网络犯罪分子利用 FakeUpdates 和 RansomHub 作为主要工具扩大攻击面
2025年4月-网络安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2025 年 23月《全球威胁指数》报告,突出显示了FakeUpdates下载恶意软件的持续主导地位,它仍然是全球最普遍的网络威胁。
本月,研究人员发现了一种新的入侵活动,它传播最流行的恶意软件 FakeUpdates,并导致 RansomHub 勒索软件攻击。FakeUpdates 仍然是最流行的恶意软件,3 月份有一个明显的趋势,即攻击链涉及受攻击网站、不法Keitaro TDS 实例和虚假浏览器更新诱饵,诱骗用户下载 FakeUpdates 恶意软件。经过混淆的 JavaScript 加载器可实现数据外渗、命令执行和持续访问,以便不法分子的进一步利用。这些发现凸显了网络犯罪分子所采用的战术在不断演变,Dropbox 和 TryCloudflare 等合法平台越来越多地被利用来逃避检测并保持持久性。
与此同时,研究人员发现了大规模的 Lumma Stealer 网络钓鱼活动,入侵了北美、南欧和亚洲的 1,150 多个机构和 7,000 多名用户。攻击者分发了近 5,000 份托管在 Webflow CDN 上的恶意 PDF文件,利用伪造的验证码图像触发 PowerShell 执行并部署恶意软件。利用合法平台分发恶意软件的趋势日益明显,这反映了网络犯罪策略的转变,其目的是逃避检测。此外,研究人员还将 Lumma Stealer 与假冒的 Roblox 游戏和通过劫持的 YouTube 账户推广的木马盗版 Windows Total Commander 工具联系起来。
Check Point软件公司研究副总裁Maya Horowitz评论说:"网络犯罪分子不断调整策略,越来越多地依赖合法平台来传播恶意软件和逃避检测。企业必须保持警惕,实施积极主动的安全措施,以降低这些不断变化的威胁所带来的风险。
头号恶意软件家族
*箭头表示与上月相比排名的变化。
FakeUpdates 是本月最流行的恶意软件,对全球机构的影响达 8%,其次是 Remcos 和 AgenTesla,影响均为 3%。
FakeUpdates - Fakeupdates(又名 SocGholish)是一种下载恶意软件,最初发现于 2018 年。它通过在受攻击或恶意网站上的偷渡式下载进行传播,促使用户安装虚假的浏览器更新。Fakeupdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关,用于在初次感染后发送各种二次有效载荷。
↑ Remcos - Remcos 是一种远程访问木马(RAT),首次发现于 2016 年,通常通过网络钓鱼活动中的恶意文档传播。其设计目的是绕过 UAC 等 Windows 安全机制,并以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。
↑ AgentTesla - AgentTesla 是一种高级 RAT(远程访问木马),具有键盘记录和密码窃取功能。AgentTesla 自 2014 年开始活跃,它可以监控和收集受害者的键盘输入和系统剪贴板,还可以记录屏幕截图,并窃取受害者机器上安装的各种软件(包括谷歌浏览器、火狐浏览器和微软 Outlook 电子邮件客户端)的输入凭证。AgentTesla 被公开作为合法的 RAT 出售,用户需支付 15 至 69 美元的用户许可证费用。
头号勒索软件
基于勒索软件 "耻辱网站 "的数据分析得出。RansomHub 是本月最流行的勒索软件群组,占已发布攻击的 12%,其次是 Qilin 和 Akira,影响范围均为 6%。
RansomHub - RansomHub 以 "勒索软件即服务"(Ransomware-as-a-Service,RaaS)形式推出,是之前已知的 "骑士 "勒索软件的改版。RansomHub 于 2024 年初出现在地下网络犯罪论坛的显著位置,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的侵略性活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
Qilin - Qilin 也被称为 Agenda,同样以勒索软件即服务(ransomware-as-a-service)形式推出,它与附属机构合作,对被入侵机构的数据进行加密和外泄,随后索要赎金。该勒索软件变种于 2022 年 7 月首次被发现,采用 Golang 语言开发。Agenda 以针对大型企业和高价值机构而闻名,尤其侧重于医疗保健和教育部门。Qilin 通常通过包含恶意链接的钓鱼邮件渗透受害者,以建立对其网络的访问权限并外泄敏感信息。一旦进入,Qilin 通常会在受害者的基础设施中横向移动,寻找要加密的关键数据。
Akira - Akira 勒索软件于 2023 年初首次被披露,目标是 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 对文件进行对称加密,与泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播,包括受感染的电子邮件附件和 VPN 端点漏洞。感染后,它会对数据进行加密,并在文件名后添加".akira "扩展名,然后出示赎金条,要求支付解密费用。
顶级移动恶意软件
本月,Anubis 在最流行的移动恶意软件中排名第一,其次是 Necro 和 AhMyth。
Anubis -- Anubis是一种多用途银行木马,起源于安卓设备,目前已发展出多种高级功能,如通过拦截基于短信的一次性密码(OTP)绕过多因素身份验证(MFA)、键盘记录、录音和勒索软件功能。它通常通过 Google Play Store 上的恶意应用程序传播,已成为最流行的移动恶意软件系列之一。此外,Anubis 还具有远程访问木马 (RAT) 功能,可对受感染系统进行广泛监视和控制。
Necro - Necro 是一款恶意安卓下载程序,它会根据创建者的命令在受感染设备上检索和执行有害组件。它已被发现在 Google Play 上的多个流行应用程序,以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的修改版应用程序。Necro 能够将危险模块下载到智能手机上,实现显示和点击隐形广告、下载可执行文件和安装第三方应用程序等操作。它还能打开隐藏窗口运行 JavaScript,可能会让用户订阅不需要的付费服务。此外,Necro 还能通过被入侵的设备重新路由互联网流量,使其成为网络犯罪分子代理僵尸网络的一部分。
AhMyth - AhMyth 是一种针对安卓设备的远程访问木马(RAT),通常伪装成屏幕记录器、游戏或加密货币工具等合法应用程序。一旦安装,它就会获得大量权限,在重启后继续运行,并外泄敏感信息,如银行凭证、加密货币钱包详情、多因素身份验证(MFA)代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截,是一款用于数据窃取和其他恶意活动的多功能工具。
关于 Check Point 软件技术有限公司
Check Point 软件技术有限公司 (www.checkpoint.com.cn) 是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家用户提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
