首頁 > 安全研究 > 安全通報 > 安全簡訊

iClicker平臺遭ClickFix攻擊

發布時間 2025-05-12

1. iClicker平臺遭ClickFix攻擊


5月11日,流行的學生參與平臺iClicker網站遭遇ClickFix攻擊,該攻擊通過虛假CAPTCHA提示誘騙用戶安裝惡意軟件。iClicker是麥克米倫的子公司,作為數字課堂工具被美國多所大專院校廣泛使用,涉及5000名教師和700萬名學生。2025年4月12日至16日期間,iClicker網站被黑客入侵,顯示偽造的CAPTCHA,誘導用戶點擊“我不是機器人”進行驗證。當用戶點擊后,PowerShell腳本被復制到Windows剪貼板,用戶被指示打開運行對話框粘貼并執行該腳本以完成驗證。盡管該攻擊已不再在iClicker網站上運行,但Reddit上有用戶揭示了執行的PowerShell有效負載。攻擊中使用的PowerShell命令高度混淆,執行時會連接到遠程服務器檢索另一個PowerShell腳本。根據訪問者類型,該腳本會下載不同的內容:對于目標訪客,會下載惡意軟件到計算機上,允許威脅行為者完全訪問受感染設備;對于非目標對象,如惡意軟件分析沙箱,則會下載并運行合法的Microsoft Visual C++ Redistributable。從過去活動看,此次攻擊很可能傳播信息竊取程序,能竊取瀏覽器cookie、憑據、密碼、信用卡和瀏覽歷史記錄,還能竊取加密貨幣錢包、私鑰和敏感文本文件。


https://www.bleepingcomputer.com/news/security/iclicker-hack-targeted-students-with-malware-via-fake-captcha/


2. 虛假AI視頻工具傳播Noodlophile惡意軟件


5月10日,近期,虛假人工智能視頻生成工具被網絡犯罪分子利用,傳播名為“Noodlophile”的新型信息竊取惡意軟件家族。這些惡意網站使用“夢想機器”等誘人名稱,在Facebook高知名度群組中打廣告,冒充先進人工智能工具,誘騙用戶上傳文件以生成視頻。Morphisec發現,Noodlophile在暗網論壇上出售,常與“獲取Cookie+Pass”服務捆綁,與越南語運營商相關,是一種新型惡意軟件即服務行動。其感染鏈為多階段過程:受害者訪問惡意網站并上傳文件后,會收到一個包含欺騙性可執行文件(Video Dream MachineAI.mp4.exe)的ZIP存檔,該文件看似MP4視頻,實為重新利用的CapCut視頻編輯工具版本,用以逃避用戶懷疑和部分安全解決方案檢測。雙擊該文件后,會執行一系列可執行文件,最終啟動批處理腳本,利用合法Windows工具解碼并提取受密碼保護的RAR文件,同時添加注冊表項以實現持久性。隨后,執行從遠程服務器獲取的混淆Python腳本,在內存中執行Noodlophile Stealer。Noodlophile旨在竊取網絡瀏覽器上存儲的數據,如賬戶憑據、會話cookie、令牌和加密貨幣錢包文件,并通過Telegram機器人泄露數據,該機器人充當隱蔽的命令和控制服務器。


https://www.bleepingcomputer.com/news/security/fake-ai-video-generators-drop-new-noodlophile-infostealer-malware/


3. Ascension數據泄露影響超43萬名患者


5月9日,美國Ascension醫療保健系統近日透露,上個月發生了一起重大數據泄露事件,超過43萬名患者的個人和醫療保健信息遭到泄露。據Ascension在4月份發送給受影響者的通知信顯示,這些信息在去年12月的一次數據盜竊攻擊中被盜,攻擊涉及Ascension的一位前商業伙伴。攻擊者獲取了與患者住院就診相關的個人健康信息,如醫生姓名、入院和出院日期、診斷和賬單代碼等,還包括患者的個人信息,如姓名、地址、電話號碼、電子郵件地址、出生日期、種族、性別和社會安全號碼等。Ascension在獲悉潛在安全事件后立即展開調查,并于今年1月21日確定,其無意中向前商業伙伴泄露了信息,且部分信息可能因前商業伙伴使用的第三方軟件漏洞而被竊取。盡管Ascension當時未透露受影響總人數,但后續文件顯示,此次事件影響了德克薩斯州的11萬多人,馬薩諸塞州也有96名居民的醫療記錄和社會安全號碼被泄露。此外,Ascension還向美國衛生與公眾服務部提交的文件中披露,此次數據泄露共影響了43萬多人。Ascension為受影響用戶提供了兩年的免費身份監控服務。


https://www.bleepingcomputer.com/news/security/ascension-says-recent-data-breach-affects-over-430-000-patients/


4. 執法部門摧毀運營20年的僵尸網絡


5月9日,執法部門近日摧毀了一個運營20年的僵尸網絡,該網絡通過惡意軟件感染了數千臺舊式無線互聯網路由器,并建立了Anyproxy和5socks兩個住宅代理網絡。美國司法部起訴了三名俄羅斯公民和一名哈薩克斯坦公民,指控他們參與運營并從中獲利。此次行動由美國當局與荷蘭國家警察局、荷蘭公共檢察機關、泰國皇家警察局及Lumen Technologies旗下Black Lotus Labs分析師聯合開展。僵尸網絡自2004年起便利用惡意軟件感染路由器,允許未經授權訪問設備,并將其作為代理服務器出售。用戶無需身份驗證即可直接連接代理,導致大量惡意行為者可能獲得免費訪問權限。此類代理服務隱蔽性強,能避開網絡監控工具,被用于廣告欺詐、DDoS攻擊等多種非法行為。用戶需支付訂閱費,而四名被告通過出售對Anyproxy僵尸網絡受感染路由器部分的訪問權限,收取了巨額資金。他們使用俄羅斯和荷蘭等地的服務器來運營網站和管理僵尸網絡。四人均被指控犯有共謀罪和破壞受保護計算機罪,其中兩人還被指控虛假注冊域名。


https://www.bleepingcomputer.com/news/security/police-dismantles-botnet-selling-hacked-routers-as-residential-proxies/


5. 網絡釣魚攻擊利用Blob URI繞過安全竊取憑據


5月9日,Cofense Intelligence揭示了一種新型網絡釣魚技術,該技術利用blob URI在用戶瀏覽器中創建本地虛假登錄頁面,以繞過電子郵件安全機制并竊取用戶憑據。這種技術自2022年中期出現以來,正日益被網絡犯罪分子所利用,他們通過電子郵件將憑證釣魚頁面直接發送到用戶收件箱。Blob URI原本是指向瀏覽器保存在用戶計算機上的臨時數據的地址,常用于合法Web功能,如YouTube的視頻數據臨時存儲。然而,其本地化特性,即一個瀏覽器創建的Blob URI無法被其他瀏覽器訪問,卻被威脅行為者利用來實施惡意攻擊。由于Blob URI數據不在常規互聯網上,電子郵件安全系統難以檢測到其中的有害虛假登錄頁面。當用戶點擊釣魚郵件中的鏈接時,他們通常會被引導至一個受信任的真實網站,隨后再被重定向到攻擊者控制的隱藏網頁。這個隱藏網頁會利用Blob URI在用戶瀏覽器中直接創建虛假登錄頁面,竊取用戶名和密碼。這種技術對自動化安全系統,尤其是安全電子郵件網關(SEG)構成了挑戰,因為基于人工智能的安全模型可能尚未充分訓練以區分Blob URI的合法與惡意用途。


https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/


6. 南非航空遭網絡攻擊致系統癱瘓


5月8日,南非航空近日遭遇網絡攻擊,導致其官方網站、多個內部運營系統及移動應用程序暫時中斷。不過,公司IT團隊已控制事態,并將核心航班運營的干擾降至最低。在周二發布的聲明中,南非航空強調關鍵客服渠道如客戶服務中心和銷售辦公室持續運行,且所有受影響平臺已恢復正常功能。關于此次事件是否涉及勒索軟件,公司未予回應。首席執行官約翰·拉莫拉表示,公司正在調查事件根本原因,并核查敏感信息是否外泄,同時已向國家安全局、南非警察局及信息監管機構報告此事。南非航空承諾,若確認存在信息被盜將通知受影響人員。此次攻擊是南非關鍵機構持續遭受網絡犯罪沖擊的又一案例,此前勒索團伙曾泄露總統個人聯系方式、竊取國防部數據,國有銀行、能源巨頭等也接連遇襲。面對愈演愈烈的網絡威脅,南非政府于今年4月出臺新規,強制要求所有機構向信息監管機構報告網絡攻擊,以加強個人信息安全事件的監控。這項立法出臺之際,正值南非航空等國有企業從長期財務危機中復蘇的關鍵時期,該航司2024年才實現13年來首次盈利,此前已累計接受政府注資約137億元人民幣。


https://therecord.media/south-african-airways-cyberattack-disrupted

上一篇 下一篇