Check Point研究人员揭示了利用合法程序进行隐蔽的多阶段恶意软件活动
2025年5月,全球领先的AI驱动型云安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了2025年4月全球威胁指数。FakeUpdates仍然是本月最流行的恶意软件,影响了全球6%的企业与机构,紧随其后的是Remcos和AgentTesla。
在本月,研究人员发现了一个复杂的多阶段恶意软件活动,其中包括 AgentTesla、Remcos 和 Xloader(FormBook 的进化版)。攻击从伪装成订单确认的钓鱼邮件开始,诱使受害者打开恶意 7-Zip 压缩包。该压缩包包含一个 JScript Encoded (.JSE) 文件,可启动 Base64 编码的 PowerShell 脚本,执行第二阶段的 .NET 或基于 AutoIt 的可执行文件。最终的恶意软件会被注入合法的 Windows 进程,如 RegAsm.exe 或 RegSvcs.exe,从而大大提高了隐蔽性和逃避检测的能力。
这一发现凸显了当前网络犯罪的一个重要趋势:常见恶意软件与高级攻击技术融合。曾经以低价在暗网出售的工具如AgentTesla与Remcos,如今已被整合进复杂的攻击链中。
Check Point 软件公司威胁情报总监 Lotem Finkelstein 评论表示:"最新的攻击活动体现了网络威胁日益增长的复杂性。攻击者正在将编码脚本、合法进程和模糊的执行链层层叠加,以便不被发现。过去被视为‘低级’的恶意软件,如今正在被广泛应用于高度复杂的攻击行动中。企业必须采取‘预防优先’策略,整合实时威胁情报、人工智能与行为分析技术来应对不断演化的威胁。”
顶级恶意软件家族
(箭头表示与 3 月份相比的排名变化)。
FakeUpdates - Fakeupdates(又名 SocGholish)是一款下载恶意软件,最初发现于 2018 年。它通过“下载即感染”的方式传播,诱导用户安装虚假浏览器更新。Fakeupdates 恶意软件与黑客组织 Evil Corp 有关,通常用于在首次感染后投递更多恶意负载。(影响率:6%)
Remcos - Remcos 是一种远程访问木马(RAT),首次发现于 2016 年,通常通过网络钓鱼活动中的恶意文档传播。其设计目的是绕过 Windows 安全机制(如 UAC),以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。(影响率:3%)。
AgentTesla - AgentTesla 是一款高级 RAT(远程访问木马),具有键盘记录和密码窃取功能。AgentTesla自2014年开始活跃,它可以监控并收集受害者的键盘输入和系统剪贴板,还可以记录截图并窃取受害者设备上安装的各种软件(包括 Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)的输入凭证。AgentTesla 被公开作为合法工具在线出售,客户需要为许可证支付 15 - 69 美元(影响率:3%)。
2025年四月勒索软件组织榜单
Akira - Akira 勒索软件于 2023 年初首次被披露,目标是 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 对文件进行对称加密,与泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播,包括受感染的电子邮件附件和 VPN 端点漏洞。感染后,它会对数据进行加密,并在文件名后添加".akira "扩展名,然后展示赎金条,要求支付解密费用。
SatanLock - SatanLock - 新近活跃的勒索组织,自4月初起在暗网上公开活动,目前已泄露67名受害者。但其中超过65%此前已被其他组织披露,活跃度仍在观察中。
Qilin - Qilin 也被称为 Agenda,是一种勒索软件即服务(ransomware-as-a-service)犯罪活动,它与其他关联机构合作,对被入侵机构的数据进行加密和外泄,随后索要赎金。该勒索软件变种于 2022 年 7 月首次被发现,采用 Golang 语言开发。Agenda 以针对大型企业和高价值机构而闻名,尤其侧重于医疗保健和教育部门。Qilin 通常通过包含恶意链接的钓鱼邮件渗透受害者,以建立对其网络的访问权限并外泄敏感信息。一旦进入,Qilin 通常会在受害者的基础设施中横向移动,寻找要加密的关键数据。
移动恶意软件榜单
Anubis-- Anubis是一种多用途银行木马,起源于安卓设备,目前已发展出多种高级功能,如通过拦截基于短信的一次性密码(OTP)绕过多因素身份验证(MFA)、键盘记录、录音和勒索软件功能。它通常通过 Google Play Store 上的恶意应用程序传播,已成为最流行的移动恶意软件系列之一。此外,Anubis 还具有远程访问木马 (RAT) 功能,可对受感染系统进行广泛监视和控制。
↑ AhMyth - AhMyth 是一种针对安卓设备的远程访问木马(RAT),通常伪装成屏幕记录器、游戏或加密货币工具等合法应用程序。一旦安装,它就会获得大量权限,在重启后继续运行,并外泄敏感信息,如银行凭证、加密货币钱包详情、多因素身份验证(MFA)代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截,是一款用于数据窃取和其他恶意活动的多功能工具。
↑ Hydra - Hydra 是一种银行木马,旨在窃取银行凭证,每次进入任何银行应用程序时都会要求受害者启用危险的权限和访问。
四月份的数据显示,隐蔽、多阶段恶意软件活动的使用越来越多,并持续关注防御能力较低的部门。由于 FakeUpdates 仍是最普遍的威胁,而新的勒索软件行为者如 SatanLock 又不断涌现,因此企业必须优先考虑积极主动的分层安全,才能在不断演变的攻击中保持领先。
