每日安全简讯(20250218)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客利用修改版SharpHide工具创建隐藏注册表

网络安全研究发现，黑客通过修改后的SharpHide工具开发了一种隐蔽的恶意软件持久性技术。此技术利用Windows注册表重定向功能，通过在注册表路径前添加空字符，创建隐藏的Run键值。此外，在64位系统中，恶意软件通过WOW6432Node注册表重定向路径增加隐蔽性，常见工具如Autoruns无法检测。为应对此威胁，研究员开发了SharpDelete工具，专门用于检测并删除这些隐藏的注册表值，提供了一种通用的解决方案。

https://medium.com/@andrew.petrus/exposing-hidden-malware-persistence-created-by-sharphide-4d3c784319f0

---

2 新型恶意软件Btmob RAT通过钓鱼网站传播

Btmob RAT是一种新发现的高级Android恶意软件，由早期的SpySolr演变而来，具有远程控制、凭据窃取和数据泄露等多种恶意功能。该恶意软件通过伪装成流行流媒体平台（如iNat TV）和虚假加密货币挖矿网站的钓鱼网站传播。一旦安装，Btmob RAT会利用Android的辅助功能服务，通过WebSocket与命令与控制（C2）服务器通信，实时执行命令并窃取敏感数据。

https://thecyberexpress.com/btmob-rat/

---

3 恶意软件FinalDraft滥用Outlook进行秘密通信

研究人员在调查REF7707时发现针对外交部的新型恶意软件家族“FINALDRAFT”，该恶意软件主要针对南美某国的外交部，利用Microsoft Graph API通过Outlook邮件草稿进行秘密通信。FinalDraft支持37种命令，包括数据窃取、进程注入、网络代理和文件操作等。其通信方式隐蔽，通过Outlook草稿发送和接收命令，避免检测。研究人员建议通过监控Microsoft Graph API的使用情况和部署高级端点安全解决方案来防御此类威胁。

https://www.elastic.co/security-labs/finaldraft

---

4 勒索软件Lynx攻击手段与影响分析

安全团队发布了一份关于Lynx勒索软件的综述报告，详细分析了该勒索软件的攻击手段和影响。Lynx勒索软件首次出现于2024年7月，主要针对Microsoft Windows平台，通过加密受害者文件并要求支付赎金来实现攻击。研究发现，Lynx勒索软件与2023年出现的INC勒索软件高度相似，但提供了更精细的控制选项。攻击过程中，Lynx勒索软件会终止关键进程（如SQL、Veeam等）、加密文件，并为加密文件添加“.LYNX”扩展名。此外，该勒索软件还会更改桌面壁纸、打印勒索信，并通过数据泄露网站公布受害者信息，进一步施压受害者支付赎金。

https://www.fortinet.com/blog/threat-research/ransomware-roundup-lynx

---

5 谷歌双重漏洞致YouTube用户Gmail地址泄露

安全研究人员发现谷歌存在两个漏洞，通过这些漏洞，攻击者可以利用YouTube用户ID获取其Gmail地址。研究人员通过分析Google的People API和Pixel Recorder应用，发现了一个可以将Gaia ID解析为电子邮件地址的漏洞。通过技术手段，研究人员成功绕过了通知机制，从而在不触发警报的情况下暴露目标用户的电子邮件地址。谷歌随后修复了相关缺陷，并向研究人员支付了总计10633美元的赏金。

https://www.theregister.com/2025/02/17/infosec_news_in_brief/?&web_view=true

---

6 勒索软件XELERA伪装招聘信息攻击印度求职者

安全团队近期发现一种名为XELERA的勒索软件通过伪装成印度食品公司（FCI）的虚假招聘信息，针对求职者发起攻击。攻击者利用恶意Word文档作为诱饵，文档中嵌入恶意代码，通过多阶段感染链部署勒索软件。该软件不仅加密受害者文件，还利用Discord机器人窃取数据、干扰系统，并最终显示勒索信息。目前，该攻击正在积极传播，对求职者构成严重威胁。

https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/

---