每日安全简讯(20260120)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GootLoader使用拼接ZIP压缩包绕过安全防护

GootLoader恶意软件通过拼接数百个ZIP文件生成畸形压缩包，以此绕过安全检测，作为初始访问工具为勒索软件团伙提供入口，占近年绕过检测恶意软件的11%。该恶意软件隶属2014年活跃至今的GootKit家族，由Mandiant追踪的UNC2565组织操控，采用访问即服务模式，可分发多款勒索软件及木马。2025年11月重现后，其已关联Vanilla Tempest和Rhysida勒索软件，利用500至1000个串联ZIP文件构造畸形包，借Windows默认解压工具可读取特性规避检测。攻击经编码文件诱导下载，解码生成恶意ZIP，运行其中JScript文件后持久化并通过PowerShell扩散。

https://securityaffairs.com/187037/cyber-crime/gootloader-uses-malformed-zip-files-to-bypass-security-controls.html

---

2 攻击者通过伪造杀毒软件安装包分发窃密载荷

研究人员揭露一起伪装成Malwarebytes杀毒软件的攻击活动，该活动于2026年1月11日至15日活跃，攻击者通过伪造安装包分发窃密载荷。攻击借助恶意ZIP压缩包传播，文件名遵循特定格式。攻击者未直接使用恶意可执行文件，而是采用DLL劫持技术，将合法可执行文件与恶意CoreMessaging.dll捆绑，诱使系统加载恶意模块。恶意DLL含特殊元数据，压缩包中的文本文件还关联到多款软件的虚假安装包。最终投放的STEALER窃密程序重点窃取加密货币资产及MFA工具信息。

https://securityonline.info/fake-malwarebytes-campaign-exploits-dll-sideloading-to-drop-infostealers/

---

3 StealC窃密木马控制面板遭研究人员劫持

2023年起在暗网推广的StealC窃密木马，凭借规避检测及强效窃密能力走红，2025年4月推出2.0版本，新增Telegram机器人实时告警等功能，但其管理面板源码随后泄露。CyberArk研究人员借此发现面板存在XSS漏洞，利用该漏洞收集攻击者设备指纹、监控会话并窃取面板会话Cookie，为避免攻击者快速修复漏洞，未披露漏洞细节。研究聚焦名为“YouTubeTA”的攻击者，其劫持旧YouTube账号植入恶意链接，2025年发起多轮攻击，获取5000余条受害者日志、39万余密码及3000多万Cookie，受害者多因搜索Adobe软件破解版中招。

https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers

---

4 加拿大投资监管机构CIRO遭钓鱼攻击

加拿大国家自律监管机构加拿大投资监管组织（CIRO）确认发生数据泄露事件，约75万人受影响，该事件源于2025年8月的一起钓鱼攻击。CIRO作为负责监管投资交易商、保护投资者权益的机构，在检测到异常后迅速控制事态，关停部分系统但未影响核心业务，随即通报执法部门并联合第三方安全专家开展法医调查，耗时超9000小时完成评估。泄露数据含个人及金融信息，包括收入、身份证明、联系方式、账号及交易对账单等，但密码和PIN码未泄露，目前无数据被滥用或流入暗网的证据。

https://securityaffairs.com/186993/data-breach/data-breach-at-canadas-investment-watchdog-canadian-investment-regulatory-organization-impacts-750000-people.html

---

5 微软联合多国瓦解RedVDS网络犯罪平台

微软宣布联合欧洲刑警组织、德国等多国机构，通过跨国行动瓦解大型网络犯罪虚拟桌面服务RedVDS，冻结其基础设施并关停交易平台。该平台自2019年起以犯罪即服务模式运营，月费低至24美元，向多个黑客团伙提供可操控虚拟Windows服务器，关联2025年3月以来美国境内至少4000万美元损失。其虚拟机均克隆自同一镜像，留下独特指纹便于追踪，服务器遍布多国以规避地域防护。黑客借助该平台发送钓鱼邮件、实施诈骗，甚至用AI生成钓鱼内容，四个月内攻陷近20万个微软账号。

https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/

---

6 约旦男子向卧底FBI探员售卖50家公司网络访问权

40岁约旦籍男子费拉斯·哈利勒·艾哈迈德·阿尔巴希提（Feras Khalil Ahmad Albashiti）认罪，承认作为访问中介，通过利用两款商用防火墙漏洞入侵网络，非法售卖至少50家公司的网络访问权。2023年5月，他以“r1z”为化名在网络犯罪论坛向卧底FBI探员兜售访问权，后续还售卖可关闭EDR工具的恶意软件、提权工具及改装渗透测试工具。其IP地址被证实关联一起致5000万美元损失的制造业勒索软件攻击，警方通过论坛邮箱与2016年签证申请邮箱一致锁定身份，他于2024年7月被捕，将于2026年5月判刑，最高面临10年监禁及25万美元罚款。

https://cyberscoop.com/jordanian-national-access-broker-pleads-guilty/

---