2025年3月份恶意软件之“十恶不赦”排行榜
FakeUpdates 仍然是最流行的恶意软件,3 月份的趋势尤为明显,其攻击链涉及受感染的网站、恶意 Keitaro TDS 实例以及虚假的浏览器更新诱饵,旨在诱骗用户下载 FakeUpdates 恶意软件。经过混淆的 JavaScript 加载程序可实现数据泄露、命令执行和持久访问,从而进一步利用漏洞。这些发现凸显了网络犯罪分子使用的攻击手段日新月异,Dropbox 和 TryCloudflare 等合法平台越来越多地被利用来逃避检测并保持持久性。
与此同时,研究人员发现了大规模的Lumma Stealer 网络钓鱼攻击活动,该活动已感染北美、南欧和亚洲超过 1,150 个组织和 7,000 名用户。攻击者在 Webflow 的 CDN 上分发了近 5,000 个恶意 PDF,并使用伪造的验证码图像触发 PowerShell 执行并部署恶意软件。利用合法平台分发恶意软件的趋势日益增长,这反映了网络犯罪分子为逃避检测而采取的策略的转变。此外,研究人员还将Lumma Stealer与假冒的Roblox 游戏以及通过劫持YouTube账户推广的木马盗版Windows Total Commander工具联系起来。
2025年3月“十恶不赦”
*箭头表示与上个月相比的排名变化FakeUpdates是本月最流行的恶意软件,影响了全球 8% 的组织,其次是Remcos和AgenTesla,影响率为 3%。
↔ FakeUpdates – Fakeupdates(又名 SocGholish)是一种下载器恶意软件,最初于 2018 年被发现。它通过在受感染或恶意网站上进行路过式下载进行传播,诱使用户安装虚假的浏览器更新。Fakeupdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关,并用于在初始感染后投放各种二次有效载荷。↑ Remcos – Remcos 是一种远程访问木马 (RAT),于 2016 年首次被发现,通常在网络钓鱼活动中通过恶意文档进行传播。它旨在绕过 Windows 安全机制(例如 UAC),并以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。↑ AgentTesla – AgentTesla 是一种高级 RAT(远程访问木马),可充当键盘记录器和密码窃取程序。AgentTesla 自 2014 年起活跃,可以监控和收集受害者的键盘输入和系统剪贴板,还可以记录屏幕截图并窃取受害者设备上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的登录凭证。AgentTesla 公开作为合法 RAT 出售,用户许可证价格为 15 至 69 美元。↔ AsyncRat – AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT),于 2019 年首次被发现。它会将系统信息泄露到命令与控制服务器,并执行下载插件、终止进程、截取屏幕截图和自我更新等命令。它通常通过网络钓鱼活动进行传播,用于窃取数据和入侵系统。↓ Androxgh0st - AndroxGh0st 是一款基于 Python 的恶意软件,它通过扫描暴露的 .env 文件(包含敏感信息,例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据)来攻击使用 Laravel PHP 框架的应用程序。该恶意软件利用僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限,攻击者就可以部署其他恶意软件、建立后门连接,并利用云资源进行加密货币挖矿等活动。↔ Formbook – Formbook 于 2016 年首次被发现,是一款主要针对 Windows 系统的信息窃取恶意软件。该恶意软件会从各种 Web 浏览器窃取凭证、收集屏幕截图、监视和记录键盘输入,并可下载和执行其他有效载荷。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染网站进行传播,通常伪装成合法文件。↑ Phorpiex – Phorpiex,又名 Trik,是一个自 2010 年以来一直活跃的僵尸网络,主要针对 Windows 系统。在其鼎盛时期,Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件家族(包括勒索软件和加密货币挖矿程序)而臭名昭著,并参与了大规模的性勒索活动。↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被发现,是一种恶意软件即服务 (MaaS) 信息窃取程序,可从受感染的 Windows 系统中窃取敏感数据,包括凭据、加密货币钱包和浏览器信息。它通过网络钓鱼活动、恶意网站和 ClickFix 方法等社会工程学策略进行传播,诱骗用户执行攻击者提供的 PowerShell 命令。↓ Rilide - Rilide 是一款恶意浏览器扩展程序,主要针对基于 Chromium 的浏览器,例如 Chrome、Edge、Brave 和 Opera。它伪装成合法的 Google Drive 扩展程序,使威胁行为者能够监控浏览历史记录、截取屏幕截图,并注入恶意脚本以从加密货币交易所提取资金。值得注意的是,Rilide 可以模拟对话框,诱骗用户泄露双因素身份验证 (2FA) 信息,从而促成未经授权的加密货币交易。其传播方式包括恶意的 Microsoft Publisher 文件和推广虚假软件安装程序的欺骗性 Google 广告。↔ Mirai – Mirai 是一种恶意软件,它会将运行 Linux 的联网设备(尤其是 IP 摄像头和家用路由器等物联网 (IoT) 设备)转变为远程控制的僵尸网络。Mirai 于 2016 年 8 月首次被发现,因策划了史上规模最大的几次分布式拒绝服务 (DDoS) 攻击而恶名远播,其中包括针对安全记者 Brian Krebs 和 DNS 提供商 Dyn 网站的攻击。该恶意软件通过扫描互联网上仍使用默认出厂登录凭证的物联网设备进行传播,并利用这些凭证获取控制权。自 2016 年 10 月公开发布其源代码以来,已出现众多变种。顶级勒索软件组织
这些数据基于勒索软件“耻辱网站”的洞察。RansomHub是本月最猖獗的勒索软件组织,占已发布攻击总数的1.2 % ,其次是Qilin和Akira,影响力均为6%。
RansomHub - RansomHub 是一款勒索软件即服务 (RaaS) 恶意软件,是之前名为 Knight 的勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛中活跃起来,因其针对 Windows、macOS、Linux 以及 VMware ESXi 环境等各种系统的攻击活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。麒麟 (Qilin) - 麒麟 (Qilin),又名 Agenda,是一个勒索软件即服务 (RaaS) 犯罪组织,它与同伙合作,加密并窃取受感染组织的数据,随后索要赎金。该勒索软件变种于 2022 年 7 月首次被发现,采用 Golang 语言开发。Agenda 以针对大型企业和高价值组织而闻名,尤其关注医疗保健和教育行业。麒麟通常通过包含恶意链接的网络钓鱼电子邮件渗透受害者,以建立对其网络的访问权限并窃取敏感信息。一旦进入受害者的基础设施,麒麟通常会横向移动,寻找关键数据进行加密。Akira - Akira 勒索软件于 2023 年初首次报告,主要针对 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 对称加密技术进行文件加密,与已泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播,包括感染电子邮件附件和 VPN 端点漏洞利用。感染后,它会加密数据并在文件名后附加“.akira”扩展名,然后发出勒索信,要求用户支付解密费用。热门移动恶意软件
本月,Anubis在最流行的移动恶意软件中排名第一,其次是Necro和AhMyth。
↔ Anubis – Anubis 是一种多功能银行木马,起源于 Android 设备,并已发展到包含多种高级功能,例如通过拦截基于短信的一次性密码 (OTP) 绕过多因素身份验证 (MFA)、键盘记录、录音以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行传播,并已成为最流行的移动恶意软件家族之一。此外,Anubis 还包含远程访问木马 (RAT) 功能,可对受感染系统进行广泛的监视和控制。↔ Necro – Necro 是一款恶意 Android 下载程序,它会根据其创建者的命令,在受感染的设备上检索并执行有害组件。它已在 Google Play 上的多款热门应用以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的应用修改版中被发现。Necro 能够将危险模块下载到智能手机上,从而允许显示和点击隐形广告、下载可执行文件以及安装第三方应用等操作。它还可以打开隐藏窗口运行 JavaScript,从而可能诱使用户订阅不必要的付费服务。此外,Necro 还可以通过受感染的设备重新路由互联网流量,将其转变为网络犯罪分子代理僵尸网络的一部分。↔ AhMyth – AhMyth 是一款针对 Android 设备的远程访问木马 (RAT),通常伪装成屏幕录像机、游戏或加密货币工具等合法应用。安装后,它会获得大量权限,在设备重启后仍能持续存在,并窃取敏感信息,例如银行凭证、加密货币钱包详情、多重身份验证 (MFA) 代码和密码。AhMyth 还支持键盘记录、屏幕截图、摄像头和麦克风访问以及短信拦截,使其成为数据盗窃和其他恶意活动的多功能工具。
THE END
