1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

2025 年 3 月頭號(hào)惡意軟件:FakeUpdates 和 RansomHub 勒索軟件組織主導(dǎo)網(wǎng)絡(luò)威脅

陳晨 ? ? 產(chǎn)經(jīng)


網(wǎng)絡(luò)犯罪分子利用 FakeUpdates 和 RansomHub 作為主要工具擴(kuò)大攻擊面

2025年4月-網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2025 年 23月《全球威脅指數(shù)》報(bào)告,突出顯示了FakeUpdates下載惡意軟件的持續(xù)主導(dǎo)地位,它仍然是全球最普遍的網(wǎng)絡(luò)威脅。

本月,研究人員發(fā)現(xiàn)了一種新的入侵活動(dòng),它傳播最流行的惡意軟件 FakeUpdates,并導(dǎo)致 RansomHub 勒索軟件攻擊。FakeUpdates 仍然是最流行的惡意軟件,3 月份有一個(gè)明顯的趨勢(shì),即攻擊鏈涉及受攻擊網(wǎng)站、不法Keitaro TDS 實(shí)例和虛假瀏覽器更新誘餌,誘騙用戶(hù)下載 FakeUpdates 惡意軟件。經(jīng)過(guò)混淆的 JavaScript 加載器可實(shí)現(xiàn)數(shù)據(jù)外滲、命令執(zhí)行和持續(xù)訪問(wèn),以便不法分子的進(jìn)一步利用。這些發(fā)現(xiàn)凸顯了網(wǎng)絡(luò)犯罪分子所采用的戰(zhàn)術(shù)在不斷演變,Dropbox 和 TryCloudflare 等合法平臺(tái)越來(lái)越多地被利用來(lái)逃避檢測(cè)并保持持久性。

與此同時(shí),研究人員發(fā)現(xiàn)了大規(guī)模的 Lumma Stealer 網(wǎng)絡(luò)釣魚(yú)活動(dòng),入侵了北美、南歐和亞洲的 1,150 多個(gè)機(jī)構(gòu)和 7,000 多名用戶(hù)。攻擊者分發(fā)了近 5,000 份托管在 Webflow CDN 上的惡意 PDF文件,利用偽造的驗(yàn)證碼圖像觸發(fā) PowerShell 執(zhí)行并部署惡意軟件。利用合法平臺(tái)分發(fā)惡意軟件的趨勢(shì)日益明顯,這反映了網(wǎng)絡(luò)犯罪策略的轉(zhuǎn)變,其目的是逃避檢測(cè)。此外,研究人員還將 Lumma Stealer 與假冒的 Roblox 游戲和通過(guò)劫持的 YouTube 賬戶(hù)推廣的木馬盜版 Windows Total Commander 工具聯(lián)系起來(lái)。

Check Point軟件公司研究副總裁Maya Horowitz評(píng)論說(shuō):”網(wǎng)絡(luò)犯罪分子不斷調(diào)整策略,越來(lái)越多地依賴(lài)合法平臺(tái)來(lái)傳播惡意軟件和逃避檢測(cè)。企業(yè)必須保持警惕,實(shí)施積極主動(dòng)的安全措施,以降低這些不斷變化的威脅所帶來(lái)的風(fēng)險(xiǎn)。

頭號(hào)惡意軟件家族

*箭頭表示與上月相比排名的變化。

FakeUpdates 是本月最流行的惡意軟件,對(duì)全球機(jī)構(gòu)的影響達(dá) 8%,其次是 Remcos 和 AgenTesla,影響均為 3%。

FakeUpdates – Fakeupdates(又名 SocGholish)是一種下載惡意軟件,最初發(fā)現(xiàn)于 2018 年。它通過(guò)在受攻擊或惡意網(wǎng)站上的偷渡式下載進(jìn)行傳播,促使用戶(hù)安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān),用于在初次感染后發(fā)送各種二次有效載荷。         

↑ Remcos – Remcos 是一種遠(yuǎn)程訪問(wèn)木馬(RAT),首次發(fā)現(xiàn)于 2016 年,通常通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)中的惡意文檔傳播。其設(shè)計(jì)目的是繞過(guò) UAC 等 Windows 安全機(jī)制,并以提升的權(quán)限執(zhí)行惡意軟件,使其成為威脅行為者的多功能工具。        

↑ AgentTesla – AgentTesla 是一種高級(jí) RAT(遠(yuǎn)程訪問(wèn)木馬),具有鍵盤(pán)記錄和密碼竊取功能。AgentTesla 自 2014 年開(kāi)始活躍,它可以監(jiān)控和收集受害者的鍵盤(pán)輸入和系統(tǒng)剪貼板,還可以記錄屏幕截圖,并竊取受害者機(jī)器上安裝的各種軟件(包括谷歌瀏覽器、火狐瀏覽器和微軟 Outlook 電子郵件客戶(hù)端)的輸入憑證。AgentTesla 被公開(kāi)作為合法的 RAT 出售,用戶(hù)需支付 15 至 69 美元的用戶(hù)許可證費(fèi)用。         

頭號(hào)勒索軟件

基于勒索軟件 “恥辱網(wǎng)站 “的數(shù)據(jù)分析得出。RansomHub 是本月最流行的勒索軟件群組,占已發(fā)布攻擊的 12%,其次是 Qilin 和 Akira,影響范圍均為 6%。

RansomHub – RansomHub 以 “勒索軟件即服務(wù)”(Ransomware-as-a-Service,RaaS)形式推出,是之前已知的 “騎士 “勒索軟件的改版。RansomHub 于 2024 年初出現(xiàn)在地下網(wǎng)絡(luò)犯罪論壇的顯著位置,因其針對(duì)各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)的侵略性活動(dòng)而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。

Qilin – Qilin 也被稱(chēng)為 Agenda,同樣以勒索軟件即服務(wù)(ransomware-as-a-service)形式推出,它與附屬機(jī)構(gòu)合作,對(duì)被入侵機(jī)構(gòu)的數(shù)據(jù)進(jìn)行加密和外泄,隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn),采用 Golang 語(yǔ)言開(kāi)發(fā)。Agenda 以針對(duì)大型企業(yè)和高價(jià)值機(jī)構(gòu)而聞名,尤其側(cè)重于醫(yī)療保健和教育部門(mén)。Qilin 通常通過(guò)包含惡意鏈接的釣魚(yú)郵件滲透受害者,以建立對(duì)其網(wǎng)絡(luò)的訪問(wèn)權(quán)限并外泄敏感信息。一旦進(jìn)入,Qilin 通常會(huì)在受害者的基礎(chǔ)設(shè)施中橫向移動(dòng),尋找要加密的關(guān)鍵數(shù)據(jù)。

Akira – Akira 勒索軟件于 2023 年初首次被披露,目標(biāo)是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對(duì)文件進(jìn)行對(duì)稱(chēng)加密,與泄露的 Conti v2 勒索軟件類(lèi)似。Akira 通過(guò)多種途徑傳播,包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后,它會(huì)對(duì)數(shù)據(jù)進(jìn)行加密,并在文件名后添加”.akira “擴(kuò)展名,然后出示贖金條,要求支付解密費(fèi)用。

頂級(jí)移動(dòng)惡意軟件

本月,Anubis 在最流行的移動(dòng)惡意軟件中排名第一,其次是 Necro 和 AhMyth。

Anubis — Anubis是一種多用途銀行木馬,起源于安卓設(shè)備,目前已發(fā)展出多種高級(jí)功能,如通過(guò)攔截基于短信的一次性密碼(OTP)繞過(guò)多因素身份驗(yàn)證(MFA)、鍵盤(pán)記錄、錄音和勒索軟件功能。它通常通過(guò) Google Play Store 上的惡意應(yīng)用程序傳播,已成為最流行的移動(dòng)惡意軟件系列之一。此外,Anubis 還具有遠(yuǎn)程訪問(wèn)木馬 (RAT) 功能,可對(duì)受感染系統(tǒng)進(jìn)行廣泛監(jiān)視和控制。  

Necro – Necro 是一款?lèi)阂獍沧肯螺d程序,它會(huì)根據(jù)創(chuàng)建者的命令在受感染設(shè)備上檢索和執(zhí)行有害組件。它已被發(fā)現(xiàn)在 Google Play 上的多個(gè)流行應(yīng)用程序,以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺(tái)上的修改版應(yīng)用程序。Necro 能夠?qū)⑽kU(xiǎn)模塊下載到智能手機(jī)上,實(shí)現(xiàn)顯示和點(diǎn)擊隱形廣告、下載可執(zhí)行文件和安裝第三方應(yīng)用程序等操作。它還能打開(kāi)隱藏窗口運(yùn)行 JavaScript,可能會(huì)讓用戶(hù)訂閱不需要的付費(fèi)服務(wù)。此外,Necro 還能通過(guò)被入侵的設(shè)備重新路由互聯(lián)網(wǎng)流量,使其成為網(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。

AhMyth – AhMyth 是一種針對(duì)安卓設(shè)備的遠(yuǎn)程訪問(wèn)木馬(RAT),通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應(yīng)用程序。一旦安裝,它就會(huì)獲得大量權(quán)限,在重啟后繼續(xù)運(yùn)行,并外泄敏感信息,如銀行憑證、加密貨幣錢(qián)包詳情、多因素身份驗(yàn)證(MFA)代碼和密碼。AhMyth 還支持鍵盤(pán)記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問(wèn)以及短信攔截,是一款用于數(shù)據(jù)竊取和其他惡意活動(dòng)的多功能工具。        

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com.cn) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過(guò) 10 萬(wàn)家用戶(hù)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過(guò) Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶(hù)以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場(chǎng)。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122025041805295276430212.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論