每日安全简讯(20250517)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者使用钓鱼邮件攻击拉美六国

安全研究人员发现，新型Horabot银行木马通过伪装成政府税务通知的钓鱼邮件，在巴西、墨西哥、阿根廷等六个拉丁美洲国家进行攻击。该恶意软件利用伪造的Windows更新弹窗诱导用户安装后门程序，一旦安装，便能够窃取浏览器的Cookie、记录键盘输入以及截取屏幕画面，甚至远程操控设备发起银行转账。巴西网络安全中心已确认，超过200家企业网络遭到渗透，部分金融机构的单笔损失高达37万美元。趋势科技通过溯源发现，攻击基础设施与巴西地下犯罪论坛存在技术关联，推测这是一次针对性的金融劫持行动。

https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html

---

2 利用钓鱼邮件传播DarkCloud窃密木马攻击活动

研究人员发现，一起利用钓鱼邮件传播DarkCloud窃密木马攻击活动。自2022年出现以来，DarkCloud窃密木马不断演变，攻击者利用多阶段载荷和混淆的AutoIt脚本来分发恶意软件，从而躲避传统检测。此次攻击活动中，攻击者利用钓鱼邮件传播DarkCloud窃密木马变种，这些邮件中包含RAR压缩包或伪装成Adobe Flash更新的恶意PDF文件。当用户点击虚假链接后，系统会从文件共享站点下载恶意载荷，其中包含一个由AutoIt编译的可执行文件以及两个加密文件——shellcode和经过XOR混淆的恶意载荷。随后，AutoIt脚本会从这两个加密数据文件中构建并运行最终的DarkCloud窃密木马。DarkCloud窃密木马具备收集多种数据能力，包括浏览器凭证、信用卡信息、电子邮件客户端数据、屏幕截图、系统元数据以及FTP客户端凭证等。

https://securityonline.info/darkcloud-stealer-returns-autoit-powered-malware-strikes-with-new-stealth-tactics/

---

3 新型.NET加载器持续攻击Windows系统投递恶意载荷

自2022年初以来，一款复杂的.NET恶加载器持续对Windows系统发起攻击，它通过三阶段部署机制来投递窃密木马、远程控制木马等恶意载荷。在初始阶段，该加载器伪装成无害的.NET可执行文件，其中包含加密组件；进入第二阶段后，它利用.NET DLL来处理参数，并从位图资源中解密出恶意代码；到了第三阶段，它会在内存中部署最终载荷，以此避免被检测。最新变种采用了位图资源来隐藏代码，并应用了复杂混淆技术，从提升隐蔽性。该加载器主要用于传播AgentTesla、Formbook、Remcos等恶意软件。

https://cybersecuritynews.com/new-net-multi-stage-loader-attacking-windows-systems/

---

4 加拿大新斯科舍省电力公司客户个人信息遭窃取

加拿大新斯科舍省电力公司（Nova Scotia Power）遭遇了网络攻击，黑客窃取了大量客户敏感数据，这些数据包括姓名、地址、出生日期、社保号码、驾照信息以及部分客户的银行账户号码。尽管攻击事件直到4月25日才被发现，但调查显示，攻击者早在3月就已渗透系统并窃取了相关数据。

https://www.bleepingcomputer.com/news/security/nova-scotia-power-confirms-hackers-stole-customer-data-in-cyberattack/

---

5 GovDelivery前承包商账户入侵导致美国印第安纳州多部门遭欺诈TxTag邮件

美国印第安纳州政府通信平台GovDelivery的前承包商账户遭到黑客入侵，导致大量欺诈性的TxTag通行费催缴邮件通过官方的州政府邮箱地址发送给了全美居民。攻击者利用新注册的仿冒域名（例如txtag-us.xyz）搭建了虚假支付页面，并通过POST请求和WebSocket实时会话监控，窃取了信用卡信息及一次性验证码（OTP）。此次攻击的技术复杂度高于常规钓鱼攻击。此次事件的原因是，在该州与GovDelivery的前承包商的合同于2024年12月31日终止后，关联账户未被及时删除，致使黑客利用遗留的承包商凭证获取了邮件群发权限。受影响的政府部门包括州长办公室、交通部、教育部等15个机构，部分邮件甚至冒用了前州长的名义进行发送。

https://securityonline.info/govdelivery-exploited-in-txtag-toll-scam-indiana-government-sender-account-hacked/

---

6 Coinbase遭未知网络攻击导致客户数据泄露

加密货币交易所Coinbase披露，其系统遭未知网络犯罪分子入侵，导致少量客户账户数据被窃取。经调查发现，攻击者以现金为诱饵，诱使一小部分海外客户协助从客户支持工具中复制数据，这些客户在不知情的情况下充当了攻击者的“代理”。攻击者的核心目的是收集客户列表，伪装成Coinbase官方身份，进而欺骗客户交出加密货币资产。2025年5月11日，攻击者向Coinbase发起勒索，索要2000万美元赎金，并声称掌握部分客户账户信息及内部文件，截至目前，Coinbase尚未支付该笔赎金。此次泄露的信息范围广泛，涵盖客户姓名、地址、电话号码、电子邮件地址、部分社会安全号码、部分银行账户号码、政府身份证件图像（如驾照、护照）、账户数据（包括余额快照和交易历史）以及部分公司数据（具体包括文件、培训材料和支持代理可访问的通讯记录）。

https://thehackernews.com/2025/05/coinbase-agents-bribed-data-of-1-users.html

---