Check Point研究人員揭示了利用合法程序進行隱蔽的多階段惡意軟件活動

2025年5月，全球領(lǐng)先的AI驅(qū)動型云安全平臺提供商 Check Point? 軟件技術(shù)有限公司（納斯達克股票代碼：CHKP）發(fā)布了2025年4月全球威脅指數(shù)。FakeUpdates仍然是本月最流行的惡意軟件，影響了全球6%的企業(yè)與機構(gòu)，緊隨其后的是Remcos和AgentTesla。

在本月，研究人員發(fā)現(xiàn)了一個復雜的多階段惡意軟件活動，其中包括 AgentTesla、Remcos 和 Xloader（FormBook 的進化版）。攻擊從偽裝成訂單確認的釣魚郵件開始，誘使受害者打開惡意 7-Zip 壓縮包。該壓縮包包含一個 JScript Encoded (.JSE) 文件，可啟動 Base64 編碼的 PowerShell 腳本，執(zhí)行第二階段的 .NET 或基于 AutoIt 的可執(zhí)行文件。最終的惡意軟件會被注入合法的 Windows 進程，如 RegAsm.exe 或 RegSvcs.exe，從而大大提高了隱蔽性和逃避檢測的能力。

這一發(fā)現(xiàn)凸顯了當前網(wǎng)絡(luò)犯罪的一個重要趨勢：常見惡意軟件與高級攻擊技術(shù)融合。曾經(jīng)以低價在暗網(wǎng)出售的工具如AgentTesla與Remcos，如今已被整合進復雜的攻擊鏈中。

Check Point 軟件公司威脅情報總監(jiān) Lotem Finkelstein 評論表示："最新的攻擊活動體現(xiàn)了網(wǎng)絡(luò)威脅日益增長的復雜性。攻擊者正在將編碼腳本、合法進程和模糊的執(zhí)行鏈層層疊加，以便不被發(fā)現(xiàn)。過去被視為‘低級’的惡意軟件，如今正在被廣泛應用于高度復雜的攻擊行動中。企業(yè)必須采取‘預防優(yōu)先’策略，整合實時威脅情報、人工智能與行為分析技術(shù)來應對不斷演化的威脅。”

頂級惡意軟件家族

(箭頭表示與 3 月份相比的排名變化）。

FakeUpdates - Fakeupdates（又名 SocGholish）是一款下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過“下載即感染”的方式傳播，誘導用戶安裝虛假瀏覽器更新。Fakeupdates 惡意軟件與黑客組織 Evil Corp 有關(guān)，通常用于在首次感染后投遞更多惡意負載。（影響率：6%）

Remcos - Remcos 是一種遠程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網(wǎng)絡(luò)釣魚活動中的惡意文檔傳播。其設(shè)計目的是繞過 Windows 安全機制（如 UAC），以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。(影響率：3%）。

AgentTesla - AgentTesla 是一款高級 RAT（遠程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla自2014年開始活躍，它可以監(jiān)控并收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄截圖并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法工具在線出售，客戶需要為許可證支付 15 - 69 美元（影響率：3%）。

2025年四月勒索軟件組織榜單

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會對數(shù)據(jù)進行加密，并在文件名后添加".akira "擴展名，然后展示贖金條，要求支付解密費用。

SatanLock - SatanLock - 新近活躍的勒索組織，自4月初起在暗網(wǎng)上公開活動，目前已泄露67名受害者。但其中超過65%此前已被其他組織披露，活躍度仍在觀察中。

Qilin - Qilin 也被稱為 Agenda，是一種勒索軟件即服務(wù)（ransomware-as-a-service）犯罪活動，它與其他關(guān)聯(lián)機構(gòu)合作，對被入侵機構(gòu)的數(shù)據(jù)進行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價值機構(gòu)而聞名，尤其側(cè)重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網(wǎng)絡(luò)的訪問權(quán)限并外泄敏感信息。一旦進入，Qilin 通常會在受害者的基礎(chǔ)設(shè)施中橫向移動，尋找要加密的關(guān)鍵數(shù)據(jù)。

移動惡意軟件榜單

Anubis-- Anubis是一種多用途銀行木馬，起源于安卓設(shè)備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進行廣泛監(jiān)視和控制。??

↑ AhMyth - AhMyth 是一種針對安卓設(shè)備的遠程訪問木馬（RAT），通常偽裝成屏幕記錄器、 游戲 或加密貨幣工具等合法應用程序。一旦安裝，它就會獲得大量權(quán)限，在重啟后繼續(xù)運行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動的多功能工具。

↑ Hydra - Hydra 是一種銀行木馬，旨在竊取銀行憑證，每次進入任何銀行應用程序時都會要求受害者啟用危險的權(quán)限和訪問。

四月份的數(shù)據(jù)顯示，隱蔽、多階段惡意軟件活動的使用越來越多，并持續(xù)關(guān)注防御能力較低的部門。由于 FakeUpdates 仍是最普遍的威脅，而新的勒索軟件行為者如 SatanLock 又不斷涌現(xiàn)，因此企業(yè)必須優(yōu)先考慮積極主動的分層安全，才能在不斷演變的攻擊中保持領(lǐng)先。