每日安全简讯(20260606)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WeedHack恶意软件活动感染超11万Minecraft用户

安全研究人员披露，一场名为WeedHack的大规模恶意软件活动以Minecraft玩家为目标，自1月以来已感染超过116000个系统。已披露信息显示，该恶意软件通过与Minecraft相关的恶意模组、客户端、作弊程序和实用程序传播，并通过视频平台推广和搜索引擎优化投毒扩大分发。该恶意软件属于恶意软件即服务信息窃取工具，可向使用者提供仪表板，用于查看被盗凭证和受感染系统信息。遥测数据显示，该活动平均每天感染2000至3000台系统，受害者主要位于美国、德国、印度和英国。该平台可窃取Minecraft会话ID、浏览器密码、加密货币钱包数据以及多类账户凭据。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/weedhack-minecraft-malware-as-a-service-campaign-research/

---

2 Microsoft365应用遗留调试标志导致令牌保护可绕过

安全研究人员披露，一个开发设置绕过了用于防止未经授权Android应用访问Microsoft账户令牌的保护机制，导致大量应用安装暴露在风险之下。已披露信息显示，Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop和OneNote for Android的生产代码中遗留了调试标志，启用后改变了账户访问令牌共享行为，使本应阻止不受信任应用接收令牌的保护机制被跳过。攻击者可编写应用请求相关访问权限，并在设备上获取令牌。研究人员称，该问题本质上与供应链攻击相关，只是攻击方向不同。其他同类应用未启用该标志，因此未受该问题影响。

https://enclave.ai/blog/flagleft-microsoft-365-android-forgotten-flag-account-takeover

---

3 黑客组织针对俄罗斯海事与政府机构钓鱼攻击长达两年

安全研究人员披露，一个此前不为人知的黑客组织在过去近两年里持续攻击俄罗斯海事大学、能源设施、外交使团和政府机构。已披露信息显示，该活动至少可追溯至2024年，并因长期不活跃阶段而较难被发现。研究人员称，该组织有时会暂停三至四个月，随后突然发起攻击，部分月份攻击次数可达十次。最新一轮活动始于今年1月，并使用名为Ravage的渗透测试框架。过去一年观察到的攻击中，超过一半目标为教育机构，尤其是海事大学以及为航运、内河航道和渔业培养人员的学校。攻击始于包含ZIP压缩文件的钓鱼邮件，压缩包内含伪装成Excel配置文件的恶意文件。

https://securelist.ru/unknown-group-targets-maritime-universities/115765/

---

4 虚假订单邮件攻击通过RAR压缩包传播PureLogs木马

安全研究人员披露，一项针对Windows用户的电子邮件攻击活动使用伪造采购订单邮件和RAR压缩包传播PureLogs信息窃取恶意软件。已披露信息显示，攻击邮件诱导目标打开名为“PO 2026-P0803.rar”的恶意压缩文件，并以此作为初始诱饵。该活动使用流程空洞化技术，将合法Windows进程替换为恶意下载器模块，以隐藏恶意软件运行。PureLogs随后窃取多种浏览器中的已保存登录凭据、历史记录和cookie，并针对加密货币钱包、Discord、Outlook、FileZilla、ProtonVPN和OpenVPN等应用收集账户数据。最终，相关数据会与桌面截图、系统信息、剪贴板数据和用户名打包、压缩、加密后发送至黑客服务器。

https://www.fortinet.com/blog/threat-research/phishing-campaign-deploys-javascript-driven-purelogs-variant-to-steal-sensitive-data

---

5 Pretalx零点击XSS漏洞可劫持会议组织者账户

安全研究人员披露，开源会议管理软件pretalx存在高危存储型跨站脚本漏洞CVE-2026-41241，CVSS评分为8.7。该软件广泛用于征稿流程和会议日程安排。已披露信息显示，任意注册用户可在组织方搜索栏下拉菜单中植入HTML或JavaScript代码，并在会议组织者搜索常用词时触发渲染。研究人员称，攻击者可上传伪装成讲义或幻灯片的载荷文件，并在提交标题中插入iframe标签，从而绕过相关内容安全策略限制并执行脚本。该脚本可访问组织者会话，进而导致会话劫持、数据窃取和自动接受演讲等结果。分析还显示，存在无需JavaScript的辅助技术，可撤销组织者管理员权限。

https://novee.security/blog/pretalx-stored-xss-vulnerability-account-takeover/

---

6 安卓系统六月更新修复一项已被利用高危漏洞

官方公告披露，Android操作系统2026年6月安全更新修复了124个漏洞，其中包括Framework组件中的一个高危漏洞CVE-2025-48595。该漏洞CVSS评分为8.4，被描述为无需用户交互即可提升权限的问题，影响运行Android 14、15、16和16 QPR2的设备。漏洞描述显示，多个位置存在利用整数溢出执行代码的可能路径，可能导致本地权限提升，且无需额外执行权限。官方承认有迹象表明该漏洞可能正遭受有限且有针对性的利用，但未披露幕后黑手、受影响目标或攻击规模。此次更新包含2026-06-01和2026-06-05两个安全补丁级别，并覆盖部分第三方芯片组件修复。

https://source.android.com/docs/security/bulletin/2026/2026-06-01

---