安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现PureLogs新型信息窃取器正通过钓鱼邮件在全球范围内传播，其传播载体为附发票主题的TXZ压缩包，邮件以“逾期余额确认”为诱饵，伪造采购经理身份催促用户立即打开附件，利用用户的紧急心理实施攻击。该恶意软件采用先进隐写术技术，将加密后的恶意载荷隐藏在普通猫咪PNG照片中，成功规避多数安全软件检测。用户打开附件后，内置的JavaScript脚本会通过混淆手段隐藏恶意命令，启动隐藏的PowerShell会话，加载PawsRunner组件并通过RC4加密解密下载链接，最终获取PureLogs主载荷。该窃取器功能强大，可全面窃取全球用户各类敏感数据，包括主流及小众浏览器的凭证、100余款加密钱包与桌面钱包信息、Discord、Telegram等通讯软件数据，以及Bitwarden、LastPass等密码管理器和各类验证器的相关信息，还能窃取Steam、FileZilla等常用软件的账号数据。其采用异步代码提升执行效率，同时加大分析难度，窃取的数据经AES加密后外传，可用于金融盗窃或在黑产市场出售，而隐写术已成为当前攻击者规避检测的常用手段。

Bitdefender安全研究人员发现，微软Windows系统自带的旧工具MSHTA虽为合法组件，但仍被攻击者大量滥用，成为常用的LOLBIN（Living-off-the-Land binary）工具，用于投递各类恶意软件。该工具可默认执行VBScript和JavaScript脚本，即便IE浏览器已退役，其相关功能仍被保留以保障兼容性，这也成为攻击者可利用的漏洞。攻击者借助MSHTA的合法进程身份，构建多阶段无文件执行链，通过虚假软件下载、ClickFix式诱饵等社会工程学手段，依托CountLoader、Emmenhtal Loader等加载器，向目标设备投递LummaStealer、Amatera等信息窃取器，以及ClipBanker、PurpleFox等高级恶意软件。部分攻击还通过剪贴板劫持、伪造验证页面等方式，诱导用户主动执行恶意指令。监测显示，此类攻击自2025年底开始增多，攻击者不断更换域名后缀规避检测，微软已宣布计划2027年默认禁用相关脚本功能，研究人员建议企业尽快限制MSHTA使用，迁移至更安全的现代管理工具，降低被攻击风险。

波兰政府近期宣布，禁止官方人员使用Signal通讯应用处理敏感信息，转而采用国产加密通信工具mSzyfr及隔离系统SKR-Z，起因是多名政府官员遭遇针对性网络攻击，其Signal账号信息被窃取。经调查，此次攻击并非Signal加密机制被破解，而是亲俄APT组织采用社会工程学手段实施，攻击者冒充Signal平台客服，通过虚假通知诱骗用户泄露验证码、PIN码，或利用恶意二维码、钓鱼链接诱导用户绑定攻击者控制的设备，进而窃取聊天记录、联系人等敏感信息。据悉，此类针对政府官员通讯账号的攻击已发生多次，对国家安全构成潜在威胁。目前，德国、荷兰等欧洲国家也因类似安全顾虑，调整了官方通讯工具使用策略，此次事件也凸显出，即便加密技术完善，社会工程学攻击仍是政府通讯安全的主要风险点。

Facebook平台近期出现大量虚假Aldi肉类礼盒促销诈骗，诈骗分子通过伪造Aldi官方账号，编造“内部低价清仓”“专属福利”等谎言，宣称40岁以上用户可以远低于市场价的价格购买肉类礼盒，以此诱导用户关注并点击评论区的短链接。这些短链接会跳转至仿Aldi官方风格的虚假网站，网站设计逼真，还伪造大量五星评价增强可信度，以“限时抢购”“库存紧张”等话术催促用户尽快填写个人信息，包括姓名、家庭地址、手机号码及银行卡、支付软件等支付信息。一旦用户提交信息，诈骗分子会立即窃取相关数据，用于盗刷支付账户、实施精准诈骗等违法活动。目前，此类诈骗已蔓延至澳大利亚、南非等多个国家，针对当地知名零售商展开，而社交平台审核机制宽松，成为诈骗分子快速传播此类骗局的主要渠道。

全球连锁便利店7-11近期确认遭遇数据泄露事件，知名黑客组织ShinyHunters公开宣称，已成功入侵7-11存储加盟商信息的系统，窃取超60万条Salesforce相关记录及加盟商敏感数据，涵盖加盟商个人身份信息、经营数据、联系方式等，同时包含部分企业内部业务数据。据悉，此次攻击发生于4月8日，黑客组织通过漏洞入侵系统后，窃取数据并向7-11索要赎金，威胁若不支付将公开全部泄露数据。目前，7-11已紧急启动安全调查，全面排查系统漏洞，同时通知所有受影响的加盟商，提醒其做好信息防护。ShinyHunters是全球知名黑客组织，长期专注于攻击企业Salesforce系统，此前曾成功入侵谷歌、思科、Zara等多家知名企业，窃取大量用户及业务数据，多次通过勒索赎金获取非法利益。

医疗SaaS企业Endue Software就2025年发生的数据泄露事件，与受害者达成87万美元的集体诉讼和解协议。据悉，该数据泄露事件发生于2025年2月，EndueSoftware系统遭黑客入侵，导致11.8万名患者的敏感信息泄露，泄露数据包括患者姓名、社保号、病历号、就诊记录等核心医疗及个人信息，可能被用于医疗诈骗、身份盗用等违法活动。事件发生后，多名受害者联合发起集体诉讼，指控该企业存在安全防护过失。尽管EndueSoftware否认自身存在安全过失，但为妥善解决纠纷，最终达成和解，和解方案包括为受害者提供为期两年的医疗信息安全监控及信用保护服务，同时设立现金补偿基金，受害者可凭相关证明申请最高2500美元的损失报销，或申请一次性现金补偿，此次和解的总资金上限为87万美元，所有受害者的索赔申请截止至2026年6月30日。