1、攻击者利用HTML Smuggling手段传播DCRat

https://www.netskope.com/blog/dcrat-targets-users-with-html-smuggling

研究人员近期发现，攻击者正在利用HTML Smuggling手段传播DCRat。DCRat是一种远控木马，该远控木马使用C#编写，提供了击键记录、文件外传、命令执行和凭证盗窃等功能。在此次攻击活动中，攻击者将HTML文件伪装成俄语应用程序，如TrueConf和VK Messenger，表明可能是针对俄语用户的攻击活动。一旦受害者打开该HTML文件，它会自动下载一个受密码保护的ZIP文件，使用的密码是2024。该ZIP文件中包含一个自解压RAR文件，其中包含一个批处理脚本和另一个受密码保护的压缩包。一旦执行，批处理脚本会对该压缩包进行解密并执行最终的远控木马DCRat。

2、WooCommerce愿望清单插件中存在安全漏洞

https://securityonline.info/cve-2024-43917-cvss-9-3-unpatched-sqli-flaw-in-ti-woocommerce-wishlist-threatens-100000-sites/

WordPress插件TI WooCommerce Wishlist中存在一个安全漏洞，可能使超过10万个网站面临威胁。该漏洞被标识为CVE-2024-43917，CVSS评分为9.3，允许未经身份验证的用户执行任意SQL查询，可能使他们完全控制受影响的网站。该漏洞源于插件代码中的SQL注入问题。攻击者可以利用此漏洞绕过安全措施并操纵网站的数据库，导致数据泄露、篡改甚至完全接管网站。目前该漏洞尚未得到修复，使用该插件的用户需暂时停用并删除该插件。

3、备受争议的Windows Recall AI 搜索工具重新回归

https://www.securityweek.com/microsofts-controversial-recall-returns-with-proof-of-presence-encryption-data-isolation-opt-in-model/

之前由于公众的强烈反对，微软撤下了备受争议的 Windows Recall 功能的预览版三个月后，微软表示已彻底改革了安全架构，包括存在证明加密、防篡改和 DLP 检查，以及在主操作系统之外的安全区域中管理屏幕截图数据。该功能利用人工智能创建可搜索的数字记忆，记录用户在 Windows 电脑上执行的所有操作，该功能也将默认关闭，并配备工具将其从 Windows 操作系统中永久删除。

4、 以明文形式存储数亿个密码，Meta被罚1亿美元

https://www.freebuf.com/articles/412005.html

因意外将6 亿 Facebook 用户的密码以明文形式存储，当地时间9月27日，爱尔兰数据保护委员会（DPC）宣布对Facebook母公司Meta处以9100万欧元（约合1.01亿美元）罚款。

5、黑产伙同通信公司员工注册倒卖微信号牟利，涉案上千万！

https://www.freebuf.com/news/412017.html

2024年9月24日，据检察日报报道：注册微信账号必须用实名制的手机号码，通过系统发送短信进行验证等程序，才能注册成功。某通信集团贵州有限公司员工刘某为获取非法利益，在公司行业网关系统内搭建特殊通道，伙同他人让大量未实名注册且未投入使用的电话号码(以下简称“空号”)通过短信验证，从而成功注册微信账号。牵出了3个犯罪集团，28人获刑。

6、《工业和信息化领域数据安全合规指引》公开征求意见

https://www.secrss.com/articles/70772

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》等法律法规要求，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信标准化协会、中国通信企业协会、中国互联网协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引（征求意见稿）》，充分发挥行业自律作用，引导工业和信息化领域数据处理者合法合规开展数据处理活动，准确全面履行数据安全保护责任义务。

7、 “三只羊”录音门言论系AI伪造

https://secrss.com/articles/70747

合肥警方9月26日通报，网传“三只羊”卢某某的酒后言论系AI工具伪造。南都记者了解到，涉案嫌疑人用以伪造卢某某言论的AI声音克隆平台为“Reecho睿声”。

8、谷歌工作空间AI助手易受间接提示注入攻击

https://cybersecuritynews.com/gemini-workspace-prompt-injection/

最近的一项调查显示，谷歌的 Gemini for Workspace（一款集成在谷歌各种产品中的多功能人工智能助手）容易受到间接提示注入攻击。

9、多款办公自动化系统遭受SQL注入攻击

https://sectoday.tencent.com/event/wD-VLpIBcIs5GCTMz5HC

近期，多个办公自动化(OA)系统被曝出严重的SQL注入漏洞，涉及WanhooOA-ezOFFICE、用友U8CRM等知名产品。这些漏洞使黑客能够轻易地操纵数据库，窃取企业机密信息甚至破坏整个系统架构。

10、韩国将视观看或持有深度伪造色情作品为犯罪

https://www.reuters.com/world/asia-pacific/south-korea-criminalise-watching-or-possessing-sexually-explicit-deepfakes-2024-09-26/

首尔 9 月 26 日（路透社）——韩国议员周四通过了一项法案，将拥有或观看色情深度伪造图像和视频定为犯罪，处罚包括监禁和罚款。根据该法案，任何购买、保存或观看此类材料的人都可能面临最高三年的监禁或最高 3000 万韩元（22,600 美元）的罚款。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。