FakeUpdates 仍然是最流行的惡意軟件，3 月份的趨勢尤為明顯，其攻擊鏈涉及受感染的網(wǎng)站、惡意 Keitaro TDS 實(shí)例以及虛假的瀏覽器更新誘餌，旨在誘騙用戶下載 FakeUpdates 惡意軟件。經(jīng)過混淆的 JavaScript 加載程序可實(shí)現(xiàn)數(shù)據(jù)泄露、命令執(zhí)行和持久訪問，從而進(jìn)一步利用漏洞。這些發(fā)現(xiàn)凸顯了網(wǎng)絡(luò)犯罪分子使用的攻擊手段日新月異，Dropbox 和 TryCloudflare 等合法平臺(tái)越來越多地被利用來逃避檢測并保持持久性。

與此同時(shí)，研究人員發(fā)現(xiàn)了大規(guī)模的Lumma Stealer 網(wǎng)絡(luò)釣魚攻擊活動(dòng)，該活動(dòng)已感染北美、南歐和亞洲超過 1,150 個(gè)組織和 7,000 名用戶。攻擊者在 Webflow 的 CDN 上分發(fā)了近 5,000 個(gè)惡意 PDF，并使用偽造的驗(yàn)證碼圖像觸發(fā) PowerShell 執(zhí)行并部署惡意軟件。利用合法平臺(tái)分發(fā)惡意軟件的趨勢日益增長，這反映了網(wǎng)絡(luò)犯罪分子為逃避檢測而采取的策略的轉(zhuǎn)變。此外，研究人員還將Lumma Stealer與假冒的Roblox 游戲以及通過劫持YouTube賬戶推廣的木馬盜版Windows Total Commander工具聯(lián)系起來。

2025年3月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化

FakeUpdates是本月最流行的惡意軟件，影響了全球 8% 的組織，其次是Remcos和AgenTesla，影響率為 3%。

1. ? FakeUpdates – Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年被發(fā)現(xiàn)。它通過在受感染或惡意網(wǎng)站上進(jìn)行路過式下載進(jìn)行傳播，誘使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，并用于在初始感染后投放各種二次有效載荷。
2. ↑ Remcos – Remcos 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2016 年首次被發(fā)現(xiàn)，通常在網(wǎng)絡(luò)釣魚活動(dòng)中通過惡意文檔進(jìn)行傳播。它旨在繞過 Windows 安全機(jī)制（例如 UAC），并以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。
3. ↑ AgentTesla – AgentTesla 是一種高級(jí) RAT（遠(yuǎn)程訪問木馬），可充當(dāng)鍵盤記錄器和密碼竊取程序。AgentTesla 自 2014 年起活躍，可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄屏幕截圖并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證價(jià)格為 15 至 69 美元。
4. ? AsyncRat – AsyncRAT 是一種針對(duì) Windows 系統(tǒng)的遠(yuǎn)程訪問木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會(huì)將系統(tǒng)信息泄露到命令與控制服務(wù)器，并執(zhí)行下載插件、終止進(jìn)程、截取屏幕截圖和自我更新等命令。它通常通過網(wǎng)絡(luò)釣魚活動(dòng)進(jìn)行傳播，用于竊取數(shù)據(jù)和入侵系統(tǒng)。
5. ↓ Androxgh0st - AndroxGh0st 是一款基于 Python 的惡意軟件，它通過掃描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務(wù)的登錄憑據(jù)）來攻擊使用 Laravel PHP 框架的應(yīng)用程序。該惡意軟件利用僵尸網(wǎng)絡(luò)識(shí)別運(yùn)行 Laravel 的網(wǎng)站并提取機(jī)密數(shù)據(jù)。一旦獲得訪問權(quán)限，攻擊者就可以部署其他惡意軟件、建立后門連接，并利用云資源進(jìn)行加密貨幣挖礦等活動(dòng)。
6. ? Formbook – Formbook 于 2016 年首次被發(fā)現(xiàn)，是一款主要針對(duì) Windows 系統(tǒng)的信息竊取惡意軟件。該惡意軟件會(huì)從各種 Web 瀏覽器竊取憑證、收集屏幕截圖、監(jiān)視和記錄鍵盤輸入，并可下載和執(zhí)行其他有效載荷。該惡意軟件通過網(wǎng)絡(luò)釣魚活動(dòng)、惡意電子郵件附件和受感染網(wǎng)站進(jìn)行傳播，通常偽裝成合法文件。
7. ↑ Phorpiex – Phorpiex，又名 Trik，是一個(gè)自 2010 年以來一直活躍的僵尸網(wǎng)絡(luò)，主要針對(duì) Windows 系統(tǒng)。在其鼎盛時(shí)期，Phorpiex 控制了超過一百萬臺(tái)受感染的主機(jī)。Phorpiex 因通過垃圾郵件活動(dòng)傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并參與了大規(guī)模的性勒索活動(dòng)。
8. ↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被發(fā)現(xiàn)，是一種惡意軟件即服務(wù) (MaaS) 信息竊取程序，可從受感染的 Windows 系統(tǒng)中竊取敏感數(shù)據(jù)，包括憑據(jù)、加密貨幣錢包和瀏覽器信息。它通過網(wǎng)絡(luò)釣魚活動(dòng)、惡意網(wǎng)站和 ClickFix 方法等社會(huì)工程學(xué)策略進(jìn)行傳播，誘騙用戶執(zhí)行攻擊者提供的 PowerShell 命令。
9. ↓ Rilide - Rilide 是一款惡意瀏覽器擴(kuò)展程序，主要針對(duì)基于 Chromium 的瀏覽器，例如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴(kuò)展程序，使威脅行為者能夠監(jiān)控瀏覽歷史記錄、截取屏幕截圖，并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對(duì)話框，誘騙用戶泄露雙因素身份驗(yàn)證 (2FA) 信息，從而促成未經(jīng)授權(quán)的加密貨幣交易。其傳播方式包括惡意的 Microsoft Publisher 文件和推廣虛假軟件安裝程序的欺騙性 Google 廣告。
10. ? Mirai – Mirai 是一種惡意軟件，它會(huì)將運(yùn)行 Linux 的聯(lián)網(wǎng)設(shè)備（尤其是 IP 攝像頭和家用路由器等物聯(lián)網(wǎng) (IoT) 設(shè)備）轉(zhuǎn)變?yōu)檫h(yuǎn)程控制的僵尸網(wǎng)絡(luò)。Mirai 于 2016 年 8 月首次被發(fā)現(xiàn)，因策劃了史上規(guī)模最大的幾次分布式拒絕服務(wù) (DDoS) 攻擊而惡名遠(yuǎn)播，其中包括針對(duì)安全記者 Brian Krebs 和 DNS 提供商 Dyn 網(wǎng)站的攻擊。該惡意軟件通過掃描互聯(lián)網(wǎng)上仍使用默認(rèn)出廠登錄憑證的物聯(lián)網(wǎng)設(shè)備進(jìn)行傳播，并利用這些憑證獲取控制權(quán)。自 2016 年 10 月公開發(fā)布其源代碼以來，已出現(xiàn)眾多變種。

頂級(jí)勒索軟件組織

這些數(shù)據(jù)基于勒索軟件“恥辱網(wǎng)站”的洞察。RansomHub是本月最猖獗的勒索軟件組織，占已發(fā)布攻擊總數(shù)的1.2 % ，其次是Qilin和Akira，影響力均為6%。

1. RansomHub - RansomHub 是一款勒索軟件即服務(wù) (RaaS) 惡意軟件，是之前名為 Knight 的勒索軟件的改名版本。RansomHub 于 2024 年初在地下網(wǎng)絡(luò)犯罪論壇中活躍起來，因其針對(duì) Windows、macOS、Linux 以及 VMware ESXi 環(huán)境等各種系統(tǒng)的攻擊活動(dòng)而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。
2. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一個(gè)勒索軟件即服務(wù) (RaaS) 犯罪組織，它與同伙合作，加密并竊取受感染組織的數(shù)據(jù)，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對(duì)大型企業(yè)和高價(jià)值組織而聞名，尤其關(guān)注醫(yī)療保健和教育行業(yè)。麒麟通常通過包含惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件滲透受害者，以建立對(duì)其網(wǎng)絡(luò)的訪問權(quán)限并竊取敏感信息。一旦進(jìn)入受害者的基礎(chǔ)設(shè)施，麒麟通常會(huì)橫向移動(dòng)，尋找關(guān)鍵數(shù)據(jù)進(jìn)行加密。
3. Akira - Akira 勒索軟件于 2023 年初首次報(bào)告，主要針對(duì) Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對(duì)稱加密技術(shù)進(jìn)行文件加密，與已泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點(diǎn)漏洞利用。感染后，它會(huì)加密數(shù)據(jù)并在文件名后附加“.akira”擴(kuò)展名，然后發(fā)出勒索信，要求用戶支付解密費(fèi)用。

熱門移動(dòng)惡意軟件

本月，Anubis在最流行的移動(dòng)惡意軟件中排名^第一，其次是Necro和AhMyth。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設(shè)備，并已發(fā)展到包含多種高級(jí)功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗(yàn)證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應(yīng)用進(jìn)行傳播，并已成為最流行的移動(dòng)惡意軟件家族之一。此外，Anubis 還包含遠(yuǎn)程訪問木馬 (RAT) 功能，可對(duì)受感染系統(tǒng)進(jìn)行廣泛的監(jiān)視和控制。
2. ? Necro – Necro 是一款惡意 Android 下載程序，它會(huì)根據(jù)其創(chuàng)建者的命令，在受感染的設(shè)備上檢索并執(zhí)行有害組件。它已在 Google Play 上的多款熱門應(yīng)用以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺(tái)上的應(yīng)用修改版中被發(fā)現(xiàn)。Necro 能夠?qū)⑽ｋU(xiǎn)模塊下載到智能手機(jī)上，從而允許顯示和點(diǎn)擊隱形廣告、下載可執(zhí)行文件以及安裝第三方應(yīng)用等操作。它還可以打開隱藏窗口運(yùn)行 JavaScript，從而可能誘使用戶訂閱不必要的付費(fèi)服務(wù)。此外，Necro 還可以通過受感染的設(shè)備重新路由互聯(lián)網(wǎng)流量，將其轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。
3. ? AhMyth – AhMyth 是一款針對(duì) Android 設(shè)備的遠(yuǎn)程訪問木馬 (RAT)，通常偽裝成屏幕錄像機(jī)、游戲或加密貨幣工具等合法應(yīng)用。安裝后，它會(huì)獲得大量權(quán)限，在設(shè)備重啟后仍能持續(xù)存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包詳情、多重身份驗(yàn)證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風(fēng)訪問以及短信攔截，使其成為數(shù)據(jù)盜竊和其他惡意活動(dòng)的多功能工具。