文章总结： 文档披露多起网络安全事件：针对中国用户的NFC中继恶意软件可绕过后台风控盗刷；耐克遭遇1.4TB数据泄露；新型MacSync恶意软件与Stanley浏览器劫持工具包活跃；微软Office高危漏洞已被利用；Dormakaba门禁系统曝20余漏洞；盐城政务App发生隐私泄露故障。事件涵盖金融支付、企业数据、物理安全及政务系统等多领域威胁。 综合评分： 80 文章分类： 威胁情报,恶意软件,数据泄露,漏洞分析,安全运营

针对中国用户的NFC中继恶意软件曝光，或绕过后台风控实现盗刷

汇能云安全

2026年1月29日 09:46 广东

01月29日，星期四，您好！中科汇能与您分享信息安全快讯：

01

针对中国用户的NFC中继恶意软件曝光，或绕过后台风控实现盗刷

2026年1月21日，启明星辰ADLab捕获一款针对中国境内用户定制的NFC中继攻击样本“NFC欺诈幽灵”。该恶意软件基于NFU Pay恶意软件即服务平台，通过滥用安卓系统的HCE功能实现攻击：一端设备靠近受害者银行卡窃取数据，另一端在POS机旁实时模拟该卡完成交易。这种攻击全程毫秒级完成，受害者卡片无需离开视线，极具隐蔽性，且能绕过银行转账延迟到账等传统风控，直接导致资金被盗。

分析发现，该样本应用界面、日志均为简体中文，并出现“中际”等品牌标识，显示出明确的针对性。其背后已形成成熟的MaaS生态，为下游诈骗、洗钱团伙提供技术支持，显著降低了犯罪门槛。攻击通过钓鱼等社会工程手段诱导安装，威胁行为者持续活跃，自2024年11月起样本量显著增长，尤其2025年下半年攻击投放力度加大，对我国金融支付安全构成高危持续威胁。

02

耐克遭遇数据泄露与裁员双重打击，企业战略转型期面临严峻挑战

2026年1月25日，据外媒报道，运动品牌耐克公司证实正在调查一起潜在的重大网络安全事件。勒索软件组织“世界泄密”声称窃取并泄露了约1.4TB的耐克内部数据，涉及公司业务运营信息。耐克官方声明已着手调查并评估影响，但未透露是否遭遇勒索或支付赎金。此次泄露发生在企业关键数据密集期，可能对商业机密和合作伙伴信息构成威胁。

值得关注的是，数据泄露风波正值耐克推进战略与自动化转型之际。公司日前宣布将裁减775名美国配送中心员工，旨在通过供应链自动化提升运营效率与韧性。这是继2025年夏季裁员后的新一轮调整，反映了其“直面消费者”战略扩张后对冗余资源的清理。在市场需求疲软、利润承压的背景下，此次数据安全事件无疑为其重塑全球竞争力的努力增添了新的复杂性与声誉风险。

03

新型MacSync恶意软件瞄准macOS用户，社会工程学诱导亲手安装后门

一种名为MacSync的新型高级恶意软件正瞄准macOS用户，它通过巧妙的社会工程学手段，诱骗用户亲手在终端执行恶意命令，从而绕过系统所有安全机制。该恶意软件伪装成合法的云存储安装程序，在伪造的下载网站上声称需要“终端安装”，诱使用户复制粘贴恶意命令。此举完全绕过了Gatekeeper、公证检查和签名验证，直接获取系统访问权限。

一旦感染，MacSync会长期驻留并系统性地窃取浏览器凭据、加密货币钱包数据、钥匙串内容及敏感文件。其最危险的特性在于能够“木马化”受害者设备上的Ledger Live等主流加密货币应用，在数周后弹出虚假错误提示，诱导用户重新输入助记词，从而窃取加密资产全部控制权。该恶意软件在地下论坛作为“恶意软件即服务”廉价出售，因价格低廉在低级攻击者中迅速流行，对个人和企业均构成严重威胁。

04

攻击者利用假冒软件下载网站，分发合法远程管理工具实施入侵

网络犯罪分子正通过高仿真的假冒软件下载网站分发恶意载荷。这些网站冒充Notepad++、7-Zip等流行工具官网，诱骗用户下载并安装LogMeIn Resolve、PDQ Connect等合法的远程监控与管理工具。攻击者随后利用这些RMM工具的远程控制功能，完全接管受害系统，执行命令并部署如PatoRAT的后门恶意软件，为数据窃取和勒索软件攻击铺路。

感染过程高度依赖社会工程学，虚假网站外观与官方极为相似，普通用户难以辨别。与传统恶意软件不同，这些合法的远程管理应用常能规避常规杀毒软件检测，给安全团队带来严峻挑战。攻击者通过RMM工具建立持久连接，即使工具被移除，其后安装的后门仍能维持访问。安全专家建议用户务必从软件官方网站下载，组织则应部署能监控RMM异常活动的终端检测与响应方案。

05

微软紧急修复Office高危漏洞，黑客已利用其发起本地网络钓鱼攻击

微软于2026年1月紧急发布了针对旗下Office系列产品中一个已被主动利用的高危漏洞的补丁。该漏洞编号为CVE-2026-21509，影响Microsoft 365 Apps for Enterprise、Office 2019/2016以及多个长期服务版本。漏洞源于OLE技术中的安全决策环节依赖了不受信任的输入，允许攻击者绕过本地安全功能。

微软表示，该漏洞正被用于针对易受攻击系统的钓鱼攻击。成功利用需要攻击者获得对目标电脑的本地访问权限，这通常通过诱骗用户打开恶意文档来实现。攻击者借此漏洞可绕过微软为防护COM/OLE控制漏洞而设立的缓解措施，传播恶意代码。鉴于漏洞已被野外利用，微软敦促所有用户立即安装更新，以修复这一可能被用于初始入侵的高风险安全问题。

06

新型Stanley恶意工具包劫持浏览器，伪造网站同时保持地址栏URL不变

2026年1月，安全研究人员发现一款名为“Stanley”的新型恶意软件即服务工具包，它能实施一种极具欺骗性的攻击：在浏览器地址栏显示合法URL的同时，向用户展示全屏的虚假钓鱼网站。该工具包售价2000至6000美元，伪装成名为“Notely”的笔记应用扩展，甚至承诺保证在Chrome官方应用商店上架，以增加隐蔽性。

Stanley通过基于网络的控制面板运作，攻击者可针对特定受害者配置规则，将其访问的特定合法网站劫持至钓鱼页面。恶意扩展在页面加载早期便注入全屏iframe覆盖真实内容，而地址栏URL保持不变，极具迷惑性。该扩展会定时与C2服务器通信更新指令，并采用备份域名轮换机制以维持控制。工具包已导致数千用户受害，突显了恶意浏览器扩展的严重威胁，以及应用商店一次性审核机制的潜在风险。

07

黑客利用“rn”组合仿冒“m”字符，对微软、万豪发起视觉欺诈钓鱼攻击

近期，针对万豪国际与微软用户的精密钓鱼攻击正在活跃，攻击者注册了将字母“m”替换为“r”和“n”组合的视觉欺诈域名。由于在许多字体中，“rn”连写的视觉外观与“m”高度相似，域名如rnarriottinternational.com和rnicrosoft.com极易被用户误认为官方地址，从而诱骗其访问伪造的登录页面提交凭证。

安全公司已监测到此类恶意域名集群。攻击页面完全模仿官方Logo与布局，在移动设备小屏幕上更难分辨。这种利用视觉相似字符的拼写欺诈手段，有效绕过了人类大脑的快速识别机制。安全专家建议用户收到可疑邮件时，务必展开发件人地址查看完整邮箱，或将鼠标悬停在链接上核查真实URL，最可靠的方式是手动输入官方域名访问，并启用密码管理器以识别虚假网站。

08

Dormakaba门禁系统曝20余漏洞，或允许攻击者远程解锁企业大门

安全研究人员在Dormakaba的Exos 9300物理门禁控制系统中发现了20多个安全漏洞。该系列产品被欧洲众多大型组织广泛使用，包括能源公司、物流中心和机场，用于通过门禁卡或生物识别管理出入口。发现的漏洞包括硬编码凭证、弱密码、缺乏认证和命令注入等，可能允许攻击者无需认证即可远程解锁门、重新配置控制器或窃取访问PIN码。

尽管供应商表示利用需要事先接入客户内部网络，但研究人员发现，部分访问管理器的网络服务直接暴露在互联网上，主要集中在西班牙、荷兰等国。攻击者可能通过互联网直接向暴露的SOAP API发送特制请求来操控门锁。Dormakaba在过去18个月已陆续发布补丁，并确认有数千名客户受影响，其中包含高安全环境。此事件凸显了关键物理安全系统数字化转型后面临的严峻网络安全挑战。

09

新西兰2025年掀起数据隐私立法潮，五大法案构建密集合规矩阵

2025年，新西兰密集出台或修订了五部关键数据与隐私法律，构建起全面的合规治理框架。新立法包括将“间接收集”个人信息纳入强制通知的《隐私修正案》、为生物识别信息处理增设13项规定的专项守则、确立消费者数据权利的《客户与产品数据法案》、限制16岁以下用户使用社交媒体的法案，以及将深度伪造滥用行为直接入刑的新法。

这一系列立法动作形成了“横向到边、纵向到底”的合规矩阵，展现了小体量国家高速立法的样本。其特点在于不仅回应了生物识别、AI深度伪造等新兴风险，加强了对儿童等脆弱群体的保护，同时通过数据共享法案在保护与创新间寻求平衡。立法强调“设计即合规”，推动机构从事后补救转向事前预防。监管机构也透露出加强处罚力度的趋势，意味着企业需系统性升级数据治理，将隐私保护深度融入业务流程。

10

盐城政务App“我的盐城”发生系统故障，致用户订单页面泄露他人隐私信息

2026年1月24日，有盐城市民反映，在使用“我的盐城”政务App购物时，订单页面异常显示其他陌生人的完整个人信息，包括真实姓名、手机号和详细家庭住址，且刷新后信息不断变化。随后，App内的“生活”板块购物功能被紧急关闭。官方客服确认后台系统出现故障，技术团队正在处理，具体泄露原因尚在调查中。

“我的盐城”App是由当地国资企业运营的城市生活服务平台，整合了30多个部门的公共服务，截至2025年9月注册用户达660万。此次故障直接导致部分用户的敏感个人信息在彼此间错误串显，引发公众对政务平台数据安全性的严重担忧。尽管官方已介入抢修，但事件暴露了关键民生数字基础设施在数据隔离与错误处理机制上可能存在的缺陷，对政府服务平台的公信力造成影响。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《针对中国用户的NFC中继恶意软件曝光，或绕过后台风控实现盗刷》