网络安全简讯(2026年3月8日)
研究人员发现新型窃密木马BoryptGrab
研究人员发现一款新的窃密木马BoryptGrab,该恶意软件专门用于窃取浏览器数据、加密货币钱包信息以及系统信息。此外,它还具备屏幕截图、收集常用文件、以及提取Telegram信息、Discord令牌和密码的功能。该恶意软件通过大量伪装成免费软件工具的GitHub公共仓库进行传播,并利用SEO关键词来吸引受害者。研究人员发现攻击过程中不同阶段的恶意代码均包含俄语注释或日志消息。此外,与该攻击活动相关的IP地址也位于俄罗斯,这可能暗示了攻击者所在位置。
https://www.trendmicro.com/en_us/research/26/c/boryptgrab-stealer-targets-users-via-deceptive-github-pages.html
2 研究人员发现虚假的恶意FileZilla
一个经过恶意构造的开源FTP客户端FileZilla 3.69.5副本正在网上流传。该压缩包内包含正常的FileZilla应用程序,并额外添加了一个恶意DLL文件。当用户下载此恶意文件、解压并启动FileZilla时,该恶意DLL文件会被优先加载执行。该恶意文件可以获取已保存的FTP登录凭据,与C2服务器进行连接,并可能在系统中保持活跃。
https://www.malwarebytes.com/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download
3 研究人员发现名为恶意的Chrome扩展程序
研究人员发现了一个名为lmΤoken Chromophore(扩展程序ID为bbhaganppipihlhjgaaeeeefbaoihcgi)的恶意Chrome扩展程序。该恶意扩展程序安装后会打开仿冒imToken的钓鱼网页,并要求用户输入12或24位的助记词或私钥。该恶意扩展程序并未在本地执行钱包窃取逻辑,其主要作用是将受害者引流至钓鱼网站以收集钱包密钥。目前,研究人员已向谷歌举报了该扩展程序及关联的开发者账号(liomassi19855@gmail[.]com),并申请将其移除。
https://socket.dev/blog/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects
4 攻击者利用虚假的CleanMyMac传播SHub窃密木马
一款虚假的CleanMyMac正通过欺骗性的手段诱导用户安装恶意软件。该钓鱼网站诱导用户将一段命令粘贴到终端中。如果用户执行了此操作,系统将安装SHub Stealer。这是一款专门针对macOS的恶意软件,旨在窃取敏感数据,包括保存的密码、浏览器数据、Apple钥匙串内容、加密货币钱包以及Telegram会话。研究人员称,合法的应用程序几乎不会要求用户通过向终端粘贴命令的方式来进行安装。如果某个网站要求用户这样操作,请保持警惕并切勿继续操作。
https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-cleanmymac-site-installs-shub-stealer-and-backdoors-crypto-wallets
5 Velvet Tempest勒索组织采用ClickFix手段传播恶意软件
Velvet Tempest勒索组织正利用ClickFix手段部署DonutLoader和CastleRAT。研究人员在2026年2月3日至16日期间,通过一个拥有超过3000个端点和2500名用户的美国非营利组织模拟环境观察到了此次攻击活动。虽然Velvet Tempest通常与“双重勒索”攻击相关,但研究人员指出,在本次观察到的入侵中,该组织并未部署Termite勒索软件。
https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/
6 Qilin勒索组织声称入侵田纳西河谷电力合作社
一家与俄罗斯有关联的勒索组织声称入侵了一家美国电力合作社。据称,这起攻击的幕后黑手是Qilin勒索组织,该组织在其暗网网站上发布声明,声称已入侵田纳西河谷电力合作社(Tennessee Valley Electric Cooperative,简称TVEC)。目前尚不清楚攻击可能波及哪些数据,也不确定此次网络事件的具体影响范围。该公司尚未对此事件进行官方确认。
https://cybernews.com/security/qilin-ransomware-us-power-grid-attack/