TamperedChef信息窃取程序通过诓骗性PDF编辑器撒播

首页 > 清静研究 > 清静转达 > 清静简讯

TamperedChef信息窃取程序通过诓骗性PDF编辑器撒播

宣布时间 2025-09-01

1. TamperedChef信息窃取程序通过诓骗性PDF编辑器撒播

8月30日，近期网络清静研究职员披露了一起涉及Google广告推广的重大网络犯法运动，威胁行为者通过50余个伪造域名分发携带TamperedChef信息窃取恶意软件的PDF编辑工具。该运动泛起多阶段特征，自2024年6月26日起，攻击者通过注册或接受网站推广"AppSuite PDF Editor"等工具，使用至少四家企业的正当证书签署诱骗性应用程序，形成手艺可信度伪装。焦点恶意软件TamperedChef通过可执行文件的"-fullupdate"参数触发，在8月21日前以正常功效示人，待Google广告完成60天推广周期前四天突然激活恶意�？�。该窃取程序通过DPAPI接口解密浏览器数据，重点窃取用户凭证、网络Cookie等敏感信息，并具备检测清静署理的情形感知能力。研究展现该犯法团伙构建了相互关联的应用生态，除主攻PDF工具外，还通过OneStart、Epibrowser等潜在有害程序（PUP）形成交织熏染链。Expel公司发明部分应用会诱导用户将装备注册为住宅署理，攻击者可能通过正当署理服务商洗白不法流量。值得注重的是，纵然代码署名证书已被吊销，目今已装置装备仍面临一连危害。

https://www.bleepingcomputer.com/news/security/tamperedchef-infostealer-delivered-through-fraudulent-pdf-editor/

2. APT37使用情报文件对韩发动细密网络垂纶攻击

8月29日，网络清静公司Seqrite最新披露，朝鲜支持的黑客组织APT37近期针对韩国政府及情报机构提倡代号"韩国幻影行动"的鱼叉式网络垂纶攻击，通过双重诱饵战略乐成渗透目的系统。该组织使用韩国研究机构内部通讯和朝鲜官方声明文件作为攻击载体，展现高度定制化的网络特工能力。首次攻击中，APT37伪造韩国国家情报研究协会第52期通讯文件，诱骗目的成员下载包括恶意LNK快捷方法的PDF文档。执行后，该快捷方法触发内存加载的RokRAT后门，通过多层混淆手艺（包括批处置惩罚剧本、XOR解密及无文件注入）实现隐藏驻留。攻击链还接纳伪造HTTP流量上传TEMP文件的方法，规避古板清静检测。第二次攻击则瞄准韩国政府内阁及统一部等机构，使用朝鲜最高向导人金正恩的胞妹金与正7月28日揭晓的仇视声明作为诱饵。攻击者构建了相似的渗透路径：恶意LNK文件释放伪装成PDF上传的混淆组件，通过PowerShell下令执行内存中的加密载荷，最终从C2服务器获取abs.tmp执行后续操作。两次攻击均接纳"诱饵文件+恶意快捷方法"的组合模式，团结内存执行与流量混淆手艺，形成难以追踪的隐藏通道。

https://www.infosecurity-magazine.com/news/north-korea-apt37-spear-phishing/

3. 黑客声称窃取了43.3万医疗从业者的详细信息

8月29日，一个盛行数据泄露论坛上泛起针对美国医疗从业者的大规模数据泄露帖子，攻击者声称获取了包括43.3万名医生、外科医生及医疗保健专业职员敏感信息的数据库。Cybernews研究团队剖析样本后指出，泄露数据涵盖全名、电话、职称、专业领域、医院信息、电子邮件、地点等小我私家与事情账户混淆信息，其泉源可能指向第三方服务提供商的误差。此次泄露泛起两大特征：其一，部分电子邮件此前未泛起在果真数据泄露事务中，体现数据可能整合自多次未果真误差或特定未披露的第三方服务泄露；其二，攻击者此前曾宣布按地区、行业分类的类似数据库，批注其可能通过多源网络刻意隐藏详细泉源。这种模式增添了追踪数据源头的难度，也反应出医疗行业第三方服务生态的清静隐患。医疗数据因高价值成为网络犯法重点目的。泄露信息可被用于多重恶意场景：最直接的是身份偷窃，通过伪造医疗从业者身份开设诓骗账户；更危险的是定向垂纶攻击，攻击者可能伪装成医疗机构发送包括恶意链接的内容，诱导受害者透露更多小我私家信息或下载勒索软件。

https://cybernews.com/security/american-doctors-data-breach-healthcare/

4. WhatsApp 0-Day误差被使用攻击iOS和macOS用户

8月31日，WhatsApp紧迫修复了一个编号为CVE-2025-55177的严重0day误差，该误差允许攻击者通过零点击特工软件攻击入侵iOS和Mac用户的装备，无需用户点击链接或翻开文件即可窃取数据。此次误差由WhatsApp内部清静团队发明，属于重大的攻击链的一部分，团结了另一个已由苹果修复的误差（CVE-2025-43300），形成可远程执行恶意代码的完整攻击路径。据清静通告，该误差源于“关联装备同步新闻授权不完整”，攻击者可使用此机制强制目的装备处置惩罚恶意网址内容，进而植入特工软件窃取短信等敏感信息。WhatsApp已向“不到200名”特定目的用户发送通知，并强挪用户需连忙更新至最新版本以提防危害�？ㄋ彝缜寰簿郑∟CSA）指出，该误差的严重性在于其使用新闻同步机制获取装备起源会见权限，而国际特赦组织清静实验室则将其定性为“高级特工软件运动”，称其已往90天内已针对用户提倡攻击。实验室认真人Donncha ó Cearbhaill建议用户更新装备或恢复出厂设置以彻底扫除潜在威胁。

https://hackread.com/whatsapp-0-day-exploit-attack-targeted-ios-macos-users/

5. TAOTH运动：被挟制的软件更新正在亚洲各地撒播恶意软件

9月1日，趋势科技克日披露一起代号"TAOTH"的重大网络特工运动，该行动自2024年底启动，通过挟制软件更新服务器和鱼叉式网络垂纶攻击，在东亚地区定向撒播多个恶意软件家族，目的涵盖中国大陆、台湾、香港、日本及韩国的异见人士、记者、研究职员和商界首脑，部分美国和挪威用户也遭波及。攻击者使用已放弃的搜狗注音输入法更新机制实验供应链攻击：2024年10月，在搜狗输入法阻止更新五年后，威胁组织接受其失效域名，通过看似正当的更新历程分发恶意负载。用户装置官方装置程序后数小时，系统会自动触发攻击者控制的域更新，植入TOSHIS、DESFY、GTELAM和C6DOOR四大恶意软件家族。除供应链攻击外，TAOTH行动还团结鱼叉式网络垂纶：攻击者发送伪装成政治主题文档的邮件，诱导用户会见虚伪云存储页面下载恶意存档，或通过伪造Google/Microsoft登录门户骗取OAuth授权，进而操控邮箱实验横向网络垂纶。

https://securityonline.info/taoth-campaign-hijacked-software-updates-are-spreading-malware-across-asia/

6. SikkahBot：针对孟加拉国学生的新型安卓恶意软件实验金融诓骗

9月1日，Cyble研究与情报实验室（CRIL）近期揭破了一起专门针对孟加拉国学生的新型Android恶意软件运动"SikkahBot"。该运动自2024年7月起活跃，通过伪造孟加拉国教育委员会官方奖学金应用程序实验精准诈骗，已形成集网络垂纶、数据窃取与自动化金融生意于一体的复合型威胁。攻击者通过短信发送缩短链接，诱导受害者会见恶意APK下载网站。伪装成正规奖学金应用的恶意软件在装置后，会要求用户使用谷歌或Facebook账号登录，并逐步索取姓名、所属机构等小我私家信息，最终诱导用户提供钱包号、PIN码等敏感财务数据。CRIL指出，受害者提交信息后会收到"客服将联系"的虚伪提醒，实则已落入诈骗陷阱。SikkahBot的焦点威胁在于其滥用装备权限的能力。在获取用户信托后，恶意软件会强制请求无障碍服务、短信会见、通话治理等高危害权限，实现对装备的深度控制。通过注册短信监听器，其可阻挡包括"bKash""NAGAD"等银行要害词及特定服务号码的短信内容，并上传至攻击者控制的Firebase服务器。更危险的是，该恶意软件能自动登录孟加拉国主流银行应用，通过从C2服务器检索PIN码并自动填充登录字段，完成未经授权的转账操作。

https://securityonline.info/fraudulent-scholarship-apps-a-new-malware-campaign-targets-students-in-bangladesh/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究