ChrimeraWire木馬偽造Chrome活動以操縱搜尋排名2025.12.09資訊安全新型Windows木馬程式ChrimeraWire透過隱藏的Chrome瀏覽器實例,模擬真實使用者活動,惡意操縱Google與Bing的搜尋引擎排名,旨在進行聯盟行銷或SEO操縱。
新版 JS#SMUGGLER 活動透過受感染網站投放 NetSupport RAT 惡意軟體2025.12.09資訊安全安全研究人員揭露JS#SMUGGLER惡意軟體活動,這是一種複雜的三階段網路攻擊,利用混淆的JavaScript和隱藏的HTA檔案,在Windows桌面上秘密安裝NetSupport RAT,以達成完全遠端控制和持久存取。
針對美國大學的長達數月的網路釣魚攻擊使用了超過70個域名2025.12.09資訊安全Infoblox報告揭露一場長達數月針對至少18所美國大學的網路釣魚活動,攻擊者利用開源工具Evilginx執行「中間人攻擊」(AiTM),成功竊取會話Cookie,繞過多因素身份驗證(MFA)並控制學生及教職員帳戶。
惡意 VSCode 擴充功能在微軟註冊表中投放資訊竊取程式2025.12.09資訊安全微軟Visual Studio Code Marketplace上發現兩個惡意擴充功能(Bitcoin Black與Codo AI),利用DLL劫持技術向開發者電腦植入資訊竊取程式,用於竊取憑證、加密錢包和瀏覽器會話。
如何使用共享訊號框架簡化零信任流程2025.12.10資安管理探討在數位化轉型浪潮中,企業如何運用共享訊號框架 (SSF) 及自動化工具,克服零信任架構實施時面臨的複雜性與工具互通性挑戰。透過詳解身份中心的安全模型、微分段技術,以及如何利用協作平台將非原生支援 SSF 的安全工具整合至持續存取評估 (CAEP) 流程中,本報告提供了一套簡化零信任部署、實現即時風險反應與提升整體安全防護的實務藍圖。
新的圖像簽名能夠經受裁剪,阻止深度偽造技術劫持信任2025.12.10資安管理探討在深度偽造日益猖獗的背景下,如何確保數位圖像的真實性。比薩大學研究人員提出了一種創新的數位簽名系統,使圖像即使經過常見的「裁剪」編輯,其數位認證仍能保持有效。該技術透過將簽名與圖像的特定區域連結,允許合法的裁剪操作,同時能有效偵測並防止內容竄改,從而提升新聞、證據與數位內容的可信度。
工業網路安全的新前線:應對 AI 驅動的毫秒級攻擊2025.12.10營運技術分析西門子首席網路安全長 Natalia Oropeza 關於工業網路安全未來趨勢的見解。核心內容涵蓋:如何從靜態防禦轉向適應性策略,應對 AI 驅動的毫秒級 OT 攻擊;對供應商實施 AI 特定認證(如 EU AI Act、ISO/IEC 42001)的必要性;強調 OT 事件回應與快速復原是工業企業必須內部化的最關鍵能力;以及透過「灰盒策略」培養攻擊者思維,以彌補 AI 開發團隊的認知多樣性。
Gemini AI 中新的 GeminiJack 0-Click 漏洞使用戶面臨資料外洩風險2025.12.10人工智慧分析網路安全公司 Noma Security 發現的「GeminiJack」零點擊漏洞。該漏洞利用了 Google Gemini Enterprise 和 Vertex AI 搜尋工具中存在的「架構缺陷」,透過將隱藏指令嵌入共享文件或日曆邀請中,實現對企業數據的間接提示注入攻擊。報告詳述了攻擊者如何無需用戶點擊即可秘密竊取機密文件、郵件和日曆記錄,以及資料外洩如何偽裝成正常的網路流量,並強調了企業在 AI 時代審查數據連接源的重要性。