安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员分析了一款专门针对俄罗斯金融机构、具有高度复杂性的安卓银行木马，其中集成了远程控制功能。该恶意软件利用了规避技术，例如原生库加密、滚动XOR字符串混淆以及通过WebSocket实现的实时类VNC远程控制。该恶意软件会对设备进行全面的监控，收集短信、通话记录、联系人、剪贴板内容、通知、键盘记录等数据。

研究人员最近在NPM生态系统中发现了2个恶意软件包，这些包通过Dropbox链接分发名为solara 1.0.0.exe或solara 1.0.1.exe的Windows可执行文件。这些恶意包交付的可执行文件中嵌入了经过混淆处理的JavaScript代码，以及运行该代码所需的所有Node.js模块，旨在窃取受影响用户的信息。该木马在内部自称为Cipher窃密木马（Cipher stealer）。

自2026年1月31日以来，研究人员已识别出至少72个新增的恶意Open VSX扩展，其中包括针对开发人员的GlassWorm加载器。研究人员的最新分析显示，该威胁在Open VSX平台上的传播方式发生了变化，攻击者不再要求每个恶意列表都直接嵌入加载器，而是开始滥用extensionPack和extensionDependencies属性。这种转变实质上扩大了攻击活动的覆盖范围，并降低了恶意组件被发现的概率。

2026年3月9日，应客户要求，研究人员开始调查一起可能涉及AppsFlyer SDK的安全事件。在调查期间，研究人员确认访问加载AppsFlyer SDK的网站和应用程序的用户，会被交付一段经过混淆、由攻击者控制的JavaScript代码。该事件的全貌、持续时间和根本原因尚未得到验证，目前AppsFlyer官方除提及可用性问题外，尚未对此做出正式确认。

微软发布了一项带外（OOB）更新，旨在修复影响Windows 11企业版设备的安全漏洞。KB5084597热补丁修复了Windows路由和远程访问服务管理工具中的漏洞。如果用户连接到恶意服务器，这些漏洞可能导致远程代码执行。微软表示，此次修复的漏洞编号为CVE-2026-25172、CVE-2026-25173和CVE-2026-26111。虽然这些漏洞已在2026年3月10日的“周二补丁日”中得到修复，但安装标准累积更新通常需要重启设备。对于某些运行关键业务、无法轻易重启的设备，热补丁提供了内存修复、无需重启的方案。

Zoom近期发布安全公告，详细披露了影响其Windows客户端的4个安全漏洞，其中包括一个被评为Critical级别的漏洞。该漏洞允许未经身份验证的提权，攻击者可能借此执行非法指令、泄露敏感数据，或通过网络及本地访问夺取用户系统的控制权。Zoom官方敦促安全团队立即应用最新更新，以缓解这些高风险威胁。