每日安全简讯(20250512)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客使用Blob URI伪造登录页实施精准钓鱼

安全研究人员发现了一种新型钓鱼攻击，该攻击利用浏览器的Blob URI特性，通过伪造银行、社交媒体等可信域名下的登录页面，诱导用户输入敏感信息。浏览器能够使用Blob来处理临时数据，典型的Blob数据包括图片、音频和PDF文件等二进制内容，用户可以使用Blob URI来访问这些Blob数据。攻击者将恶意代码嵌入到通过JavaScript生成的Blob对象中，从而生成伪合法URL，并利用浏览器同源策略的漏洞绕过传统的域名检测机制。在此次攻击活动中，攻击者通过发送钓鱼邮件诱导用户点击邮件中的“登录”按钮。一旦用户点击该按钮，便会被重定向到攻击者控制的HTML页面。成功重定向到威胁行为者的网站后，用户的浏览器将下载并显示一个基于HTML的Blob URI页面。该页面在自动加载Blob URI后，仅生成它的浏览器能够访问。此外，攻击者还伪造了OneDrive的登录页面，无论用户在页面中的哪个选项输入凭证，电子邮件地址和密码信息都会泄露给攻击者。

https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/

---

2 PupkinStealer窃密木马窃取浏览器凭据

研究人员发现了一款由新型.NET框架开发的窃密木马PupkinStealer，该木马专门窃取用户浏览器的凭据、桌面文件以及通信应用的会话数据，并通过Telegram Bot实现数据的隐蔽外泄。这款木马自2025年4月起开始活跃，由开发者“Ardent”编写。其主要攻击目标包括基于Chromium内核的Chrome、Edge、Opera等浏览器，能够解密浏览器数据库，窃取Telegram的tdata文件夹内容以及Discord令牌，同时还会窃取用户桌面截图。

https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/

---

3 攻击者通过SEO投毒技术攻击IT管理员

安全研究人员发现了一种针对IT管理员的复杂攻击活动。攻击者利用SEO投毒技术，将恶意软件的链接推到搜索引擎结果的顶部。当管理员搜索常用工具时，可能会下载到伪装成合法版本的恶意软件，这些恶意软件含有隐藏的恶意载荷。攻击载荷通常伪装成管理员搜索的合法管理软件，并与后门代码一起运行，以此建立命令和控制渠道而不引起怀疑。在此次攻击活动中，一旦恶意软件被执行，就会部署一个基于.NET框架开发的SMOKEDHAM后门木马程序，该后门木马程序为攻击者提供了对设备的持久访问权限。

https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/

---

4 新型Mamona勒索软件利用Ping命令攻击Windows机器

安全研究人员发现了一种名为“Mamona”的新型勒索软件变种。该勒索软件的特点是完全离线运行，并利用Windows的ping命令作为攻击辅助手段。Mamona勒索软件的所有活动均在本地进行，研究人员未观察到其建立命令和控制渠道，也未发现数据外泄的情况。该勒索软件将ping命令用作一种简单的计时机制，在达到预设时间后立即执行自删除命令，以此限制取证分析。感染目标系统后，Mamona使用自制的加密程序对文件进行加密，而非采用标准加密库，并且将所有加密逻辑通过内存操作和算术运算来实现。加密后的文件会被添加“.HAes”扩展名，同时，该勒索软件会在多个目录中投放名为“README.HAes.txt”的勒索信息文件。

https://cybersecuritynews.com/mamona-ransomware-attack-windows-machines/

---

5 黑客组织Scattered Spider针对Klaviyo、HubSpot和Pure Storage发现攻击

安全研究人员发现，黑客组织Scattered Spider针对Klaviyo、HubSpot和Pure Storage等业务服务发起了一场复杂的攻击活动。该组织自2022年以来一直保持活跃状态，并不断研发先进的攻击方法。其攻击手段包括创建看似合法的钓鱼域名，尤其是模仿Okta身份验证页面的域名，以此通过社会工程学技巧诱骗用户，从而获取他们的用户名、密码以及多因素认证令牌。此外，Scattered Spider的攻击链中还涉及复杂的恶意软件部署，例如使用Spectre RAT这种远程访问木马，该木马通过HTTP协议与命令和控制服务器进行通信，并利用XOR算法对传输的字符串进行加密。

https://cybersecuritynews.com/scattered-spider-malware-targeting-klaviyo/

---

6 攻击者对求职者发起招聘诈骗

攻击者利用经济脆弱性和竞争激烈的就业市场环境，针对求职者发起了招聘诈骗活动。这些骗局巧妙融合了合法的招聘实践与欺诈计划，使得它们极难被察觉。安全研究人员识别出了三个不同的威胁行为者，它们分别采用不同的手段实施诈骗：其中一个伪装成科技公司，利用预付费用进行欺诈；另一个在18个国家假扮物流招聘机构，实施本地化的招聘骗局；还有一个伪装成新加坡政府机构，以收集国民身份证号码并入侵Telegram账户为目的进行诈骗。

https://cybersecuritynews.com/threat-actors-attacking-job-seekers/

---