每日安全简讯(20250519)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FrigidStealer利用伪造Safari更新的方式攻击macOS系统窃取敏感数据

2025年2月，首次曝光的FrigidStealer恶意软件正在全球范围内通过伪造浏览器更新的方式攻击macOS用户。该恶意软件属于Ferret家族，由TA2726和TA2727黑客组织联合运营。它通过受感染的网站注入恶意JavaScript代码，诱使用户下载伪装成Safari或Chrome更新的恶意DMG文件。攻击过程中，该恶意软件利用AppleScript骗取用户密码，以此绕过Gatekeeper安全机制，并安装Bundle ID为com.wails.ddaolimaki-daunito的恶意应用。一旦安装成功，该应用便会窃取浏览器凭证、加密货币钱包信息以及未加密的Apple Notes内容。随后，窃取的数据会通过mDNSResponder服务，以DNS查询的形式外传至C2服务器askforupdate.org。该恶意软件在执行后会自动终止相关进程，以规避检测。

https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/

---

2 越来越多的勒索组织使用Skitnet后渗透框架实施网络攻击

安全公司Prodaft披露了一款新型恶意软件Skitnet（代号“Bossnet”），该软件正在成为主流勒索团伙的标准后渗透工具。自2024年4月起，该框架在地下论坛RAMP上出售，此后已被BlackBasta、Cactus等至少7个勒索组织用于实际攻击。攻击者通过Rust加载器部署经过ChaCha20加密的Nim二进制文件，建立DNS反向Shell以实现隐蔽通信。该框架支持14类攻击指令，包括持久化驻留、远程工具部署、凭证窃取等。此外，微软威胁情报中心还发现，Storm-1811组织结合Quick Assist的滥用与Skitnet框架，在医疗和制造行业实施了复合式勒索攻击。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/

---

3 PupkinStealer窃密木马通过Telegram传输窃取的敏感数据

网络安全研究人员发现了一种名为PupkinStealer的窃密木马。PupkinStealer是基于.NET框架开发的恶意软件，使用C#语言编写，主要功能是窃取浏览器凭证、消息应用会话信息以及桌面文件，并通过Telegram的Bot API将窃取的数据传输出去。它于2025年4月首次被研究人员发现，其简洁的设计以及利用合法平台进行命令与控制操作的特点，引起了研究人员注意。PupkinStealer是一个轻量级的32位可执行文件，文件大小仅为6.21MB，能够在x86和x64环境下运行。执行后，它会创建一个包含所有被盗数据的ZIP压缩包，并在其中附加受害者的元数据。并且可能通过恶意软件即服务（MaaS）模型进行分发，以通过凭证盗窃和数据转售快速获利。

https://cybersecuritynews.com/pupkinstealer-attacks-windows-system/

---

4 黑客组织Scattered Spider开始攻击美国零售商

谷歌网络安全专家发出警告，此前针对英国零售商发动攻击的Scattered Spider黑客组织，如今已开始将目标转向美国零售商。此次攻击美国零售商的黑客所使用的技术和程序，与之前英国零售商遭遇攻击时攻击者所采用的手段相似。Scattered Spider（也被称为UNC3944）是近期英国哈罗德百货、合作集团以及马莎百货遭受攻击事件的主要嫌疑人。自2023年初以来，UNC3944已针对多个行业发动了攻击，这些行业包括技术、电信、金融服务、业务流程外包、游戏、酒店、零售以及媒体与娱乐。其主要攻击目标所处地理位置涵盖美国、加拿大、英国、澳大利亚、新加坡和印度。

https://hackread.com/hackers-targeting-us-retailers-uk-attacks-google/

---

5 以色列抓获Nomad Bridge跨链协议攻击主犯

以色列国家网络犯罪部门在特拉维夫逮捕了涉嫌策划2024年Nomad Bridge跨链协议攻击的主犯“K1”。此次攻击导致价值1.9亿美元的加密货币被盗。嫌疑人通过逆向工程该协议的智能合约，利用重入攻击漏洞劫持了跨链验证节点，从而在以太坊与Avalanche网络之间伪造资产转移凭证。执法部门联合FBI和Chainalysis公司追踪发现，被盗资金通过Railgun混币器和ChangeNOW交易所进行洗钱操作。目前，执法部门已冻结了关联钱包中价值4300万美元的资产。

https://www.bleepingcomputer.com/news/legal/israel-arrests-new-suspect-behind-nomad-bridge-190m-crypto-hack/

---

6 微软KB5037771更新致Win10 22H2部分设备BitLocker异常

微软确认，KB5037771更新导致部分运行Windows 10 22H2版本的设备触发了BitLocker恢复模式。该问题是由UEFI固件与TPM 2.0芯片之间的交互异常引起的，更新后系统错误地判定安全启动配置发生了变更，进而强制要求用户输入48字符的恢复密钥。受影响的设备主要集中在戴尔OptiPlex 7090、惠普EliteDesk 800 G6以及联想ThinkCentre M75q等商用机型上，这些设备涉及搭载Intel第11代和第12代处理器的平台。微软已紧急发布了已知问题的回滚指南，但截至5月17日，仍未发布正式的修复补丁。

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-may-windows-10-updates-trigger-bitlocker-recovery/

---