每日安全简讯(20250623)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客组织针对加密行业人员展开社会工程攻击

Cisco Talos近期披露，一个与朝鲜政府有联系的黑客组织Famous Chollima正在使用名为“PylangGhost”的Python远程访问木马（RAT），对加密行业从业人员展开新一轮社会工程攻击。PylangGhost与其前身“GolangGhost”在功能上几乎一致，显示出该组织试图通过多语言实现扩大攻击面。此次攻击重点针对熟悉区块链与加密技术的求职者。黑客伪装成知名加密公司如Coinbase、Uniswap等的招聘人员，引导受害者访问仿真度极高的技能测试网站。完成答题后，用户会被要求录制面试视频并“安装摄像头驱动程序”，从而诱导其复制粘贴恶意命令到终端。命令实际下载并执行PylangGhost木马，其中包含多个模块，用于持久化、浏览器扩展数据窃取、远程命令执行等操作。该木马通过注册表创建启动项，连接C2服务器并执行指令，窃取信息包括MetaMask、1Password等80多个密码管理器与钱包插件的凭据和Cookies。PylangGhost通信采用RC4加密，虽然密钥在数据包中明文传输，但混淆程度仍足以规避部分检测。

https://blog.talosintelligence.com/python-version-of-golangghost-rat/

---

2 黑客利用搜索参数注入在正规网站植入虚假客服电话

研究人员发现，一种新型网络诈骗正通过“搜索参数注入”攻击手法，在苹果、Netflix、PayPal等知名企业官网页面上插入虚假的客服号码，诱导用户主动拨打，从而窃取敏感信息。该技术被Malwarebytes的高级研究主管Jérôme Segura曝光，目前已波及包括Bank of America、微软、Facebook等多个主流平台。攻击通常以Google搜索中的广告链接为入口，用户点击后虽确实进入了官方网站，但由于搜索功能未对输入参数进行足够过滤，攻击者通过构造特殊URL，将假的客服电话号插入搜索结果页面，使其看似官方发布。用户一旦拨打页面上的号码，就会接入伪装成客服的骗子，进而被骗提供银行卡信息、验证码，甚至被远程控制设备。Malwarebytes的浏览器防护工具能识别部分攻击并发出“搜索劫持”警告，但仍有部分伪装精巧的案例难以被察觉，尤其是在页面提示“未找到相关结果”并引导拨打号码的场景下更具迷惑性。安全专家提醒，用户若在浏览网页时看到“立即拨打”或“紧急客服”等字样，应高度警惕。验证官方联系方式应通过官网导航或认证社交平台，切勿盲目信任搜索结果中的号码。

https://hackread.com/scammers-fake-support-numbers-real-apple-netflix-paypal/

---

3 攻击者通过GitHub平台传播针对Minecraft玩家的恶意软件

Check Point研究人员披露，一种专门针对Minecraft玩家的多阶段恶意软件近期通过GitHub平台传播，伪装成作弊工具如Oringo和Taunahi模组，诱导用户下载安装。该攻击活动由名为Stargazers Ghost Network的恶意分发即服务平台（DaaS）支持，利用Java与.NET构建的信息窃取链条，对玩家的敏感信息进行窃取。此次攻击自2025年3月以来活跃，利用Minecraft模组社区的开放性和信任机制，将恶意JAR文件伪装为Forge插件分发。第一阶段Java加载器在执行前会检测虚拟机和分析工具，规避安全审查；若环境通过验证，加载器将下载第二阶段Java窃取器，用于收集Minecraft账户、Discord会话数据等。随后它还下载第三阶段的.NET窃取器，进一步窃取浏览器凭据、加密货币钱包、VPN配置等信息，并通过Discord webhook进行外发。该恶意软件仅在检测到Minecraft运行环境时才执行，显示出强定向特性。同时，样本中存在大量俄语注释和命名，表明其可能由讲俄语的威胁行为者开发和运营。

https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/

---

4 德国纸巾制造商Fasana遭勒索攻击后宣布破产

德国知名纸巾制造商Fasana在5月19日遭遇严重勒索软件攻击后，于近日正式申请破产保护。此次网络攻击造成企业系统瘫痪，仅次日即导致超过25万欧元订单中断，两周内估计损失高达200万欧元。事件迫使工厂全面停产，并推迟了员工5月工资的发放。Fasana位于德国斯托茨海姆，拥有240名员工。今年3月刚完成一次企业收购，如今却因网络攻击雪上加霜。管理方表示，此次攻击使公司无法打印发货单，业务全面停滞，成为压垮企业的“最后一根稻草”。据德国媒体WDR报道，攻击者为警方已知的勒索软件组织，使用可快速传播的恶意程序加密数据并发布勒索信息。员工于5月21日早间抵达公司时，打印机中已被塞满勒索通知。目前尚无团体对事件负责，攻击手法仍在调查中。尽管Fasana近期已逐步恢复部分运营，包括发货和开票流程，但公司已进入破产程序，并在接下来的八周内寻找潜在买家。此次事件凸显了勒索攻击对中型制造企业造成的严重冲击，也为德国制造业的网络防护水平敲响警钟。

https://securityaffairs.com/179160/security/ransomware-attack-napkin-firm-fasana-insolvency.html

---

5 美国司法部追回投资诈骗中被盗的2.25亿美元加密货币

美国司法部查获了与投资欺诈和洗钱活动有关的超过2.25亿美元的加密货币，这是美国特勤局历史上最大的加密货币查获案。此次行动由联邦调查局（FBI）特勤局联合区块链分析公司TRM Labs及稳定币发行商Tether共同完成，揭露了一个利用复杂链上交易网络洗钱的跨国犯罪集团。涉案犯罪集团通过虚假加密货币投资平台诱导受害者，谎称提供高回报理财项目，实际实施“杀猪盘”诈骗。据司法部公告，全球至少400名受害者受骗，其中包括数十名美国人。2024年全球加密货币投资诈骗报告损失达58亿美元，凸显此类犯罪猖獗。执法部门采用LIFO（后进先出）链上追踪技术，锁定93个诈骗存款地址35个中转钱包，最终追踪至7个USDT钱包集群，总金额2.253亿美元。为掩盖资金流向，犯罪集团执行了数十万笔链上交易，甚至支付高达12.5万美元的Gas费干扰调查。扣押资金将进入司法没收程序，未来或通过索赔机制返还受害者。此案标志着执法机构在加密货币犯罪调查中技术协作与法律工具的成熟应用，也为全球打击类似犯罪提供范本。

https://www.bleepingcomputer.com/news/legal/us-recovers-225-million-of-crypto-stolen-in-investment-scams/

---

6 隐私浏览器DuckDuckGo升级内置的网络诈骗防护工具

隐私浏览器DuckDuckGo近日宣布，已全面升级其内置Scam Blocker功能，以更有效阻止伪造电商、虚假加密平台、恶意广告等多种新型网络诈骗。此次更新显著扩展了Scam Blocker原本主要针对钓鱼与恶意软件网址的保护能力，使其对常见欺诈类型具备更强识别与拦截能力。升级后，Scam Blocker新增的拦截目标包括：伪冒网店、虚假投资及加密交易网站、声称奖励现金的虚假问卷调查、以“电脑中毒”为借口诱骗用户拨打假技术支持的Scareware页面，以及利用广告系统传播的恶意广告。这些威胁源均由合作安全厂商Netcraft提供情报清单，并每20分钟本地更新一次。在遇到不明威胁时，DuckDuckGo通过匿名加密校验与云端交互，确保在提供实时保护的同时，不泄露任何用户数据。被识别为诈骗页面时，用户会收到明显的警告提示，并可选择退出或继续访问。与Chrome、Safari、Firefox等依赖Google Safe Browsing的方案不同，DuckDuckGo强调其“零数据共享”原则，保障用户隐私不被第三方获取。该功能默认启用，无需用户登录或注册账号。

https://www.bleepingcomputer.com/news/security/duckduckgo-beefs-up-scam-defense-to-block-fake-stores-crypto-sites/

---