冒充Booking.com的网络垂纶运动使用ClickFix攻击窃守信息

首页 > 清静研究 > 清静转达 > 清静简讯

冒充Booking.com的网络垂纶运动使用ClickFix攻击窃守信息

宣布时间 2025-03-14

1. 冒充Booking.com的网络垂纶运动使用ClickFix攻击窃守信息

3月13日，微软克日发出忠言，指出保存一起冒充Booking.com的网络垂纶运动，该运动自2024年12月起一连至今，主要针对旅馆、旅行社等使用Booking.com预订服务的组织员工。攻击者使用ClickFix社会工程攻击手段，通过发送含有恶意软件的电子邮件，意图挟制员工账户并窃取客户付款详情和小我私家信息。据微软清静研究职员剖析，此次运动由名为“Storm-1865”的威胁组织提倡。在此次运动中，攻击者发送伪装成客人询问Booking.com相关事宜的电子邮件，邮件中包括虚伪的CAPTCHA页面链接或PDF附件，诱骗受害者执行隐藏的mshta.exe下令。该下令会在攻击者服务器上执行恶意HTML文件，进而下载并装置多种RAT和信息窃取软件，如XWorm、Lumma stealer等。这些有用载荷具有窃取财务数据和凭证以供诓骗使用的能力，是Storm-1865运动的典范特征。为了防御此类攻击，微软建议用户始终确认发件人地点的正当性，对紧迫行动呼吁坚持小心，并寻找可能的拼写过失以识别诈骗。同时，建议通过自力登录平台验证Booking.com账户状态和待处置惩罚警报，阻止点击电子邮件中的链接，以降低被攻击的危害。

https://www.bleepingcomputer.com/news/security/clickfix-attack-delivers-infostealers-rats-in-fake-bookingcom-emails/

2. Mora_001使用Fortinet误差安排SuperBlack勒索软件

3月13日，名为“Mora_001”的勒索软件运营商正在使用Fortinet披露的两个身份验证绕过误差（CVE-2024-55591和CVE-2025-24472）来获取防火墙装备的未授权会见，并安排定制的SuperBlack勒索软件。这两个误差划分在2024年1月和2月被Fortinet果真，但CVE-2024-55591自2024年11月起就已被用作零日误差举行攻击。而关于CVE-2025-24472，只管最初Fortinet体现不清晰是否被使用，但Forescout研究职员在2025年1月下旬发明了SuperBlack攻击，批注该误差也已被使用。Mora_001运营商通过这两个误差获得“super_admin”权限，建设新治理员帐户，并实验横向移动以窃取数据。之后，他们使用自界说工具加密文件以举行双重勒索，并在加密竣事后安排勒索信。别的，还安排了名为“WipeBlack”的定制擦除器以删除痕迹。Forescout发明SuperBlack与LockBit勒索软件之间保存细密联系，只管前者似乎是自力行动，但两者在加密器结构、赎金纪录中的TOX谈天ID以及IP地点等方面保存大宗重叠。Forescout分享了与SuperBlack攻击相关的入侵指标列表以供防御参考。

https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/

3. CISA忠言Apple WebKit越界写入误差正在被野外使用

3月13日，克日，美国网络清静和基础设施清静局（CISA）发出忠言，指出苹果WebKit浏览器引擎保存一个已被野外使用的零日误差，编号为CVE-2025-24201。这是一个越界写入问题，攻击者可通过全心结构的恶意网页内容，突破Web Content沙盒隔离，在受影响装备上执行未经授权的代码，甚至安排特工软件。该误差普遍影响iPhone XS及后续机型、iPad Pro系列、iPad Air系列、iPad系列、iPad mini系列、运行macOS Sequoia的Mac装备以及Apple Vision Pro，同时iOS和iPadOS上的第三方浏览器也受到影响，由于它们必需使用WebKit引擎。苹果已确认，该误差可能在针对特定小我私家的“极其重大”的攻击中被使用，并已宣布更新举行修复。CISA建议用户凭证供应商指示接纳缓解步伐，包括连忙更新装备、阻止点击不可信链接和会见未知网站、监控装备行为以及启用自动更新。关于高危害用户和企事业用户，建议启用锁定模式以增强防护能力。企业用户还应安排移动装备治明确决计划，确保装备实时更新，并监控网络运动以发明潜在攻击迹象。

https://cybersecuritynews.com/cisa-warns-of-apple-webkit-out-of-bounds-write/

4. ESHYFT数据库设置过失致86,000名医护职员敏感数据泄露

3月13日，ESHYFT 是一家总部位于新泽西州的康健科技公司，营业普遍 29 个州。克日，一个设置过失的数据库袒露了ESHYFT旗下86,000多名医护职员的108.8 GB敏感数据，包括SSN、身份证件扫描件、薪资详情等小我私家身份信息。该数据库没有密码�；せ蚣用�，由网络清静研究员Jeremiah Fowler发明。被泄露的数据还包括小我私家资料图像、面部图像、专业证书、事情使命协议等，以及一份详细纪录了80多万条护士信息的电子表格。别的，医疗文件也被泄露，可能受到HIPAA规则的约束。只管Fowler连忙通知了ESHYFT，但该公司花了一个多月才限制公众会见。现在尚不清晰数据库是否由ESHYFT拥有或直接治理，以及袒露的一连时间和是否有未经授权的职员会见数据。网络犯法分子可能会使用这些数据实验犯法或诱骗受害者。因此，HealthTech必需实验适当的网络清静步伐，如强制加密敏感数据、使用多因素身份验证、举行按期清静审核等，以�；び没萸寰�。同时，制订数据泄露应对妄想、建设相同渠道、提供认真任的披露通知并教育用户识别网络垂纶妄想也是须要的。

https://hackread.com/healthtech-database-exposed-medical-employment-records/

5. 黑客滥用Microsoft Copilot举行重大的网络垂纶攻击

3月13日，随着Microsoft Copilot在2023年推出并迅速成为许多组织不可或缺的生产力工具，网络犯法分子也瞄准了这一新攻击前言。他们使用全心制作的网络垂纶电子邮件，模拟正当的Microsoft通讯，诱骗用户点击链接，从而重定向到伪造的Microsoft Copilot接待页面。这些页面与正当的Microsoft界面高度相似，但URL并不属于Microsoft域。攻击者进一步模拟Microsoft身份验证历程，诱使用户输入凭证，并泛起诓骗性的Microsoft Authenticator多重身份验证页面。此类网络垂纶运动已经显示出其严重性，攻击者甚至发送电子邮件声称向用户收取Microsoft Copilot服务用度。随着微软继续在其产品套件中集成人工智能功效，清静专业职员必需小心新泛起的威胁，实验周全的清静步伐以防御这些威胁。微软和Cofense等工具可以资助识别和治理诱骗发件人，阻止潜在威胁。相识这些攻击要领并实验适当的�；げ椒�，可以降低组织危害，同时仍然受益于Microsoft Copilot等工具提供的生产力优势。

https://cybersecuritynews.com/microsoft-copilot-phishing-attack/

6. 捷豹路虎遭“Rey”黑客入侵，700份敏感数据泄露

3月12日，近期，一名假名“Rey”的威胁行为者入侵了英国著名汽车制造商捷豹路虎（JLR）的内部系统，并泄露了约700份包括敏感手艺和运营数据的内部文件，首次在暗网论坛上宣布。泄露的数据涉及多个种别，包括专有源代码、车辆开发日志、跟踪数据集以及员工数据库等，可能对该公司的知识产权清静和员工隐私造成严重威胁。此次泄密事务若是获得证实，将成为捷豹路虎面临的最严重的网络清静威胁之一。网络清静剖析师推测，数据泄露可能源自受到攻击的公司服务器或云存储库。只管尚未明确提及赎金要求，但泄露数据的手艺性子可能使竞争敌手受益。捷豹路虎尚未就此揭晓官方声明，但网络清静公司已最先验证泄露数据的真实性。此次事务凸显了汽车行业数字基础设施的懦弱性，专家建议JLR连忙审核代码存储库，增强开发者账户的清静步伐，并举行渗透测试。关于员工来说，凭证监控和清静意识培训也至关主要。此次泄密事务再次警醒人们，汽车制造商在日益由软件驱动的行业中面临着一直转变的威胁，立异与网络清静之间的平衡仍然不稳固。

https://cybersecuritynews.com/threat-actor-allegedly-claiming-breach/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究