SantaStealer恶意软件曝光：内存运行避检测存缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

SantaStealer恶意软件曝光：内存运行避检测存缝隙

颁布功夫 2025-12-17

1. SantaStealer恶意软件曝光：内存运行避检测存缝隙

12月15日，近日，一种名为SantaStealer的新型恶意软件即服务（MaaS）信息窃取法式在Telegram及黑客论坛上公开宣传。该法式由俄语开发者打造，基础订阅价175美元/月，高级版300美元/月，宣称通过内存运行躲避基于文件的检测机造。然而，据Rapid7安全团队分析，其现实样本远未达到“无法检测”的宣称成效，且存在操作安全缺点，样本泄露时蕴含未加密字符串和符号名称，露出开发过程中的疏漏。SantaStealer实为BluelineStealer项主张沉包装，打算年底正式上线。它集成14个独立线程的数据网络�？�，可窃取浏览器密码、Cookie、信誉卡信息、Telegram/Discord/Steam数据、加密钱币钱包内容及文档，并截取桌面截图。数据经内存归档为ZIP文件后，通过6767端口分10MB单元传输至预设C2端点。该恶意软件还试图绕过Chrome 2024年7月推出的利用绑定加密�；�，但已被多款信息窃取法式突破。其节造面板支持用户配置指标领域，从全量数据窃取到精简有效载荷，并允许排除独联体地域系统及延长执行以蛊惑受害者。

https://www.bleepingcomputer.com/news/security/new-santastealer-malware-steals-data-from-browsers-crypto-wallets/

2. PornHub会员数据遭ShinyHunters勒索

12月15日，成人视频平台PornHub近日因第三方数据分析商Mixpanel数据泄露事务陷入勒索�；�。据报路，ShinyHunters勒索团伙宣称窃取了PornHub Premium高级会员的94GB汗青数据，蕴含2.01亿条搜索、旁观及下载纪录，并通过勒索邮件威胁不支付赎金将公开数据。Mixpanel于2025年11月8日遭短信垂钓攻击导致系统入侵，其客户数据泄露波及PornHub。只管PornHub强调自2021年起已终止与Mixpanel合作，泄露数据为2021年或更早的汗青分析纪录，且用户密码、支付及财政信息未受影响，但高级会员的敏感活动纪录仍被曝光。泄露数据蕴含会员电子邮件地址、视频URL、关键词、活动功夫及地理地位等，部门样本显示甚至蕴含订阅者是否旁观/下载视频或浏览频路的具体行为。ShinyHunters作为幕后黑手，不仅向PornHub发送勒索邮件，还公开证实这次攻击，并关联多起沉大数据泄露事务。

https://www.bleepingcomputer.com/news/security/pornhub-extorted-after-hackers-steal-premium-member-activity-data/

3. Frogblight安卓木马假装当局网站窃守信息

12月15日，近期，一款名为“Frogblight”的复杂安卓银行木马在土耳其引发沉大安全威胁，其通过精心设计的社会工程伎俩窃取银行凭证与幼我数据，并展示出持续进化特点。该木马最初假装成土耳其官方当局门户利用，宣称可接见法庭案件文件，后演变为仿冒Chrome等盛行利用，通过垂钓短信传布，受害者收到虚伪法庭案件通知短信，点击链接后被导向恶意网站并诱导下载利用。装置后，Frogblight会要求读取短信、接见存储空间及获取设备信息等敏感权限。启动时，其通过嵌入式浏览器视图显示真实当局网页造作“合法假象”，同时在后盾监控用户操作。该木马具备双沉职能：既作为银行木马窃取在线银行登录信息，又具备间谍软件个性，监控短信、跟踪已装置利用、扫描文件系统，甚至可向表发送肆意文本新闻。技术层面，Frogblight通过WebView注入JavaScript代码捕获用户输入，与节造服务器通讯选取Retrofit库的REST API挪用，后期变种转向WebSocket衔接以加强荫蔽性。

https://cybersecuritynews.com/new-android-malware-frogblight-mimics-as-official-government-websites/

4. 委内瑞拉国度石油公司PDVSA遭网络攻击

12月16日，近日，委内瑞拉国度石油公司（PDVSA）遭逢网络攻击导致出口业务短暂中断，但该公司强调这次事务仅影响部门行政治理系统，未波及日常运营。PDVSA在Telegram申明中指出，安全和谈成功阻止了供给中断，并将该事务定性为“与美国贪图篡夺委内瑞拉石油有关的侵略行为”，称“断然回绝表国权势策动的恶恶习径”。委内瑞拉当局进一步将事务上升为对“主权能源开发权”的攻击，直指美国与极端权势团结粉碎国度不变。为应对风险，PDVSA要求员工关关电脑、断开表部设备、禁用WiFi及星链衔接，并强化设施安保。彭博社援引内部备忘录称，自周日以来安保措施已全面升级。公司周一颁布申明称已挫败“粉碎贪图”，石油产量未受影响。然而，路透社新闻源泄漏，这次攻击实为勒索软件攻击，反病毒建复工作导致治理系统瘫痪，货物交付碰壁。事务产生在美委关系持续严重布景下。此前，美国扣押一艘载有委内瑞拉原油的受造裁油轮，这是自2019年美国财政部对PDVSA执行造裁以来初次扣押油轮。

https://securityaffairs.com/185755/security/a-cyber-attack-hit-petroleos-de-venezuela-pdvsa-disrupting-export-operations.html

5. 黑客利用新近建复的Fortinet身份验证绕过缝隙

12月16日，网络安全公司Arctic Wolf监测到黑客正利用Fortinet旗下多个产品的严沉缝隙犯法接见治理怨厮户并窃取系统配置文件。这次露出的两个高危缝隙别离为CVE-2025-59718（影响FortiOS、FortiProxy、FortiSwitchManager）和CVE-2025-59719（影响FortiWeb），均源于SAML新闻加密署名验证不当，攻击者可机关恶意SAML断言绕过身份验证，在未授权情况下登录治理怨厮户。缝隙触发需设备启用FortiCloud单点登录（SSO）职能，该职能虽非默认设置，但通过FortiCare注册设备时会自动激活，除非手动禁用。自12月12日起，黑客通过与The Constant Company、BL Networks、Kaopu Cloud HK关联的IP地址提议攻击，利用恶意SSO获取治理员权限后，通过Web治理界面下载系统配置文件。这些文件蕴含网络布局、互联网服务端口、防火墙战术、路由表及潜在密码哈希等敏感信息，可能泄露网络架构细节，为后续攻击提供支持。缝隙影响FortiOS、FortiWeb等多个版本，Fortinet建议治理员当即禁用FortiCloud SSO登录职能，并升级至建复版本。

https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/

6. 新型Android恶意软件Cellik现身地下论坛

12月16日，移动安全公司iVerify在地下网络犯罪论坛发现一款名为Cellik的新型Android恶意软件即服务（MaaS）在公开宣传。该软件以每月150美元或平生900美元的价值销售，提供了一套壮大的职能组合，最引人瞩主张是其APK构建器可集成Google Play商店，攻击者能直接从官方利用商店选择肆意利用，创建表表可信的木马版本，同时保留原利用的界面和职能，从而耽搁恶意软件的埋伏期。Cellik具备实时屏幕捕获、通知拦截、文件系统浏览、数据窃取、远程擦除及加密通路通讯等主题职能。其暗藏浏览器模式允许攻击者利用受害者设备存储的cookie接见网站；利用注入系统则可在肆意利用中叠加虚伪登录页面或注入恶意代码，窃取账户痛处；而向已装置利用注入有效载荷的职能，更使习染源难以追忆，持久受信赖的利用可能忽然变为地痞软件。卖家宣称，通过将恶意载荷包裹在受信赖的利用法式中，Cellik可绕过Google Play Protect的检测机造。

https://www.bleepingcomputer.com/news/security/cellik-android-malware-builds-malicious-versions-from-google-play-apps/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研