网络攻击者滥用YouTube和Google搜索结果流传恶意软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

网络攻击者滥用YouTube和Google搜索结果流传恶意软件

宣布时间 2025-01-16

1. 网络攻击者滥用YouTube和Google搜索结果流传恶意软件

1月14日，攻击者利用YouTube和Google搜索结果，针对寻找盗版和破解软件下载的用户实施网络攻击。他们在YouTube视频中包罗虚假软件下载链接，诱骗用户点击并下载包罗信息窃取恶意软件的法式。同时，在Google搜索结果中植入看似合法的盗版软件下载链接，实则也包罗恶意软件。攻击者还利用Mediafire和Mega.nz等文件托管服务隐藏恶意软件来源，并使用密码�；ず捅嗦爰际豕姹苣布觳狻４送�，该攻击活动与一年前泛起的Lumma Stealer类似，流传多种信息窃取恶意软件，如PrivateLoader、MarsStealer等。攻击者滥用人们对YouTube和文件共享服务的信任，尤其影响那些寻找盗版软件的用户。为了防御这些攻击，组织机构应了解当前威胁，保持警惕，并提高员工宁静意识。

https://www.darkreading.com/threat-intelligence/cyberattackers-infostealers-youtube-comments-google-search

2. Fortinet防火墙遭大规模零日漏洞攻击

1月14日，去年12月，宁静研究人员视察到针对Fortinet防火墙的大规模攻击活动，攻击者可能利用了尚未修补的零日漏洞。这些攻击导致数百到数千次恶意登录事件，攻击者通过管理界面获得访问权限，并修改了防火墙配置，使用SSL VPN隧道维持连接，窃取凭证以在受害者网络中横向移动。尽管具体细节仍在视察中，但北极狼实验室高度确信零日漏洞被大规模利用。受影响的固件版本包罗7.0.14至7.0.16。攻击者还广泛使用了设备的基于Web的命令行界面，并与异常源IP地址建立了可疑连接。这些攻击从11月中旬开始，但直到12月才发生大规模防火墙配置更改。攻击者创建了新的超级管理员账户，打开了当地用户账户，并将它们添加到具有VPN访问权限的组中，或者劫持现有账户。他们还创建了新的SSL VPN门户，并将用户账户直接添加到这些门户中。一旦建立了SSL VPN隧道，攻击者就会收集凭据进行横向移动，并使用了Kali Linux工具。尽管无法确定攻击者的最终目标，但勒索软件的可能性并不能排除。

https://www.theregister.com/2025/01/14/miscreants_mass_exploited_fortinet_firewalls/

3. 5000个WordPress网站遭新型恶意软件入侵

1月14日，一种新型恶意软件活动已乐成入侵凌驾5000个WordPress网站，其主要目的为创建管理员帐户、安装恶意插件并窃取敏感数据。Webscript宁静公司c/side的研究人员在对客户事件响应中发现，这些恶意活动利用了wp3[.]xyz域名进行数据窃取，但具体的初始熏染途径尚未明确。一旦攻击得手，恶意脚本便会从wp3[.]xyz加载，并利用预设凭据创建名为wpx_admin的恶意管理员帐户。随后，该脚本会从同一域名下载并激活一个恶意插件（plugin.php），该插件旨在收集管理员凭据、日志等敏感信息，并以混淆方式将其伪装成图像请求发送至攻击者服务器。此外，攻击过程中还包罗多个验证步骤，如记录恶意管理员帐户创建状态及验证恶意插件安装等。为阻止此类攻击，c/side建议网站所有者利用防火墙和宁静工具封锁wp3[.]xyz域名。同时，管理员应定期检查特权帐户和已安装插件列表，及时识别并删除未经授权的活动。此外，加强WordPress网站的CSRF�；ひ仓凉刂匾�，实施多因素身份验证还可为已泄露凭证的帐户提供特别�；ぁ�

https://www.bleepingcomputer.com/news/security/wp3xyz-malware-attacks-add-rogue-admins-to-5-000-plus-wordpress-sites/

4. Google OAuth漏洞：已倒闭初创公司域名成攻击者新目标

1月14日，Google的OAuth登录功效存在一个重大宁静隐患，可能被攻击者利用来访问前员工在SaaS平台上的敏感数据。这一漏洞由Trufflesecurity研究人员发现，并向谷歌陈诉，但最初并未得到足够重视。尽管谷歌后来向研究人员发表了赏金并重新开启了视察，但截至目前，该问题仍未得到解决。攻击者可以通过注册已倒闭初创公司的域名，并利用这些域名为前雇员重新创建电子邮件帐户，从而访问他们在Slack、Notion、Zoom、ChatGPT等服务上的账户。研究人员发现，通过购置已停用的域名，攻击者可以从人力资源系统中提取敏感数据，并登录种种服务。这个问题影响了数百万人和数千家公司，而且随着时间的推移，问题只会变得越来越严重。因为大多数科技初创公司注定会倒闭，而他们中的许多使用Google Workspaces来收发电子邮件，因此他们的员工使用Gmail帐户登录生产力工具。为了防范此类风险，建议离开初创公司时从帐户中删除敏感数据，并制止使用事情帐户进行个人帐户注册。

https://www.bleepingcomputer.com/news/security/google-oauth-flaw-lets-attackers-gain-access-to-abandoned-accounts/

5. MIG遭Black Basta勒索软件攻击，大量客户信息泄露

1月14日，美国东南部最大的抵押贷款机构之一，总部位于田纳西州的抵押贷款投资者集团（MIG）上个月遭遇了一次网络宁静事件，导致大量客户信息可能泄露。MIG未透露具体受影响客户数量，但已聘请供应商识别受影响的个人，并计划在几周内完成通知事情。据MIG网站通知，此次网络攻击始于12月11日，并于越日被发现，一名未经授权的用户进入了MIG的计算机环境，导致多名个人的敏感个人信息被泄露。此次攻击由Black Basta勒索软件团伙提倡，该团伙是目前最污名昭著的黑客组织之一，曾袭击过全球至少500个组织，并瞄准了16个要害基础设施部门中的12个。近年来，勒索软件团伙屡屡将目标瞄准涉及住房行业的金融机构，已有多家大公司遭受攻击，导致住房购置受阻。

https://therecord.media/tennessee-mortgage-lender-confirms-cyberattack

6. 西黑文政府IT系统遭网络攻击，麒麟勒索软件组织声称卖力

1月14日，康涅狄格州西黑文市政府正在视察一起导致其所有IT系统暂时关闭的网络攻击事件。市长多琳达·博雷尔在1月11日体现，这起“IT系统宁静事故”致使政府系统关闭，而政府最初在12月26日于Facebook上仅提及遭遇“网络中断”。目前，该市仍在评估哪些数据可能受到此次事件的影响，但已建立应对惯例和总体准备，受影响系统已有备份，预计几天内可恢复运行。尽管有评论请求确认是否为勒索软件攻击，但西黑文市未予回应。然而，1月11日，麒麟勒索软件组织声称对此次攻击卖力。该组织曾攻击血液检测巨头Synnovis，导致100万人的敏感医疗数据泄露及1100多例手术推迟，引发国际恼怒。麒麟组织自2022年起以勒索软件即服务形式攻击美欧多家组织，已确认提倡至少25起攻击，还有100多起未经证实的攻击。与此同时，美国多个都市陈诉假日网络事件，马萨诸塞州伯恩镇也于1月11日陈诉其IT网络遭入侵。

https://therecord.media/west-haven-connecticut-city-government-cyberattack

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究