每日安全简讯(20250620)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用Instagram上的虚假银行广告实施金融诈骗

近日，网络安全研究者发现多个假冒加拿大主要金融机构（如BMO银行和EQ Bank）的Instagram广告正在诱骗用户访问伪造网站并泄露敏感信息。这些广告不仅高仿银行官方页面与色彩设计，还通过AI生成的深度伪造视频冒充知名投资策略师，如BMO首席投资策略师Brian Belski，以增强可信度。部分假广告声称提供“4.5%利率”，但实际上跳转至钓鱼网站，伪装成EQ Bank登录页面，用以窃取银行凭证。此外，还有广告利用假“BMO Belski”故事问答引导用户提交个人联系信息，并伪造Belski的AI视频邀请受害者加入“私人WhatsApp投资群”。这些广告常见的特征是广告主在Instagram上没有实际账号，而是通过Facebook页面进行投放。调查发现，这些Facebook页面很多是被黑后改名使用，例如“BMO Belski”账号原名为“Brentlinger Matt Blumm”，表明诈骗者正利用已有账号提高可信度，绕过平台风控机制。目前这些广告即便被举报，仍有部分继续投放，表明平台在响应上的滞后。Meta已表示正在调查并将移除违规内容。EQ Bank确认已知晓该钓鱼广告活动，并正与相关平台合作进行下架，同时提醒用户通过官方渠道验证所有广告内容。

https://www.malwarebytes.com/blog/news/2025/06/fake-bank-ads-on-instagram-scam-victims-out-of-money

---

2 研究人员在Outlook登录页面中发现基于浏览器的键盘记录器

网络安全公司Positive Technologies的研究人员警告称，未知威胁行为者已经成功入侵多个国家政府机构和企业的Microsoft Exchange服务器，并在Outlook on the Web（OWA）登录页面中注入了基于浏览器的键盘记录器（keylogger），用于窃取用户输入的登录凭证。研究人员发现，攻击者在OWA页面中植入了两类JavaScript键盘记录器：一类记录用户输入的凭证信息并将数据写入可通过互联网访问的本地服务器文件中；另一类则将窃取的数据通过Telegram机器人或Discord服务器进行外泄，并通过标签标识每份凭证所属的组织。由于这些恶意脚本对用户而言几乎不可察觉，被感染的登录页面在功能上与正常页面无异，因此更容易造成凭证泄露而不自知。研究人员建议所有组织应立即检查其Exchange服务器相关的登录页面与身份认证代码，排查是否存在恶意注入行为，并利用其提供的YARA规则协助检测。

https://www.helpnetsecurity.com/2025/06/17/researchers-unearth-keyloggers-on-outlook-login-pages/

---

3 Veeam修复远程代码执行漏洞防止域用户入侵备份服务器

Veeam于今日发布紧急安全更新，修复多个Veeam Backup & Replication（VBR）中的安全漏洞，其中最严重的是一个允许远程代码执行（RCE）的高危漏洞CVE-2025-23121。该漏洞由watchTowr和CodeWhite的安全研究人员报告，影响所有加入域的VBR安装版本（12及以上）。攻击者只需是认证的域用户，即可在低复杂度攻击中远程执行任意代码，控制备份服务器。根据Veeam安全公告，漏洞已在最新发布的12.3.2.3617版本中修复。尽管漏洞仅影响加入Windows域的VBR服务器，但只要具备域用户权限就可以利用它，这使得该漏洞极具攻击价值。许多企业为图方便，仍将备份服务器纳入生产域，而忽视了Veeam官方推荐的最佳实践——应将备份服务器部署在独立的Active Directory林中，并启用双因素身份验证保护管理账户。Veeam的客户遍布全球，服务超过550000家企业，其中包括82%的《财富》500强和74%的全球2000强公司。VBR作为关键基础设施一部分，其安全漏洞一旦被利用，可能使攻击者删除备份、阻止恢复、施加勒索，加剧勒索攻击影响。

https://www.bleepingcomputer.com/news/security/new-veeam-rce-flaw-lets-domain-users-hack-backup-servers/

---

4 研究人员披露Sitecore CMS漏洞利用链可实现未授权远程代码执行

安全研究团队watchTowr近日披露了影响Sitecore Experience Platform（XP）内容管理系统的一组高危漏洞，这些漏洞可被链式利用，实现完全的未经认证的远程代码执行（RCE）。Sitecore广泛部署于银行、航空公司和跨国企业等关键基础设施中，因此此次漏洞披露引发了高度关注。漏洞链的第一步源于一个内置账户sitecore\ServicesAPI，其默认密码被硬编码为简单的“b”。虽然该账户并非管理员且无分配角色，但研究人员发现可以通过绕过后端登录验证流程，在非核心数据库上下文中使用该账户登录/sitecore/admin路径，获取合法的.AspNet.Cookies会话，从而访问受IIS保护但未进行Sitecore角色检查的内部接口。第二个漏洞是Zip Slip路径穿越漏洞，位于Sitecore的“Upload Wizard”文件上传功能中。攻击者可上传一个构造路径如/\/../webshell.aspx的压缩包，利用Sitecore路径映射机制缺乏清洗，将任意文件写入Web根目录，无需了解完整系统路径，从而实现WebShell上传和远程执行。第三个漏洞仅在部署了Sitecore PowerShell Extensions（SPE）模块时生效。该模块常随Sitecore Experience Accelerator（SXA）一同安装。此漏洞允许攻击者在绕过路径和扩展限制的情况下上传任意文件，进一步降低利用难度并提升RCE成功率。

https://labs.watchtowr.com/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform/

---

5 Cock.li确认数据泄露事件导致逾100万用户信息被盗

德国免费邮箱服务提供商Cock.li近日确认，其平台遭遇数据泄露事件，黑客利用旧版Roundcube Webmail系统中的漏洞，窃取了超过102万名用户的记录。此次泄露涉及2016年以来登录过Cock.li邮箱的所有用户，以及约93000条联系人信息。泄露内容包括邮箱地址、登录时间戳、登录失败次数、语言设置和部分账户的联系人详情，但不包括密码、邮件内容或IP地址。Cock.li运营者Vincent Canfield表示，攻击者或利用了Roundcube中的CVE-2021-44026 SQL注入漏洞完成入侵。此次事件发生后不久，有威胁分子开始兜售相关数据库，最低叫价一枚比特币。Cock.li随后在官网发布声明，确认攻击属实，并宣布将永久移除Roundcube服务，以防类似事件再次发生。Cock.li以注重隐私、管理宽松著称，广受信息安全社区及部分网络犯罪团伙欢迎。此次数据泄露也引发外界担忧，曝光信息可能有助于执法部门识别部分恶意使用者。Cock.li建议所有用户立即更改密码，并提醒部分含有第三方联系方式的账户将收到单独通知。服务方坦言，此次事件原本可通过更严谨的安全管理避免，未来将强化平台防护。当前用户需通过IMAP或SMTP/POP3客户端继续访问邮件服务。

https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/

---

6 英国支付平台Paddle因协助诈骗活动被罚500万美元

英国支付平台Paddle及其美国子公司近日与美国联邦贸易委员会（FTC）达成和解协议，同意支付500万美元，以解决其因协助多个技术支持诈骗组织而造成消费者损失的指控。FTC指出，Paddle未能履行应有的商户审查与反欺诈职责，导致诸如Restoro、Reimage和PC Vark等海外运营商得以利用虚假病毒警报和冒牌技术支持信息，欺骗美国消费者，特别是年长用户，购买无用软件和服务。据调查，Paddle在明知这些诈骗行为普遍存在的情况下，仍为相关公司处理了超过4900万美元的交易收入。内部通信显示，Paddle员工不仅了解诈骗的实际影响，还试图通过提前退款等手段掩盖高退单率，以规避信用卡网络和银行的审查。更严重的是，部分商户在未完成客户身份认证前便能启动大规模收费流程。和解协议规定，Paddle今后将被禁止为任何电话技术支持类服务处理付款，同时必须加强商户审查与监控，严格规范订阅告知与取消机制。FTC强调，Paddle作为支付服务提供方，不得再为欺诈性商户提供便利或规避欺诈检测。尽管Paddle辩称其仅处理软件初次购买付款，并未直接参与电销环节，但FTC表示其行为已构成对消费者保护法规的严重违反，警示所有支付平台切实履行风控责任，防止成为诈骗链条的隐性推手。

https://www.ftc.gov/news-events/news/press-releases/2025/06/paddle-will-pay-5-million-settle-ftc-allegations-unfair-payment-processing-practices-facilitation

---