网络犯罪分子利用 FakeUpdates 和 RansomHub 作为主要工具扩大攻击面
2025年4月-网络������安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司发布了其 2025 年 23月《全球威胁指数》报告,突出显示了FakeUpdates下载恶意软件的持续主导地位,它仍然是全球最普遍的网络威胁。
本月,研究人员发现了一种新的入侵活动,它传播最流行的恶意软件 FakeUpdates,并导致 RansomHub 勒索软件攻击。FakeUpdates 仍然是最流行的恶意软件,3 月份有一个明显的趋势,即攻击链涉及受攻击网站、不法Keitaro TDS 实例和虚假浏览器更新诱饵,诱骗用户下载 FakeUpdates 恶意软件。经过混淆的 JavaScript 加载器可实现数据外渗、命令执行和持续访问,以便不法分子的进一步利用。这些发现凸显了网络犯罪分子所采用的战术在不断演变,Dropbox 和 TryCloudflare 等合法平台越来越多地被利用������来逃避检测并保持持久性。
与此同时,研究人员发现了大规模的 Lumma Stealer 网络钓鱼活动,入侵了北美、南欧和亚洲的 1,150 多个机构和 7,000 多名用户。攻击者分发了近 5,000 份托管在 Webflow CDN 上的恶意 PDF文件,利用伪造的验证码图像触发 PowerShell 执行并部署恶意软件。利用合法平台分发恶意软件的趋势日益明显,这反映了网络犯罪策略的转变,其目的是逃避检测。此外,研究人员还将 Lumma Stealer 与假冒的 Roblox 游戏和通过劫持�����的 YouTube 账户推广的木马盗版 Windows Total Commander 工具联系起来。
Check Point软件公司研究副总裁Maya Horo����witz评论说:"网络犯罪分子不断调整策略,越来越多地依赖合法平台来传播������恶意软件和逃避检测。企业必须保持警惕,实施积极主动的安全措施,以降低这些不断变化的威胁所带来的风险。
头号恶意软件家族
*箭头表示与上月相比排名的变化。
FakeUpdates 是本月最流��������行的恶意软件,对全球机构的影响达 8%,其次是 Remcos 和 AgenTesla,影响均为 3%。
FakeUpdates - Fakeupdates(又名 SocGholish)是一种下载恶意软件,最初发现于 2018 年。它通过在受攻击或恶意网站上的偷渡式下载进行传播,促使用户安装虚假的浏览器更新。Fakeupda�����tes 恶意软件与俄罗斯黑客组织 Evil Corp 有关,用于在初次感染后发送各种二次有效载荷。
↑ Remcos - Remcos 是一种远程访问木马(RAT),首次发现于 2016 年,通常通过网络钓鱼活动中的恶意文档传播。其设计目的是绕过 UAC 等 Windows 安全机制,并以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。 &nb�������sp;
↑ AgentTesla - AgentTesla 是一种高级 RAT(远程访问木马),具有键盘记录和密码窃取功能。AgentTesla 自 2014 年开始活跃,它可以监控和收集受害者的键盘输入和系统剪贴板,还可以记录屏幕截图,并窃取受害者机器上安装的各种软件(包括谷歌浏览器、火狐浏览器和微软 Outlook 电子邮件客户端)的输入凭证。AgentTesla 被公开作为合法的 RAT 出售,用户需支付 15 至 69 美元的用户许可证费用。 ����;
头号勒索软件
基于勒索软件 "耻辱网站 "的数据分析得出。������RansomHub 是本月最流行的勒索软件群组,占已发布攻击的 12%,其次是 Qilin 和������� Akira,影响范围均为 6%。
RansomHub - RansomHub 以 "勒索软����件即服务"(Ransomware-as-a-Service,RaaS)形式推出,是之前已知的 "骑士 "勒索软件的改版。RansomHub 于 2024 年初出现在地下网络犯罪论坛的显著位置,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的侵略性活动而迅速声名狼藉。该恶意软件以采用复杂的加�����密方法而闻名。
Qilin - Qilin 也被称为 Agenda,同样以勒索软件即服务(ransomware-as-a-service)形式推出,它与附属机构合作,对被入侵机构的数据进行加密和外泄,随后索要赎����金。该勒索软件变种于 2022 年 7 月首次被发现,采用 Golang 语言开发。Agenda 以针对大型企业和高价值机构而闻���������名,尤其侧重于医疗保健和教育部门。Qilin 通常通过包含恶意链接的钓鱼邮件渗透受害者,以建立对其网络的访问权限并外泄敏感信息。一旦进入,Qilin 通常会在受害者的基础设施中横向移动,寻找要加密的关键数据。
Akira - Akira 勒索软件于 2023 年初首次被披露,目标是 Windows 和 Linux 系统。它使用 Crypt��������GenRandom() 和 Chacha 2008 对文件进行对称加密,与泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播,包括受感染的电子邮件附件和 VPN 端点漏洞。感染后,它会对数据进行加密,并在文件名后添加".akira "扩展名,然后出示赎金条,要求支付解密费用。
顶级移动恶意软件
本月,Anubis 在最流行的移动恶意软件中排名第一,其次是 Necro 和 AhMyth。
Anubis -- Anubis是一种多用途银行木马,起源于安卓设备,目前已发展出多种高级功能,如通过拦截基于短信的一次性密码(OTP)绕过多因素身份验证�������(MFA)、键盘记录、录音和勒索软件功能。它通常通过 Google Play Store 上的恶意应用程序传播,已成为最流行的移动恶意软件系列之一。此外,Anubis 还具有远程访问木马 (RAT) 功能,可对受感染系统进行广泛监视和控制。
Necro - Necro 是一款恶意安卓下载程序,它会根据创建者的命令在受感染设备上检索和执行有害组件。它已被发现在 Google Play 上的多个流行应用程序,以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的修改版应用程序。Necro 能够将危险模块下载到智能手机上,实现显示和点击隐形广告、下载可执行文件和安装第三方应用程序等操作。它还能打开隐藏窗口运行 JavaScript,可能会让用户订阅不需要的付费服务。此外,Necro 还能通过被入侵的设备重新路由互联网流量,使其成为网络犯罪分子代理僵尸网络的一部分。
AhMyth - AhMyth 是一��������种针对安卓设备的远程访问木马(RAT),通常伪装成屏幕记录器、游戏或加密货币工具等合法应用程序。一旦安装,它就会获得大量权限,在重启后继续运行,并外泄敏感信������息,如银行凭证、加密货币钱包详情、多因素身份验证(MFA)代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截,是一款用于数据窃取和其他恶意活动的多功能工具。
