SantaStealer恶意软件曝光：内存运行避检测存误差

首页 > 清静研究 > 清静转达 > 清静简讯

SantaStealer恶意软件曝光：内存运行避检测存误差

宣布时间 2025-12-17

1. SantaStealer恶意软件曝光：内存运行避检测存误差

12月15日，克日，一种名为SantaStealer的新型恶意软件即服务（MaaS）信息窃取程序在Telegram及黑客论坛上果真宣传。该程序由俄语开发者打造，基础订阅价175美元/月，高级版300美元/月，宣称通过内存运行规避基于文件的检测机制。然而，据Rapid7清静团队剖析，着实际样本远未抵达“无法检测”的宣称效果，且保存操作清静缺陷，样本泄露时包括未加密字符串和符号名称，袒露开发历程中的疏漏。SantaStealer实为BluelineStealer项目的重包装，妄想年底正式上线。它集成14个自力线程的数据网络�？�，可窃取浏览器密码、Cookie、信用卡信息、Telegram/Discord/Steam数据、加密钱币钱包内容及文档，并截取桌面截图。数据经内存归档为ZIP文件后，通过6767端口分10MB单位传输至预设C2端点。该恶意软件还试图绕过Chrome 2024年7月推出的应用绑定加密掩护，但已被多款信息窃取程序突破。其控制面板支持用户设置目的规模，从全量数据窃取到精简有用载荷，并允许扫除独联体地区系统及延迟执行以疑惑受害者。

https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/

2. PornHub会员数据遭ShinyHunters勒索

12月15日，成人视频平台PornHub克日因第三方数据剖析商Mixpanel数据泄露事务陷入勒索危急。据报道，ShinyHunters勒索团伙声称窃取了PornHub Premium高级会员的94GB历史数据，包括2.01亿条搜索、寓目及下载纪录，并通过勒索邮件威胁不支付赎金将果真数据。Mixpanel于2025年11月8日遭短信垂纶攻击导致系统入侵，其客户数据泄露波及PornHub。只管PornHub强调自2021年起已终止与Mixpanel相助，泄露数据为2021年或更早的历史剖析纪录，且用户密码、支付及财务信息未受影响，但高级会员的敏感运动纪录仍被曝光。泄露数据包括会员电子邮件地点、视频URL、要害词、运动时间及地理位置等，部分样本显示甚至包括订阅者是否寓目/下载视频或浏览频道的详细行为。ShinyHunters作为幕后黑手，不但向PornHub发送勒索邮件，还果真证实此次攻击，并关联多起重大数据泄露事务。

https://www.bleepingcomputer.com/news/security/pornhub-extorted-after-hackers-steal-premium-member-activity-data/

3. Frogblight安卓木马伪装政府网站窃守信息

12月15日，近期，一款名为“Frogblight”的重大安卓银行木马在土耳其引发重大清静威胁，其通过全心设计的社会工程手段窃取银行凭证与小我私家数据，并展现出一连进化特征。该木马最初伪装成土耳其官方政府门户应用，声称可会见法庭案件文件，后演变为仿冒Chrome等盛行应用，通过垂纶短信撒播，受害者收到虚伪法庭案件通知短信，点击链接后被导向恶意网站并诱导下载应用。装置后，Frogblight会请求读取短信、会见存储空间及获取装备信息等敏感权限。启动时，其通过嵌入式浏览器视图显示真实政府网页制造“正当假象”，同时在后台监控用户操作。该木马具备双重功效：既作为银行木马窃取在线银行登录信息，又具备特工软件特征，监控短信、跟踪已装置应用、扫描文件系统，甚至可向外发送恣意文本新闻。手艺层面，Frogblight通过WebView注入JavaScript代码捕获用户输入，与控制服务器通讯接纳Retrofit库的REST API挪用，后期变种转向WebSocket毗连以增强隐藏性。

https://cybersecuritynews.com/new-android-malware-frogblight-mimics-as-official-government-websites/

4. 委内瑞拉国家石油公司PDVSA遭网络攻击

12月16日，克日，委内瑞拉国家石油公司（PDVSA）遭遇网络攻击导致出口营业短暂中止，但该公司强调此次事务仅影响部分行政治理系统，未波及一样平常运营。PDVSA在Telegram声明中指出，清静协议乐成阻止了供应中止，并将该事务定性为“与美国妄想争取委内瑞拉石油相关的侵略行为”，称“断然拒绝外国势力策划的卑鄙行径”。委内瑞拉政府进一步将事务上升为对“主权能源开发权”的攻击，直指美国与极端势力勾通破损国家稳固。为应对危害，PDVSA要求员工关闭电脑、断开外部装备、禁用WiFi及星链毗连，并强化设施安保。彭博社援引内部备忘录称，自周日以来安保步伐已周全升级。公司周一宣布声明称已挫败“破损妄想”，石油产量未受影响。然而，路透社新闻源透露，此次攻击实为勒索软件攻击，反病毒修复事情导致治理系统瘫痪，货物交付受阻。事务爆发在美委关系一连主要配景下。此前，美国扣押一艘载有委内瑞拉原油的受制裁油轮，这是自2019年美国财务部对PDVSA实验制裁以来首次扣押油轮。

https://securityaffairs.com/185755/security/a-cyber-attack-hit-petroleos-de-venezuela-pdvsa-disrupting-export-operations.html

5. 黑客使用新近修复的Fortinet身份验证绕过误差

12月16日，网络清静公司Arctic Wolf监测到黑客正使用Fortinet旗下多个产品的严重误差不法会见治理员账户并窃取系统设置文件。此次袒露的两个高危误差划分为CVE-2025-59718（影响FortiOS、FortiProxy、FortiSwitchManager）和CVE-2025-59719（影响FortiWeb），均源于SAML新闻加密署名验证不当，攻击者可结构恶意SAML断言绕过身份验证，在未授权情形下登录治理员账户。误差触发需装备启用FortiCloud单点登录（SSO）功效，该功效虽非默认设置，但通过FortiCare注册装备时会自动激活，除非手动禁用。自12月12日起，黑客通过与The Constant Company、BL Networks、Kaopu Cloud HK关联的IP地点提倡攻击，使用恶意SSO获取治理员权限后，通过Web治理界面下载系统设置文件。这些文件包括网络结构、互联网服务端口、防火墙战略、路由表及潜在密码哈希等敏感信息，可能泄露网络架构细节，为后续攻击提供支持。误差影响FortiOS、FortiWeb等多个版本，Fortinet建议治理员连忙禁用FortiCloud SSO登录功效，并升级至修复版本。

https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/

6. 新型Android恶意软件Cellik现身地下论坛

12月16日，移动清静公司iVerify在地下网络犯法论坛发明一款名为Cellik的新型Android恶意软件即服务（MaaS）正在果真宣传。该软件以每月150美元或终身900美元的价钱出售，提供了一套强盛的功效组合，最引人注目的是其APK构建器可集成Google Play市肆，攻击者能直接从官方应用市肆选择恣意应用，建设外貌可信的木马版本，同时保存原应用的界面和功效，从而延伸恶意软件的潜在期。Cellik具备实时屏幕捕获、通知阻挡、文件系统浏览、数据窃取、远程擦除及加密通道通讯等焦点功效。其隐藏浏览器模式允许攻击者使用受害者装备存储的cookie会见网站；应用注入系统则可在恣意应用中叠加虚伪登录页面或注入恶意代码，窃取账户凭证；而向已装置应用注入有用载荷的功效，更使熏染源难以追溯，恒久受信托的应用可能突然变为流氓软件。卖门风称，通过将恶意载荷包裹在受信托的应用程序中，Cellik可绕过Google Play Protect的检测机制。

https://www.bleepingcomputer.com/news/security/cellik-android-malware-builds-malicious-versions-from-google-play-apps/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究