每日安全简讯(20260419)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Mirai新变种劫持TBK DVR设备发动DDoS攻击

研究人员发现新型Mirai变种恶意软件Nexcorium，专门针对TBK品牌数字录像机系统，将其转化为DDoS攻击僵尸。Mirai系列恶意软件通过利用物联网设备默认弱口令传播，曾发动过历史上最大规模的DDoS攻击。Nexcorium在传统Mirai功能基础上增加了对特定DVR硬件的针对性利用代码。安全研究人员建议用户修改设备默认密码，及时更新固件，并避免将物联网设备直接暴露在互联网中。

https://www.fortinet.com/blog/threat-research/tracking-mirai-variant-nexcorium-a-vulnerability-driven-iot-botnet-campaign

---

2 攻击者伪造快递邮件投递SimpleHelp远控木马

研究人员披露一起针对德国工业企业的精准钓鱼攻击。攻击者冒充DHL发送"货物到达"通知邮件，附件携带预配置的SimpleHelp远程访问工具，构建隐蔽持久化后门。该钓鱼邮件使用通用info@邮箱作为目标，发件人地址非DHL官方域名，邮件图片托管于雅虎云服务而非DHL自有基础设施。附件"AWB-Doc0921.pdf"实为伪装成PDF的模糊图片，诱导用户点击"继续"按钮后，从被入侵的越南物流公司域名下载.scr屏幕保护程序文件。攻击者可借此实现远程桌面控制、文件传输、凭证窃取及横向移动，为后续勒索软件投放创造条件。

https://www.malwarebytes.com/blog/news/2026/04/your-shipment-has-arrived-email-hides-remote-access-software

---

3 新型恶意软件CGrabber和Direct-Sys通过GitHub传播

研究团队发现一起复杂的多阶段恶意软件传播活动，成功绕过杀毒软件窃取用户数据。攻击者通过GitHub用户附件链接分发ZIP压缩包，其中包含合法微软签名程序Launcher_x64.exe。Direct-Sys Loader运行前会检测67种安全工具和虚拟机环境，确认处于研究人员沙箱时自动退出。CGrabber Stealer负责最终数据窃取，目标是Chrome等浏览器的密码、信用卡和Cookie，以及150多个加密钱包的私钥，甚至包括Telegram、ProtonVPN等通信和VPN应用的所有数据。被窃数据使用ChaCha20算法加密后外传。

https://hackread.com/cgrabber-direct-sys-malware-github-zip-files/

---

4 攻击者滥用QEMU虚拟机隐蔽部署勒索软件

安全研究人员近日披露，威胁组织正大规模滥用开源虚拟化工具QEMU构建隐蔽攻击环境，以规避终端安全检测并实现长期驻留。该手法已被GOLD ENCOUNTER等组织用于部署PayoutsKing勒索软件及凭证窃取活动。攻击者通过创建名为"TPMProfiler"的计划任务，以SYSTEM权限启动伪装成DLL文件的QEMU虚拟机镜像。由于恶意活动完全在虚拟层执行，主机端安全软件及审计日志均无法捕获取证证据。此类"虚拟化层攻击"呈明显上升趋势，建议企业审计环境中非授权QEMU进程、监控非标准端口SSH隧道，并限制虚拟化软件的异常执行权限。

https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery

---

5 活跃的安卓恶意软件家族针对银行和加密货币发起攻击

安全研究团队发现四个活跃的安卓恶意软件家族，分别针对安卓银行和加密货币应用实施攻击。RecruitRat通过虚假求职网站传播，SaferRat以免费流媒体服务为诱饵， Astrinox冒充企业招聘工具HireX，Massiv则隐秘传播难以溯源。所有恶意软件均使用覆盖攻击技术，在用户打开真实银行或加密钱包应用时弹出钓鱼页面窃取凭据。研究人员发现攻击者滥用无障碍服务权限，在用户屏幕上显示冻结的更新提示以隐藏后台操作，同时窃取联系人、读取短信并使用MediaProjection框架录制屏幕。

https://zimperium.com/blog/android-bankers-4-campaigns-in-a-row

---

6 黑客因参与DraftKings攻击被判监禁和百万罚款

美国23岁黑客Kamerin Stokes（化名TheMFNPlug）因参与2022年针对DraftKings的凭证填充攻击，被判处30个月监禁并需支付超过140万美元罚款和赔偿。攻击者从暗网购买大量被盗用户名和密码，对约6万个账户进行凭证填充测试，并在部分账户中注入新支付方式后提现受害用户余额。Stokes在个人网店销售窃取的DraftKings账户访问权限，交易金额超过12.5万美元，甚至在认罪后重新开业，宣称"欺诈很有趣"。

https://securityaffains.com/190943/cyber-crime/draftkings-hacker-sentenced-to-prison-ordered-to-pay-1-4-million.html

---