網(wǎng)絡(luò)犯罪分子利用 FakeUpdates 和 RansomHub 作為主要工具擴(kuò)大攻擊面

2025年4月-網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者 Check Point? 軟件技術(shù)有限公司發(fā)布了其 2025 年 23月《全球威脅指數(shù)》報(bào)告，突出顯示了FakeUpdates下載惡意軟件的持續(xù)主導(dǎo)地位，它仍然是全球最普遍的網(wǎng)絡(luò)威脅。

本月，研究人員發(fā)現(xiàn)了一種新的入侵活動(dòng)，它傳播最流行的惡意軟件 FakeUpdates，并導(dǎo)致 RansomHub 勒索軟件攻擊。FakeUpdates 仍然是最流行的惡意軟件，3 月份有一個(gè)明顯的趨勢，即攻擊鏈涉及受攻擊網(wǎng)站、不法Keitaro TDS 實(shí)例和虛假瀏覽器更新誘餌，誘騙用戶下載 FakeUpdates 惡意軟件。經(jīng)過混淆的 JavaScript 加載器可實(shí)現(xiàn)數(shù)據(jù)外滲、命令執(zhí)行和持續(xù)訪問，以便不法分子的進(jìn)一步利用。這些發(fā)現(xiàn)凸顯了網(wǎng)絡(luò)犯罪分子所采用的戰(zhàn)術(shù)在不斷演變，Dropbox 和 TryCloudflare 等合法平臺(tái)越來越多地被利用來逃避檢測并保持持久性。

與此同時(shí)，研究人員發(fā)現(xiàn)了大規(guī)模的 Lumma Stealer 網(wǎng)絡(luò)釣魚活動(dòng)，入侵了北美、南歐和亞洲的 1,150 多個(gè)機(jī)構(gòu)和 7,000 多名用戶。攻擊者分發(fā)了近 5,000 份托管在 Webflow CDN 上的惡意 PDF文件，利用偽造的驗(yàn)證碼圖像觸發(fā) PowerShell 執(zhí)行并部署惡意軟件。利用合法平臺(tái)分發(fā)惡意軟件的趨勢日益明顯，這反映了網(wǎng)絡(luò)犯罪策略的轉(zhuǎn)變，其目的是逃避檢測。此外，研究人員還將 Lumma Stealer 與假冒的 Roblox 游戲 和通過劫持的 YouTube 賬戶推廣的木馬盜版 Windows Total Commander 工具聯(lián)系起來。

Check Point軟件公司研究副總裁Maya Horowitz評論說："網(wǎng)絡(luò)犯罪分子不斷調(diào)整策略，越來越多地依賴合法平臺(tái)來傳播惡意軟件和逃避檢測。企業(yè)必須保持警惕，實(shí)施積極主動(dòng)的安全措施，以降低這些不斷變化的威脅所帶來的風(fēng)險(xiǎn)。

頭號惡意軟件家族

*箭頭表示與上月相比排名的變化。

FakeUpdates 是本月最流行的惡意軟件，對全球機(jī)構(gòu)的影響達(dá) 8%，其次是 Remcos 和 AgenTesla，影響均為 3%。

FakeUpdates - Fakeupdates（又名 SocGholish）是一種下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過在受攻擊或惡意網(wǎng)站上的偷渡式下載進(jìn)行傳播，促使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，用于在初次感染后發(fā)送各種二次有效載荷。?????????

↑ Remcos - Remcos 是一種遠(yuǎn)程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網(wǎng)絡(luò)釣魚活動(dòng)中的惡意文檔傳播。其設(shè)計(jì)目的是繞過 UAC 等 Windows 安全機(jī)制，并以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。????????

↑ AgentTesla - AgentTesla 是一種高級 RAT（遠(yuǎn)程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla 自 2014 年開始活躍，它可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄屏幕截圖，并竊取受害者機(jī)器上安裝的各種軟件（包括谷歌瀏覽器、火狐瀏覽器和微軟 Outlook 電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法的 RAT 出售，用戶需支付 15 至 69 美元的用戶許可證費(fèi)用。?????????

頭號勒索軟件

基于勒索軟件 "恥辱網(wǎng)站 "的數(shù)據(jù)分析得出。RansomHub 是本月最流行的勒索軟件群組，占已發(fā)布攻擊的 12%，其次是 Qilin 和 Akira，影響范圍均為 6%。

RansomHub - RansomHub 以 "勒索軟件即服務(wù)"（Ransomware-as-a-Service，RaaS）形式推出，是之前已知的 "騎士 "勒索軟件的改版。RansomHub 于 2024 年初出現(xiàn)在地下網(wǎng)絡(luò)犯罪論壇的顯著位置，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）的侵略性活動(dòng)而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。

Qilin - Qilin 也被稱為 Agenda，同樣以勒索軟件即服務(wù)（ransomware-as-a-service）形式推出，它與附屬機(jī)構(gòu)合作，對被入侵機(jī)構(gòu)的數(shù)據(jù)進(jìn)行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價(jià)值機(jī)構(gòu)而聞名，尤其側(cè)重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網(wǎng)絡(luò)的訪問權(quán)限并外泄敏感信息。一旦進(jìn)入，Qilin 通常會(huì)在受害者的基礎(chǔ)設(shè)施中橫向移動(dòng)，尋找要加密的關(guān)鍵數(shù)據(jù)。

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標(biāo)是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后，它會(huì)對數(shù)據(jù)進(jìn)行加密，并在文件名后添加".akira "擴(kuò)展名，然后出示贖金條，要求支付解密費(fèi)用。

頂級移動(dòng)惡意軟件

本月，Anubis 在最流行的移動(dòng)惡意軟件中排名第一，其次是 Necro 和 AhMyth。

Anubis -- Anubis是一種多用途銀行木馬，起源于安卓設(shè)備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗(yàn)證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應(yīng)用程序傳播，已成為最流行的移動(dòng)惡意軟件系列之一。此外，Anubis 還具有遠(yuǎn)程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進(jìn)行廣泛監(jiān)視和控制。??

Necro - Necro 是一款惡意安卓下載程序，它會(huì)根據(jù)創(chuàng)建者的命令在受感染設(shè)備上檢索和執(zhí)行有害組件。它已被發(fā)現(xiàn)在 Google Play 上的多個(gè)流行應(yīng)用程序，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺(tái)上的修改版應(yīng)用程序。Necro 能夠?qū)⑽ｋU(xiǎn)模塊下載到智能 手機(jī) 上，實(shí)現(xiàn)顯示和點(diǎn)擊隱形廣告、下載可執(zhí)行文件和安裝第三方應(yīng)用程序等操作。它還能打開隱藏窗口運(yùn)行 JavaScript，可能會(huì)讓用戶訂閱不需要的付費(fèi)服務(wù)。此外，Necro 還能通過被入侵的設(shè)備重新路由 互聯(lián)網(wǎng) 流量，使其成為網(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。

AhMyth - AhMyth 是一種針對安卓設(shè)備的遠(yuǎn)程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應(yīng)用程序。一旦安裝，它就會(huì)獲得大量權(quán)限，在重啟后繼續(xù)運(yùn)行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗(yàn)證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動(dòng)的多功能工具。? ? ? ??