Check Point研究人員揭示了利用合法程序進行隱蔽的多階段惡意軟件活動

2025年5月，全球領先的AI驅動型云安全平臺提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發(fā)布了2025年4月全球威脅指數(shù)。FakeUpdates仍然是本月最流行的惡意軟件，影響了全球6%的企業(yè)與機構，緊隨其后的是Remcos和AgentTesla。

在本月，研究人員發(fā)現(xiàn)了一個復雜的多階段惡意軟件活動，其中包括 AgentTesla、Remcos 和 Xloader（FormBook 的進化版）。攻擊從偽裝成訂單確認的釣魚郵件開始，誘使受害者打開惡意 7-Zip 壓縮包。該壓縮包包含一個 JScript Encoded (.JSE) 文件，可啟動 Base64 編碼的 PowerShell 腳本，執(zhí)行第二階段的 .NET 或基于 AutoIt 的可執(zhí)行文件。最終的惡意軟件會被注入合法的 Windows 進程，如 RegAsm.exe 或 RegSvcs.exe，從而大大提高了隱蔽性和逃避檢測的能力。

這一發(fā)現(xiàn)凸顯了當前網絡犯罪的一個重要趨勢：常見惡意軟件與高級攻擊技術融合。曾經以低價在暗網出售的工具如AgentTesla與Remcos，如今已被整合進復雜的攻擊鏈中。

Check Point 軟件公司威脅情報總監(jiān) Lotem Finkelstein 評論表示："最新的攻擊活動體現(xiàn)了網絡威脅日益增長的復雜性。攻擊者正在將編碼腳本、合法進程和模糊的執(zhí)行鏈層層疊加，以便不被發(fā)現(xiàn)。過去被視為‘低級’的惡意軟件，如今正在被廣泛應用于高度復雜的攻擊行動中。企業(yè)必須采取‘預防優(yōu)先’策略，整合實時威脅情報、人工智能與行為分析技術來應對不斷演化的威脅。”

頂級惡意軟件家族

(箭頭表示與 3 月份相比的排名變化）。

FakeUpdates - Fakeupdates（又名 SocGholish）是一款下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過“下載即感染”的方式傳播，誘導用戶安裝虛假瀏覽器更新。Fakeupdates 惡意軟件與黑客組織 Evil Corp 有關，通常用于在首次感染后投遞更多惡意負載。（影響率：6%）

Remcos - Remcos 是一種遠程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網絡釣魚活動中的惡意文檔傳播。其設計目的是繞過 Windows 安全機制（如 UAC），以提升的權限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。(影響率：3%）。

AgentTesla - AgentTesla 是一款高級 RAT（遠程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla自2014年開始活躍，它可以監(jiān)控并收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄截圖并竊取受害者設備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法工具在線出售，客戶需要為許可證支付 15 - 69 美元（影響率：3%）。

2025年四月勒索軟件組織榜單

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會對數(shù)據進行加密，并在文件名后添加".akira "擴展名，然后展示贖金條，要求支付解密費用。

SatanLock - SatanLock - 新近活躍的勒索組織，自4月初起在暗網上公開活動，目前已泄露67名受害者。但其中超過65%此前已被其他組織披露，活躍度仍在觀察中。

Qilin - Qilin 也被稱為 Agenda，是一種勒索軟件即服務（ransomware-as-a-service）犯罪活動，它與其他關聯(lián)機構合作，對被入侵機構的數(shù)據進行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價值機構而聞名，尤其側重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網絡的訪問權限并外泄敏感信息。一旦進入，Qilin 通常會在受害者的基礎設施中橫向移動，尋找要加密的關鍵數(shù)據。

移動惡意軟件榜單

Anubis-- Anubis是一種多用途銀行木馬，起源于安卓設備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進行廣泛監(jiān)視和控制。??

↑ AhMyth - AhMyth 是一種針對安卓設備的遠程訪問木馬（RAT），通常偽裝成屏幕記錄器、 游戲 或加密貨幣工具等合法應用程序。一旦安裝，它就會獲得大量權限，在重啟后繼續(xù)運行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，是一款用于數(shù)據竊取和其他惡意活動的多功能工具。

↑ Hydra - Hydra 是一種銀行木馬，旨在竊取銀行憑證，每次進入任何銀行應用程序時都會要求受害者啟用危險的權限和訪問。

四月份的數(shù)據顯示，隱蔽、多階段惡意軟件活動的使用越來越多，并持續(xù)關注防御能力較低的部門。由于 FakeUpdates 仍是最普遍的威脅，而新的勒索軟件行為者如 SatanLock 又不斷涌現(xiàn)，因此企業(yè)必須優(yōu)先考慮積極主動的分層安全，才能在不斷演變的攻擊中保持領先。