日，近日，澳大利亚悉尼大学遭逢严沉网络安全事务，黑客入窃熹在线代码库并窃取蕴含教人员工、学生及校友幼我信息的文件。该事务于上周被检测到，大学当即关关未经授权的接见通路，并同步传递新南威尔士州隐衷专员、澳大利亚网络安全中心及教育监管机构。经核查，这次泄露涉及超过27,000名人员，具体蕴含：截至2018年9月4日的10,000名现员工及从属机构人员、12,500名前员工及从属人员、约2010年至2019年间的5,000名学生和校友，以及6名支持者。泄露数据涵盖姓名、诞生日期、电话号码、家庭住址、工作详情等敏感信息。大学强调，虽确认数据已被接见下载，但未发现公开传布或滥用证据。作为澳大利亚规模最大的公立大学之一，悉尼大学占有7万名学生和1万名教人员工。目前，该校已启动个性化通知法式，预计下月实现对受影响人员的奉告工作，并设立专门支持服务提供征询增援，同时颁布动态更新的常见问题解答页面。官方建议受影响者警惕未授权通讯、实时批改账号密码并启用多成分认证。

https://www.bleepingcomputer.com/news/security/university-of-sydney-suffers-data-breach-exposing-student-and-staff-info/

4. Clop团伙对准Gladinet CentreStack服务器执行数据窃取

12月18日，近期，Clop勒索软件团伙正针对露出于互联网的Gladinet CentreStack文件服务器提议新一轮数据窃取攻击。该服务器允许企业通过Web浏览器、移动利用或映射驱动器安全共享本地文件，无需VPN，已被49国数千家企业选取。自4月起，Gladinet虽已颁布安全更新建复多个被利用缝隙，但Clop仍通过扫描并入侵未受�；さ腃entreStack服务器执行攻击，在受习染服务器上留下勒索信。目前，攻击者利用的具体缝隙尚未明确，可能是零日缝隙或未实时建复的已知缝隙。威胁谍报机构Curated Intel披露，至少200个运杏装CentreStack-Login”HTTP要求的IP地址已成为潜在指标。Clop的攻击模式一连其汗青战术，先窃取敏感数据，再通过暗网泄露网站及Torrent颁布，以此勒索受害者。

https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/

5. GlobalProtect与Cisco SSL VPN遭大规模凭证探测

12月18日，近期，一场针对多个VPN平台的自动化凭证攻击活动引发关注。威胁监控平台GreyNoise于12月11日观测到，针对Palo Alto Networks GlobalProtect门户的登录尝试在16幼时内激增至170万次，涉及超10,000个分歧IP地址，重要攻击指标位于美国、墨西哥和巴基斯坦的基础设施。恶意流量险些全数源自德国3xK GmbH的IP地址空间，暗示存在集中式云基础设施支持。攻击特点显示，威胁行为者沉复使用常见用户名和密码组合，且无数要求假装成Firefox用户代理。用户代理、要求结构及功夫的一致性批注，这是旨在鉴别露出或�；び奈⒌腉lobalProtect门户的剧本化凭证探测，而非交互式接见或缝隙利用。12月12日，统一托管提供商的攻击转向Cisco SSL VPN端点，唯一攻击IP地址数量从不及200个跃升至1,273个，这是从前12周内初次大规模使用3xK托管IP针对Cisco SSL VPN的攻击。登录有效载荷遵循正常SSL VPN身份验证流程，进一步证实这是自动化痛处攻击而非缝隙利用。

https://www.bleepingcomputer.com/news/security/new-password-spraying-attacks-target-cisco-pan-vpn-gateways/

6. 弗吉尼亚州RBHA遭勒索攻击致超11万人数据泄露

12月18日，弗吉尼亚乡镇士满行为健全治理局（RBHA）近日披露，其于9月29日遭逢勒索软件攻击，导致部门网络被加密，超11.3万人幼我信息面对泄露风险。作为里士满市公共机构，RBHA提供生理健全支持、�；だ怼⒁┪锢挠迷し赖裙丶�。攻击次日，该机构即发现事务并迅快摈除攻击者，但威胁行为者可能已获取蕴含姓名、社会保险号码、护照号码、金融账户及健全信息在内的敏感数据。据美国卫生与公家服务部汇报，这次事务影响113,232名个别。RBHA在官网颁布的事务通知中强调，虽无确凿证据批注数据已被接见，但出于审慎仍提醒受影响者加强警惕，建议定期核查账户对账单、监控信誉汇报以防备身份偷窃及诓骗行为。值妥贴心的是，勒索软件组织“麒麟”已宣称对这次攻击掌管，并将RBHA列入其基于Tor的泄露站点。该组织随后颁布了据称窃取的192GB数据，含超39.3万份文件，进一步加剧了数据滥用风险。

https://www.securityweek.com/113000-impacted-by-data-breach-at-virginia-mental-health-authority/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研