•Google因生物识别数据侵权支付创纪录13.75亿美元和解金

•涉嫌暗中收集儿童用户数据，Roblox面临侵犯隐私集体诉讼

•网络攻击手法升级：FakeUpdates领跑4月全球恶意软件榜单

•美国驱逐航空公司GlobalX遭黑客攻击，敏感航班数据被窃取

•黑客利用Output Messenger零日漏洞部署恶意负载

•VMware Tools文件处理安全缺陷允许低权限攻击者在虚拟机内触发恶意操作

•华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令

•蓝牙6.1版本发布，增强隐私保护与电源效率

Google已同意向德克萨斯州支付13.75亿美元的和解金，以解决2022年一项指控其未经适当同意收集和使用数百万德克萨斯州居民生物识别数据的诉讼。

德克萨斯州总检察长Ken Paxton办公室宣布这项和解协议，称其为该州的"历史性胜利"，并指出这是全美范围内针对Google的最高赔偿金额。根据诉讼，自2015年以来，Google在未获得用户同意的情况下非法收集德克萨斯州居民的面部和语音扫描数据，以增强其定向广告业务。此外，Google还被指控持续追踪使用其产品和服务的德克萨斯州居民，不断记录他们的位置和在Chrome隐身模式下的搜索内容。

Google发言人表示，此次和解涵盖了两个案件和三项索赔，所有这些都已导致技术巨头产品和服务的变更，因此无需进一步行动。Google还指出，和解并不意味着承认有不当行为或责任。

原文链接： https://www.bleepingcomputer.com/news/legal/google-to-pay-1375-billion-to-settle-texas-data-privacy-violations/

在线创作游戏平台Roblox因涉嫌秘密收集儿童用户数据而面临集体诉讼。Michael和Salena Garcia在美国加利福尼亚联邦法院提起的诉讼指控该公司在未获得适当同意的情况下，暗中监控玩家活动。

根据这份45页的诉讼书，Roblox使用隐藏的追踪工具收集广泛的用户数据，包括按键记录、聊天信息、鼠标活动和搜索查询。诉讼还指控该公司通过唯一标识符将这些交互数据与个人设备关联，从而构建详细的用户行为档案，用于定向内容推送并与第三方广告商共享。诉讼书中指出："这种数据监控在用户访问或启动Roblox的那一刻就开始了，甚至在账户登录或同意之前，并通过持久标识符和指纹技术在各平台（网页、iOS、Android、macOS、Windows）上持续进行。"

根据《儿童在线隐私保护法》(COPPA)，公司在收集13岁以下儿童的个人数据前必须获得可验证的父母同意。Garcia夫妇声称Roblox通过父母从未看到的静默追踪绕过了这些要求。截至发稿时，Roblox Corporation尚未对此诉讼发表公开声明。

原文链接： https://hackread.com/roblox-lawsuit-hidden-tracking-monetize-kids-data/

Check Point Research (CPR)发布的2025年4月威胁报告显示，网络攻击者正采用更复杂、更隐蔽的方法传播恶意软件，其感染技术变得更加难以检测。

根据报告，4月份发现的大多数攻击涉及伪装成订单确认的钓鱼邮件，这些邮件包含隐藏的7-Zip文件，释放加密指令后安装AgentTesla、Remcos和XLoader等常见恶意软件。这些攻击使用编码脚本并将恶意代码注入合法Windows进程，实现了"普通工具与高级威胁行为的危险融合"。

4月份最流行的恶意软件包括：

FakeUpdates：影响全球6%的组织，诱骗用户从受感染网站安装虚假浏览器更新，与黑客组织Evil Corp有关；

Remcos和AgentTesla：这些远程访问工具通常通过钓鱼邮件中的恶意文档传播，能够绕过Windows安全功能，窃取密码、记录按键和捕获登录凭据；

其他值得注意的恶意软件家族包括Formbook、Lumma Stealer和Raspberry Robin等。

在勒索软件领域，Akira最为活跃，其次是新出现的SatanLock和Qilin。移动设备威胁方面，Anubis、AhMyth和Hydra位居前列，这些恶意软件提供远程访问、勒索功能和多因素认证拦截能力。

教育部门连续第三个月成为全球最易受攻击的行业，政府和电信部门紧随其后。CPR建议组织采取"预防为主"的策略，包括员工钓鱼培训、定期软件更新和实施高级威胁防御解决方案。

原文链接： https://hackread.com/fakeupdates-remcos-agenttesla-malware-attack-charts/

自称隶属于Anonymous的黑客组织近日攻击了美国政府合同包机公司GlobalX Airlines，该公司主要负责执行驱逐出境航班任务。黑客不仅入侵并篡改了航空公司官方网站，还窃取了包括航班记录和乘客名单在内的敏感信息。

被篡改的网页上出现了 Anonymous 标志性的 Guy Fawkes 面具，指责GlobalX无视法律指令，推行他们所认为的"法西斯计划"。这表明攻击源于黑客行动主义者对该航空公司参与美国境内外驱逐行动的不满。除了网站篡改，黑客还向包括 404 Media 在内的媒体分享了大量泄露数据。404 Media通过与官方移民和海关执法局(ICE)航班日志和法庭文件核对，确认了这些数据的真实性。这些数据按1月19日至5月1日分类，包含了数百名委内瑞拉移民被驱逐的航班细节，其中一些人在飞行途中仍在对驱逐的合法性提出质疑。

据匿名黑客透露，他们通过发现 GlobalX 开发人员的令牌，获取了该公司 Amazon Web Services 云存储的访问和密钥，从而入侵公司数字基础设施。黑客声称还使用 Airbu 提供的 NAVBLUE 航班操作工具向飞行员发送内部消息，并访问了公司的 GitHub 代码库。

原文链接： https://hackread.com/anonymous-hackers-flight-data-us-deportation-airline-globalx/

Microsoft威胁情报团队发现一起针对伊拉克库尔德军事实体的复杂网络间谍活动。威胁行为者 "Marbled Dust" 自2024年4月起利用 Output Messenger 的零日漏洞（CVE-2025-27920）收集敏感用户数据并在受害网络中部署恶意负载。

Output Messenger 是组织内部通信常用的多平台聊天软件，其存在目录遍历漏洞，允许已认证用户将恶意文件上传至服务器的启动目录。Microsoft 已通知开发商 Srimax，后者迅速发布了修复补丁。

攻击链始于 Marbled Dust 获取 Output Messenger Server Manager的认证访问权限后。攻击者利用目录遍历漏洞上传恶意文件，包括OMServerService.vbs 和OM.vbs 到服务器启动文件夹，以及 OMServerService.exe 到 Users/public/videos 目录。这些文件协同工作建立GoLang后门，连接到命令控制域名 （api.wordinfos[.]com）以获取进一步指令和数据窃取。在客户端机器上，另一个名为 OMClientService.exe 的后门与合法 Output Messenger 应用程序一起安装。这些恶意软件与相同的命令控制基础设施通信，发送受害者身份信息并执行攻击者的命令。

为缓解威胁，Microsoft建议用户将Output Messenger更新至Windows客户端版本2.0.63和服务器版本2.0.62。

原文链接： https://cybersecuritynews.com/output-messenger-0-day-vulnerability/

Broadcom近日发布安全公告，披露了VMware Tools中一个中等严重性安全缺陷。该缺陷允许具有有限权限的攻击者在虚拟机内操纵文件并触发不安全操作。

这一不安全文件处理缺陷影响Windows和Linux版本的VMware Tools 11.x.x和12.x.x，macOS版本不受影响。尽管该缺陷影响仅限于客户虚拟机内部，但在多租户共享物理基础设施的虚拟化环境中尤其令人担忧，可能作为更大攻击链的一部分或用于虚拟机内的权限提升。

为修复此缺陷，Broadcom已发布VMware Tools 12.5.2版本，适用于Windows和Linux系统。对于Windows 32位系统，包含在12.5.2发布中的VMware Tools 12.4.7解决了这一问题。Linux用户应注意，不同Linux供应商将分发修复了该缺陷的open-vm-tools版本，具体版本可能因Linux发行版和供应商而异。

原文链接： https://cybersecuritynews.com/vmware-tools-vulnerability/

独立网络安全研究员Paul发现华硕 DriverHub驱动管理工具存在严重远程代码执行漏洞，允许恶意网站在安装该软件的设备上执行命令。该软件对发送至DriverHub后台服务的命令验证不足，通过利用CVE-2025-3462和CVE-2025-3463漏洞链，可绕过来源验证并触发远程代码执行。

DriverHub是华硕官方驱动管理工具，在使用特定华硕主板时会在系统首次启动时自动安装。安装后，该工具通过本地服务在端口53000上持续运行，不断检查重要驱动更新。该服务检查传入HTTP请求的Origin Header，拒绝任何非来自 'driverhub.asus.com' 的请求。然而，这一检查实现不当，任何包含该字符串的站点都会被接受，即使与华硕官方门户不完全匹配。第二个问题在于UpdateApp端点，它允许DriverHub从 '.asus.com' URL下载并运行.exe文件，无需用户确认。

攻击者可以诱使用户访问恶意网站，该网站向本地服务发送 “UpdateApp请求”。通过将Origin Header伪装为类似 'driverhub.asus.com.mrbruh.com' 的内容，绕过弱验证检查。在研究者的演示中，命令指示软件从供应商下载门户下载合法的华硕签名 “AsusSetup.exe” 安装程序，以及恶意.ini文件和.exe负载。华硕签名安装程序以管理员身份静默运行，并使用.ini文件中的配置信息，该文件指示合法华硕驱动安装程序启动恶意可执行文件。

目前华硕已实施了修复，并建议用户尽快应用最新更新。

原文链接： https://www.bleepingcomputer.com/news/security/asus-driverhub-flaw-let-malicious-sites-run-commands-with-admin-rights/

蓝牙特别兴趣小组（Bluetooth Special Interest Group）近日发布了蓝牙6.1版本，其中最重要的新特性是对设备隐私管理和电源效率的更新。这一更新名为"蓝牙随机化RPA（可解析私有地址）更新"，有助于保护用户免受跟踪并减少电池消耗。

在隐私保护方面，蓝牙设备通常会改变其地址以使他人更难跟踪它们。在蓝牙6.1中，这些变更的时间现已随机化。这使第三方更难将设备活动随时间关联起来或推断出行为模式，从而大幅提高了用户隐私保护水平。

此次更新标志着蓝牙技术在保护用户隐私的同时，继续优化能源效率的重要一步，特别适合对电池寿命要求较高的小型设备。

原文链接：

https://www.helpnetsecurity.com/2025/05/12/bluetooth-6-1-released/