每日安全简讯(20260426)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现名为Fast16的破坏性恶意软件

研究人员发现一款名为Fast16的Lua破坏性恶意软件，其创建时间早于Stuxnet，旨在篡改高精度计算软件结果。该软件曾出现在ShadowBrokers泄露的NSA攻击工具中，并于2005年被用于攻击。安全公司认为Fast16可能由美国开发。Fast16的补丁模式旨在对土木工程及物理过程模拟软件进行战略性破坏，通过在计算中引入微小但系统性的误差，长期降低工程系统性能甚至造成灾难性后果。蠕虫组件可感染同网络其他系统，通过在不同机器验证计算结果来阻止破坏被发现。Fast16弥合了早期不为人知的开发项目与后期基于Lua/LuaJIT的广泛工具包之间的演进鸿沟，证明在2000年代中期国家级网络破坏能力已完全开发部署完毕。

https://www.securityweek.com/pre-stuxnet-sabotage-malware-fast16-linked-to-us-iran-cyber-tensions/

---

2 ClickFix新变种利用Windows工具规避安全检测

研究团队发现ClickFix社会工程攻击出现新变种，攻击者突破传统PowerShell和Rundll32依赖，转而滥用cmdkey和regsvr32等Windows原生实用程序实现多阶段隐蔽攻击。该变种通过伪造验证码页面诱骗用户在运行对话框执行恶意命令，利用cmdkey存储远程访问凭据后，通过regsvr32从UNC路径加载并执行远程DLL，实现凭证暂存、载荷检索与静默执行的完整攻击链。专家建议监控出站SMB/UNC访问，限制cmdkey外部使用，并持续对用户进行ClickFix社会工程攻击教育。

https://hackread.com/clickfix-variant-native-windows-tools-bypass-security/

---

3 Trigona勒索软件部署定制数据窃取工具

Trigona勒索软件关联组织近期在2026年3月的攻击中部署了名为"uploader_client.exe"的定制命令行数据窃取工具，标志着其策略的重大转变。该工具与攻击者控制的服务器硬编码通信，默认使用五个并行连接加速传输，并支持在发送2048 MB数据后轮换TCP连接以规避网络流量监控。攻击者可通过--exclude-ext标志过滤.mp3、.mp4等低价值文件，精准窃取发票及高价值PDF文档。

https://www.security.com/threat-intelligence/trigona-exfiltration-custom

---

4 LMDeploy SSRF漏洞披露13小时后遭在野利用

研究人员发现LMDeploy（开源LLM部署工具包）的高危SSSRF漏洞CVE-2026-33626在公开披露后12小时31分钟内即遭在野利用。漏洞CVSS评分7.5，存在于LMDeploy视觉语言模块的load_image()函数，该函数获取任意URL时未验证内部/私有IP地址，允许攻击者访问云元数据服务、内部网络和敏感资源，可窃取云凭据、端口扫描内网、横向移动。漏洞影响0.12.0及此前所有启用视觉语言支持的版本。

https://thehackernews.com/2026/04/lmdeploy-cve-2026-33626-flaw-exploited.html

---

5 研究人员发现多款FakeWallet恶意应用

研究员发现苹果App Store中存在26款名为FakeWallet的恶意应用，冒充Bitpie、Coinbase、imToken、TokenPocket和Trust Wallet等主流加密钱包，自2025年秋季起窃取恢复短语和私钥。应用启动后将用户重定向至仿冒App Store的浏览器页面分发木马化正版钱包。应用图标与原始一致但名称含故意拼写错误（如LeddgerNew），部分应用名称和图标与加密货币无关，作为占位符引导用户通过企业配置文件安装钱包应用。苹果在披露后已下架多数应用，未发现通过Google Play分发。

https://thehackernews.com/2026/04/26-fakewallet-apps-found-on-apple-app.html

---

6 法国警方逮捕涉大规模数据盗窃黑客HexDex

法国警方在旺代地区逮捕20岁男性黑客HexDex，其被控从数十个网站窃取私人信息并在BreachForums和DarkForums上泄露。调查始于2025年12月底，收到近100起数据盗窃报案。HexDex涉嫌攻击约15个法国体育联合会，以及法国教育部、枪支持有者国家数据库SIA、国家警察培训平台e-campus、摩泽尔省警察局、国家领土凝聚力署ANCT、公共服务招聘门户和巴黎爱乐音乐厅等。网络犯罪旅BL2C查扣其计算机设备并控制其DarkForum账号，该账号现已显示被当局查封通知。目前嫌疑人仍被拘留进行设备取证分析。

https://hackread.com/french-police-arrest-hexdex-hacker-data-leak-leaks/

---