CVE-2025-68670: discovering an RCE vulnerability in xrdp Vulnerability reports... 2026-5-8 08:0:54 | 阅读: 33 | 收藏 | Securelist - securelist.com client xrdp wm utf16 security

Exploits and vulnerabilities in Q1 2026 During Q1 2026, the exploit kits leveraged by threat actors to target user systems exp... 2026-5-7 10:0:43 | 阅读: 23 | 收藏 | Securelist - securelist.com 2026 q1 security c2

OceanLotus suspected of using PyPI to deliver ZiChatBot malware IntroductionThrough our daily threat hunting, we noticed that, beginning in July 2025... 2026-5-6 13:0:34 | 阅读: 25 | 收藏 | Securelist - securelist.com zichatbot malicious library colorinal python

Websites with an undefined trust level: avoiding the trap Executive summaryA suspicious website is a web resource that cannot be definitively... 2026-5-6 09:30:46 | 阅读: 24 | 收藏 | Securelist - securelist.com phishing security fraudulent malicious 2026

“Legitimate” phishing: how attackers weaponize Amazon SES to bypass email security IntroductionThe primary goal for attackers in a phishing campaign is to bypass email... 2026-5-4 10:0:23 | 阅读: 17 | 收藏 | Securelist - securelist.com phishing attackers security bec

Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India In December 2025, we detected a wave of malicious emails designed to look like officia... 2026-4-30 07:0:19 | 阅读: 20 | 收藏 | Securelist - securelist.com payload loader abcdoor rustsl fox

PhantomRPC: A new privilege escalation technique in Windows RPC 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容，了解其主要观点和关键信息。 文章主要讨论了Windows中的远程过程调用（RPC）机制及其潜在的安全漏洞。特别是，作者发现了一个新的漏洞，允许本地权限提升到SYSTEM级别。这个漏洞利用了RPC的架构弱点，攻击者可以在多个场景下进行攻击，比如通过模拟TermService或其他服务。 接下来，我需要提取关键点：RPC机制、漏洞、本地权限提升、攻击向量、检测和防御策略。同时，要注意字数限制，确保在100字以内简洁明了地表达这些内容。 然后，我会组织语言，确保信息准确且连贯。例如，开头提到RPC机制及其复杂性，接着说明漏洞如何导致权限提升，再提到多种攻击路径和防御措施。 最后，检查总结是否符合要求：没有使用特定的开头词，控制在100字以内，并且涵盖了文章的核心内容。 </think> Windows RPC机制存在架构性弱点，允许本地权限提升至SYSTEM级别。攻击者可利用此漏洞通过模拟合法RPC服务器实现权限 escalation。该漏洞影响所有Windows版本且未修复。研究展示了五种不同的攻击路径，并提供了检测和防御策略。... 2026-4-24 08:0:12 | 阅读: 17 | 收藏 | Securelist - securelist.com client windows attacker security

FakeWallet crypto stealer spreading through iOS apps in the App Store ReportsKaspersky researchers... 2026-4-20 09:31:14 | 阅读: 19 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com panda bronze president mustang honeymyte

FakeWallet crypto stealer spreading through iOS apps in the App Store In March 2026, we uncovered more than twenty phishing apps in the Apple App Store masq... 2026-4-20 09:22:47 | 阅读: 21 | 收藏 | Securelist - securelist.com malicious hxxps phishing ledger mnemonics

FakeWallet crypto stealer spreading through iOS apps in the App Store 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我得通读整篇文章，抓住主要信息。 文章讲的是在2026年3月，发现了超过20个伪装成流行加密钱包的钓鱼应用在苹果应用商店里。这些应用一旦运行，就会重定向到看起来像应用商店的网页，并分发被感染的合法钱包版本。这些恶意软件专门设计用来劫持恢复短语和私钥。根据恶意软件的元数据，这个活动至少从2025年秋季就开始了。 然后，文章提到类似的事件在2022年发生过，当时研究人员发现被破坏的钱包通过钓鱼网站分发，并利用iOS配置文件安装恶意软件来窃取恢复短语。现在同样的加密盗窃计划再次出现，增加了新的恶意模块和更新的注入技术，并通过应用商店的钓鱼应用分发。 技术细节方面，这些钓鱼应用使用了占位符功能来显得真实，并通过恶意链接打开浏览器，利用配置文件安装被感染的钱包。恶意模块通过注入库或修改源代码来窃取恢复短语和私钥，并将数据加密后发送到攻击者的服务器。 受害者主要是中国用户，因为这些钓鱼应用主要在中国的应用商店出现，并且钓鱼页面也是中文的。然而，恶意模块本身没有地域限制，所以其他国家的用户也可能受到影响。 总结一下，文章描述了针对加密钱包用户的钓鱼攻击活动，利用苹果应用商店分发伪装的应用程序来窃取用户的敏感信息。 </think> 这篇文章揭示了一起针对加密钱包用户的钓鱼攻击活动。攻击者在苹果应用商店中发布了超过20个伪装成流行加密钱包的应用程序。这些应用程序一旦运行，会重定向用户到伪造的应用商店页面，并分发经过篡改的合法钱包版本。这些被感染的应用程序专门设计用于劫持用户的恢复短语和私钥。根据恶意软件的元数据，该活动至少从2025年秋季开始活跃。 攻击者利用iOS配置文件（包括企业配置描述文件）安装被感染的钱包应用程序到用户的设备上。这种技术不仅限于FakeWallet威胁；其他iOS威胁如SparkKitty也使用类似的方法。 恶意模块通过注入库或修改源代码来窃取用户的恢复短语和私钥。数据被加密后发送到攻击者的服务器进行处理。 受害者主要是中国用户，因为这些钓鱼应用程序主要在中国的应用商店中出现，并且钓鱼页面也是中文的。然而，恶意模块本身没有地域限制；由于部分变种会根据应用程序的语言自动调整钓鱼通知的内容，其他国家的用户也可能受到影响。 文章还指出了一些指标（IoC），包括受感染加密钱包IPA文件哈希、恶意动态链接库文件哈希、恶意React Native应用程序哈希、钓鱼HTML文件哈希、恶意Android文件哈希、恶意下载链接和C2地址等。 总之，这篇文章详细描述了FakeWallet威胁活动如何通过伪装成合法加密钱包的应用程序，在苹果应用商店中分发并窃取用户的敏感信息。... 2026-4-20 09:22:47 | 阅读: 17 | 收藏 | Securelist - securelist.com malicious hxxps phishing ledger mnemonics

FakeWallet crypto stealer spreading through iOS apps in the App Store ReportsKaspersky researchers... 2026-4-20 09:16:24 | 阅读: 18 | 收藏 | Over Security - Cybersecurity news aggregator - securelist.com panda honeymyte bronze mustang president

Threat landscape for industrial automation systems in Q4 2025 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。首先，我得仔细阅读用户提供的文章内容，找出主要的信息点。 文章主要讨论了ICS计算机上恶意对象被阻止的百分比在2024年初开始下降，到2025年Q4达到19.7%。区域分布方面，北欧最低8.5%，非洲最高27.3%。四个地区有所上升，特别是南欧和南亚。季度特点是有蠕虫通过电子邮件附件传播，尤其是Backdoor.MSIL.XWorm，通过钓鱼邮件传播，伪装成简历附件。 另外，恶意软件的多样性也在增加，尤其是蠕虫和挖矿软件。威胁来源主要是互联网、电子邮件和可移动存储设备。不同行业的受攻击情况也有所不同，生物识别行业一直是高发区。 现在我需要把这些信息浓缩到100字以内。要突出主要趋势、季度特点、区域差异和威胁来源。同时保持语言简洁明了。 可能会这样组织：ICS恶意对象被阻止率下降至19.7%，区域差异明显；季度特点为蠕虫邮件攻击；威胁源包括互联网、邮件和存储设备；生物识别行业风险较高。 这样大概控制在100字左右。 </think> 文章指出工业控制系统（ICS）计算机上恶意对象被阻止的百分比持续下降至19.7%，区域性差异显著；季度数据显示蠕虫通过电子邮件附件传播成为主要威胁；恶意软件多样性增加，网络钓鱼和可移动存储设备仍是主要威胁源；生物识别行业风险较高。... 2026-4-15 12:30:48 | 阅读: 24 | 收藏 | Securelist - securelist.com malicious q4 threats regions phishing

JanelaRAT: a financial threat targeting users in Latin America 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户给了一篇关于JanelaRAT恶意软件的详细文章，我得先快速浏览一下内容。 首先，文章介绍了JanelaRAT是一种恶意软件家族，名字来源于葡萄牙语“janela”，意思是“窗口”。它主要针对拉丁美洲的金融机构和加密货币数据。接着提到它是BX RAT的变种，自2023年6月以来一直在攻击用户。主要区别在于它使用自定义标题栏检测机制来识别目标网站并执行恶意操作。 然后，文章描述了感染链的过程：通过伪装成发票邮件引诱用户点击链接下载PDF文件，进而重定向到恶意网站下载压缩包。压缩包包含VBScript、XML、ZIP和BAT文件，最终下载包含DLL侧载和JanelaRAT的ZIP文件。最近的版本还集成了MSI文件来交付合法的PE32可执行文件和DLL，后者实际上是JanelaRAT。 分析部分提到JanelaRAT会监控受害者活动，拦截敏感银行互动，并与C2服务器建立交互通道。它收集系统信息，评估用户权限，并加密字符串与C2通信。此外，它还有反分析技术，如检测沙盒环境，并通过启动脚本实现持久化。 受害者主要是拉丁美洲的银行用户，特别是巴西和墨西哥。文章最后总结了JanelaRAT是一个活跃且不断进化的威胁，并提供了缓解建议和IOCs。 现在我需要把这些信息浓缩到100字以内。重点包括：JanelaRAT是什么、它的功能、感染链、目标地区以及防御建议。 可能的结构是：介绍JanelaRAT及其功能，感染链方式，目标地区和防御措施。这样既全面又简洁。 </think> JanelaRAT是一种针对拉丁美洲金融机构用户的恶意软件家族，通过伪装发票邮件诱导用户下载恶意文件，在受害者浏览器中检测特定金融网站并执行恶意操作。该软件具备实时监控、键盘记录、屏幕截图等功能，并利用动态域名系统隐藏C2基础设施。... 2026-4-13 09:0:23 | 阅读: 24 | 收藏 | Securelist - securelist.com janelarat c2 victim malicious software

cpuid.com 水坑攻击：特洛伊化的 CPU-Z 与 HWMonitor 通过 DLL 侧加载分发 STX RAT 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。 首先，我需要通读整篇文章，抓住主要信息。文章讲的是CPUID网站被黑，导致用户下载了恶意软件。这些软件包括CPU-Z、HWMonitor等，被植入了恶意DLL，用来连接C2服务器并执行恶意代码。攻击者还复用了之前的恶意软件配置和RAT工具，结果被Kaspersky检测到。 接下来，我要提炼关键点：CPUID网站被黑的时间和日期、受影响的软件、恶意DLL的作用、攻击者重复使用旧工具导致被检测、受害者分布情况以及Kaspersky的检测方法。 然后，控制在100字以内。可能需要合并一些信息，比如受害者分布在哪些国家可以简化为“全球多个国家”。 最后，确保语言简洁明了，不使用复杂的术语。直接描述事件经过和结果即可。 </think> 2026年4月9日至10日，CPUID网站被黑，用户下载系统管理软件时植入恶意DLL（CRYPTBASE.dll），用于连接C2服务器并执行恶意代码。攻击者复用此前攻击中的配置和RAT工具（STX RAT），导致行为被Kaspersky检测。超150名受害者遍布全球多个国家。... 2026-4-10 16:26:38 | 阅读: 7 | 收藏 | 玄武实验室每日安全 - securelist.com hwmonitor hxxps cryptbase malicious

The long road to your crypto: ClipBanker and its marathon infection chain 嗯，用户让我用中文帮他总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写文章描述即可。 首先，我需要仔细阅读这篇文章。看起来这篇文章讲的是一个特洛伊木马的感染链，挺长的。它从搜索“Proxifier”开始，Proxifier是一种代理软件。然后提到了GitHub上的一个项目，里面有一个恶意的可执行文件和文本文件。 接下来，特洛伊木马通过创建临时文件和注入.NET应用来绕过微软的防御机制。然后它下载更多的脚本，最终从GitHub获取一个巨大的脚本，解码后注入到系统工具中，运行shellcode，最终释放出ClipBanker恶意软件。 ClipBanker会监控剪贴板中的加密货币钱包地址，并替换为攻击者的地址。文章还提到受害者主要在印度和越南，使用Kaspersky的用户检测到很多次感染。 最后的建议是使用可靠的安全解决方案和从官方渠道下载软件。 现在要总结这些内容在100字以内。我需要抓住关键点：特洛伊木马、长感染链、GitHub项目、恶意软件、监控剪贴板替换钱包地址、受害者分布、安全建议。 可能的结构是：描述特洛伊木马如何通过GitHub传播，感染链复杂，最终导致ClipBanker运行，窃取加密货币地址，并给出安全建议。 检查一下字数是否在限制内。 </think> 文章描述了一个复杂的特洛伊木马感染链，通过伪装成Proxifier代理软件传播。该恶意软件利用GitHub项目作为初始入口点，并通过多阶段注入和文件less技术绕过安全检测。最终释放出ClipBanker恶意软件，监控剪贴板并窃取加密货币钱包地址。攻击者主要针对印度和越南用户，并建议使用可靠安全工具和官方渠道下载软件以防范此类威胁。... 2026-4-9 09:30:17 | 阅读: 20 | 收藏 | Securelist - securelist.com proxifier powershell software github download

Financial cyberthreats in 2025 and the outlook for 2026 嗯，用户让我总结一下这篇文章的内容，控制在100个字以内。首先，我需要通读整篇文章，抓住主要观点。文章主要讨论了2025年金融网络威胁的演变情况。 文章提到传统PC银行恶意软件的相对流行度下降，但被信息窃取器的快速增长所抵消。攻击者更多依赖聚合和重复使用被盗数据，而不是开发新的恶意软件功能。这一点很重要，说明威胁手段在变化。 然后，文章分析了钓鱼攻击、银行恶意软件、信息窃取器和暗网的数据。钓鱼攻击转向电子商务和数字服务，攻击者更针对地区趋势和用户行为。银行恶意软件在PC上减少，但在移动设备上增长。信息窃取器成为金融犯罪的主要驱动力，推动了暗网经济的发展。 总结的时候，我需要把这些关键点浓缩到100字以内。要突出传统威胁减少，新威胁如信息窃取器和钓鱼攻击增加的趋势。同时提到暗网的作用和未来展望。 可能的结构是：先说传统威胁减少，然后说新威胁的增长和变化，最后提到未来的趋势。这样既全面又简洁。 最后检查一下字数，确保不超过限制，并且用词准确。 </think> 2025年金融网络威胁格局中，传统PC银行恶意软件减少，但信息窃取器迅速增长；钓鱼攻击转向电子商务和数字服务；移动银行恶意软件持续增长；暗网交易推动金融犯罪扩张；未来威胁将更依赖数据驱动与自动化技术。... 2026-4-8 09:0:37 | 阅读: 24 | 收藏 | Securelist - securelist.com phishing attackers fraudsters mimicked download

A laughing RAT: CrystalX combines spyware, stealer, and prankware features 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述即可。好的，我先看看文章主要讲了什么。 文章主要介绍了一种名为CrystalX RAT的新型恶意软件，它作为MaaS（恶意软件即服务）提供。这个恶意软件有很多功能，包括远程访问、窃取信息、键盘记录、剪贴板劫持，还有很特别的恶作剧功能，比如改变屏幕方向、弹出窗口等等。这些功能让它在同类恶意软件中很独特。 另外，文章提到CrystalX RAT最初是在Telegram的私人聊天中被推广的，后来改名并在YouTube上做宣传。它的技术细节包括使用Go语言编写、加密机制以及反调试功能。作者还提到虽然目前感染途径不明确，但已经影响了很多受害者，并且还在不断发展和改进中。 总结一下，我需要把所有关键点浓缩到100字以内。可能需要包括：CrystalX RAT是什么、它的功能特点、传播方式、技术细节以及潜在威胁。 再检查一下有没有遗漏的重要信息。比如检测名称、C2基础设施和IoCs这些可能不需要在摘要里出现，但关键点是它的多功能性和恶作剧功能让它独特。 所以最终的摘要应该涵盖：恶意软件名称、MaaS模式、多功能性（RAT, stealer, keylogger, clipper, prankware）、传播渠道（Telegram和YouTube）、技术细节（Go语言编写）、当前影响和未来威胁。 </think> 这篇文章介绍了CrystalX RAT这一新型恶意软件，其作为MaaS提供多种功能，包括远程访问、窃取信息、键盘记录及恶作剧功能等。该恶意软件通过Telegram和YouTube推广，并采用Go语言编写。尽管目前感染途径尚不明确，但已影响众多用户，并可能进一步扩散。... 2026-4-1 06:0:9 | 阅读: 20 | 收藏 | Securelist - securelist.com stealer victim attacker clipper moreover

An AI gateway designed to steal your data 嗯，用户让我用中文总结一下这篇文章，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。 首先，我需要快速浏览文章内容。文章主要讲的是供应链攻击，特别是针对开源库的攻击。比如LiteLLM这个Python库被注入了恶意代码，导致了很多问题。攻击者通过上传恶意版本到PyPI，然后这些库被开发者使用后，就会执行恶意代码，窃取各种敏感信息，包括云服务配置、SSH密钥、数据库配置等等。此外，恶意软件还能在Kubernetes集群中建立持久化的 foothold。 接下来，我需要提取关键点：供应链攻击、开源库、恶意版本、窃取敏感数据、云服务、Kubernetes集群。 然后，把这些点浓缩成一句话，控制在100字以内。可能的结构是：描述攻击类型和目标，以及造成的后果。 比如：“文章揭示了供应链攻击的威胁，黑客通过篡改开源库如LiteLLM发布恶意版本，窃取敏感数据并控制云基础设施和Kubernetes集群。” 这样既涵盖了攻击类型、目标和后果，又简洁明了。 </think> 文章揭示了供应链攻击的威胁,黑客通过篡改开源库如LiteLLM发布恶意版本,窃取敏感数据并控制云基础设施和Kubernetes集群。... 2026-3-26 11:1:38 | 阅读: 18 | 收藏 | Securelist - securelist.com malicious kubernetes litellm checkmarx attackers

Coruna: the framework used in Operation Triangulation 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章讲的是Google和iVerify在2026年3月4日发布了一个针对苹果iPhone的高级攻击工具包Coruna。这个工具包利用了之前修补过的漏洞，特别是CVE-2023-32434和CVE-2023-38606，这两个漏洞之前被用于Operation Triangulation行动。Coruna还包括其他四个内核漏洞，并且结构统一，可能是Operation Triangulation的升级版。攻击链从Safari浏览器开始，利用远程代码执行和PAC漏洞，然后下载更多组件进行内核攻击。最后结论是这个工具包的危险性，建议用户更新安全补丁。 接下来，我需要把这些要点浓缩到100字以内。要确保涵盖时间、发布方、工具包名称、目标设备、使用的漏洞、与Operation Triangulation的关系、新增漏洞、结构特点以及攻击链和结论。 可能的结构：时间+发布方+工具包名称+目标设备+利用的漏洞+与Operation Triangulation的关系+新增漏洞+结构特点+攻击链开始点+结论建议。 现在组织语言： Google和iVerify于2026年3月4日披露了针对苹果iPhone的高级攻击工具包Coruna。该工具包利用了多个已修补的漏洞，并包含CVE-2023-32434和CVE-2023-38606这两个零日漏洞，这些曾用于Operation Triangulation行动。Coruna还包括四个新增内核漏洞，并采用了统一的设计框架。其攻击链始于Safari浏览器，通过远程代码执行和PAC漏洞下载更多组件以进行内核攻击。该工具包最初用于网络间谍活动，现被网络犯罪分子滥用，建议用户尽快安装最新安全更新。 检查字数：大约100字左右。 </think> Google和iVerify于2026年3月4日披露了针对苹果iPhone的高级攻击工具包Coruna。该工具包利用了多个已修补的漏洞，并包含CVE-2023-32434和CVE-2023-38606这两个零日漏洞，这些曾用于Operation Triangulation行动。Coruna还包括四个新增内核漏洞，并采用了统一的设计框架。其攻击链始于Safari浏览器，通过远程代码执行和PAC漏洞下载更多组件以进行内核攻击。该工具包最初用于网络间谍活动，现被网络犯罪分子滥用，建议用户尽快安装最新安全更新。... 2026-3-26 08:0:19 | 阅读: 20 | 收藏 | Securelist - securelist.com loader payload coruna

Anatomy of a Cyber World Global Report 2026 嗯，用户让我用中文帮他总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写文章描述即可。 首先，我需要快速浏览一下这篇文章。看起来是关于Kaspersky的安全服务报告，包括MDR、IR和CA这些服务。里面提到了全球范围内的客户分布、 telemetry数据、安全事件统计以及一些关键趋势和漏洞利用情况。 接下来，我要提取主要信息：Kaspersky的安全服务覆盖了企业威胁保护的各个方面，包括MDR、IR和CA。报告中分析了2025年的数据，涉及全球不同地区的客户分布情况，以及 telemetry事件的数量和处理流程。 然后是安全事件的行业分布，政府和工业部门仍然是主要目标，IT行业增长显著。关键趋势包括高严重性事件减少、微软产品漏洞被广泛利用、初始攻击向量的变化以及常用工具如PowerShell等的使用情况。 最后，报告还提供了详细分析和真实案例研究。 现在我要把这些信息浓缩到100字以内。要确保涵盖主要的服务、数据分析、行业分布、趋势以及报告的详细内容。 可能的结构：Kaspersky的安全服务报告分析了2025年的全球数据，涵盖MDR、IR和CA服务。数据显示政府和工业部门仍是主要目标，IT行业攻击增加。高严重性事件减少，微软漏洞被广泛利用。初始攻击向量转向公共应用和信任关系。常用工具如PowerShell被滥用。报告还包括详细分析和案例研究。 检查字数是否在100字以内，并调整用词使其更简洁。 </think> Kaspersky安全服务报告分析了2025年全球网络安全数据，涵盖MDR、IR和CA服务。数据显示政府和工业部门仍是主要目标，IT行业攻击增加。高严重性事件减少，微软漏洞被广泛利用。初始攻击向量转向公共应用和信任关系。常用工具如PowerShell被滥用。报告还包括详细分析和案例研究。... 2026-3-25 11:0:56 | 阅读: 12 | 收藏 | Securelist - securelist.com mdr telemetry panda consulting