2025 年 3 月頭號惡意軟件：FakeUpdates 和 RansomHub 勒索軟件組織主導(dǎo)網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)犯罪分子利用 FakeUpdates 和 RansomHub 作為主要工具擴(kuò)大攻擊面

2025年4月-網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者 Check Point® 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2025 年 23月《全球威脅指數(shù)》報告，突出顯示了FakeUpdates下載惡意軟件的持續(xù)主導(dǎo)地位，它仍然是全球最普遍的網(wǎng)絡(luò)威脅。

本月，研究人員發(fā)現(xiàn)了一種新的入侵活動，它傳播最流行的惡意軟件 FakeUpdates，并導(dǎo)致 RansomHub 勒索軟件攻擊。FakeUpdates 仍然是最流行的惡意軟件，3 月份有一個明顯的趨勢，即攻擊鏈涉及受攻擊網(wǎng)站、不法Keitaro TDS 實(shí)例和虛假瀏覽器更新誘餌，誘騙用戶下載 FakeUpdates 惡意軟件。經(jīng)過混淆的 JavaScript 加載器可實(shí)現(xiàn)數(shù)據(jù)外滲、命令執(zhí)行和持續(xù)訪問，以便不法分子的進(jìn)一步利用。這些發(fā)現(xiàn)凸顯了網(wǎng)絡(luò)犯罪分子所采用的戰(zhàn)術(shù)在不斷演變，Dropbox 和 TryCloudflare 等合法平臺越來越多地被利用來逃避檢測并保持持久性。

與此同時，研究人員發(fā)現(xiàn)了大規(guī)模的 Lumma Stealer 網(wǎng)絡(luò)釣魚活動，入侵了北美、南歐和亞洲的 1,150 多個機(jī)構(gòu)和 7,000 多名用戶。攻擊者分發(fā)了近 5,000 份托管在 Webflow CDN 上的惡意 PDF文件，利用偽造的驗(yàn)證碼圖像觸發(fā) PowerShell 執(zhí)行并部署惡意軟件。利用合法平臺分發(fā)惡意軟件的趨勢日益明顯，這反映了網(wǎng)絡(luò)犯罪策略的轉(zhuǎn)變，其目的是逃避檢測。此外，研究人員還將 Lumma Stealer 與假冒的 Roblox 游戲和通過劫持的 YouTube 賬戶推廣的木馬盜版 Windows Total Commander 工具聯(lián)系起來。

Check Point軟件公司研究副總裁Maya Horowitz評論說："網(wǎng)絡(luò)犯罪分子不斷調(diào)整策略，越來越多地依賴合法平臺來傳播惡意軟件和逃避檢測。企業(yè)必須保持警惕，實(shí)施積極主動的安全措施，以降低這些不斷變化的威脅所帶來的風(fēng)險。

頭號惡意軟件家族

*箭頭表示與上月相比排名的變化。

FakeUpdates 是本月最流行的惡意軟件，對全球機(jī)構(gòu)的影響達(dá) 8%，其次是 Remcos 和 AgenTesla，影響均為 3%。

FakeUpdates - Fakeupdates（又名 SocGholish）是一種下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過在受攻擊或惡意網(wǎng)站上的偷渡式下載進(jìn)行傳播，促使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，用于在初次感染后發(fā)送各種二次有效載荷。         

↑ Remcos - Remcos 是一種遠(yuǎn)程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網(wǎng)絡(luò)釣魚活動中的惡意文檔傳播。其設(shè)計目的是繞過 UAC 等 Windows 安全機(jī)制，并以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。        

↑ AgentTesla - AgentTesla 是一種高級 RAT（遠(yuǎn)程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla 自 2014 年開始活躍，它可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄屏幕截圖，并竊取受害者機(jī)器上安裝的各種軟件（包括谷歌瀏覽器、火狐瀏覽器和微軟 Outlook 電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法的 RAT 出售，用戶需支付 15 至 69 美元的用戶許可證費(fèi)用。         

頭號勒索軟件

基于勒索軟件 "恥辱網(wǎng)站 "的數(shù)據(jù)分析得出。RansomHub 是本月最流行的勒索軟件群組，占已發(fā)布攻擊的 12%，其次是 Qilin 和 Akira，影響范圍均為 6%。

RansomHub - RansomHub 以 "勒索軟件即服務(wù)"（Ransomware-as-a-Service，RaaS）形式推出，是之前已知的 "騎士 "勒索軟件的改版。RansomHub 于 2024 年初出現(xiàn)在地下網(wǎng)絡(luò)犯罪論壇的顯著位置，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）的侵略性活動而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。

Qilin - Qilin 也被稱為 Agenda，同樣以勒索軟件即服務(wù)（ransomware-as-a-service）形式推出，它與附屬機(jī)構(gòu)合作，對被入侵機(jī)構(gòu)的數(shù)據(jù)進(jìn)行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價值機(jī)構(gòu)而聞名，尤其側(cè)重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網(wǎng)絡(luò)的訪問權(quán)限并外泄敏感信息。一旦進(jìn)入，Qilin 通常會在受害者的基礎(chǔ)設(shè)施中橫向移動，尋找要加密的關(guān)鍵數(shù)據(jù)。

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標(biāo)是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后，它會對數(shù)據(jù)進(jìn)行加密，并在文件名后添加".akira "擴(kuò)展名，然后出示贖金條，要求支付解密費(fèi)用。

頂級移動惡意軟件

本月，Anubis 在最流行的移動惡意軟件中排名第一，其次是 Necro 和 AhMyth。

Anubis -- Anubis是一種多用途銀行木馬，起源于安卓設(shè)備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗(yàn)證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應(yīng)用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠(yuǎn)程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進(jìn)行廣泛監(jiān)視和控制。  

Necro - Necro 是一款惡意安卓下載程序，它會根據(jù)創(chuàng)建者的命令在受感染設(shè)備上檢索和執(zhí)行有害組件。它已被發(fā)現(xiàn)在 Google Play 上的多個流行應(yīng)用程序，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的修改版應(yīng)用程序。Necro 能夠?qū)⑽ｋU模塊下載到智能手機(jī)上，實(shí)現(xiàn)顯示和點(diǎn)擊隱形廣告、下載可執(zhí)行文件和安裝第三方應(yīng)用程序等操作。它還能打開隱藏窗口運(yùn)行 JavaScript，可能會讓用戶訂閱不需要的付費(fèi)服務(wù)。此外，Necro 還能通過被入侵的設(shè)備重新路由互聯(lián)網(wǎng)流量，使其成為網(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。

AhMyth - AhMyth 是一種針對安卓設(shè)備的遠(yuǎn)程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應(yīng)用程序。一旦安裝，它就會獲得大量權(quán)限，在重啟后繼續(xù)運(yùn)行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗(yàn)證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動的多功能工具。        

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com.cn) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計算機(jī)安全應(yīng)急響應(yīng)組展開合作。