2025 年 3 月頭號惡意軟件：FakeUpdates 和 RansomHub 勒索軟件組織主導網絡威脅

網絡犯罪分子利用 FakeUpdates 和 RansomHub 作為主要工具擴大攻擊面

2025年4月-網絡安全解決方案先驅者和全球領導者 Check Point® 軟件技術有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2025 年 23月《全球威脅指數(shù)》報告，突出顯示了FakeUpdates下載惡意軟件的持續(xù)主導地位，它仍然是全球最普遍的網絡威脅。

本月，研究人員發(fā)現(xiàn)了一種新的入侵活動，它傳播最流行的惡意軟件 FakeUpdates，并導致 RansomHub 勒索軟件攻擊。FakeUpdates 仍然是最流行的惡意軟件，3 月份有一個明顯的趨勢，即攻擊鏈涉及受攻擊網站、不法Keitaro TDS 實例和虛假瀏覽器更新誘餌，誘騙用戶下載 FakeUpdates 惡意軟件。經過混淆的 JavaScript 加載器可實現(xiàn)數(shù)據(jù)外滲、命令執(zhí)行和持續(xù)訪問，以便不法分子的進一步利用。這些發(fā)現(xiàn)凸顯了網絡犯罪分子所采用的戰(zhàn)術在不斷演變，Dropbox 和 TryCloudflare 等合法平臺越來越多地被利用來逃避檢測并保持持久性。

與此同時，研究人員發(fā)現(xiàn)了大規(guī)模的 Lumma Stealer 網絡釣魚活動，入侵了北美、南歐和亞洲的 1,150 多個機構和 7,000 多名用戶。攻擊者分發(fā)了近 5,000 份托管在 Webflow CDN 上的惡意 PDF文件，利用偽造的驗證碼圖像觸發(fā) PowerShell 執(zhí)行并部署惡意軟件。利用合法平臺分發(fā)惡意軟件的趨勢日益明顯，這反映了網絡犯罪策略的轉變，其目的是逃避檢測。此外，研究人員還將 Lumma Stealer 與假冒的 Roblox 游戲和通過劫持的 YouTube 賬戶推廣的木馬盜版 Windows Total Commander 工具聯(lián)系起來。

Check Point軟件公司研究副總裁Maya Horowitz評論說："網絡犯罪分子不斷調整策略，越來越多地依賴合法平臺來傳播惡意軟件和逃避檢測。企業(yè)必須保持警惕，實施積極主動的安全措施，以降低這些不斷變化的威脅所帶來的風險。

頭號惡意軟件家族

*箭頭表示與上月相比排名的變化。

FakeUpdates 是本月最流行的惡意軟件，對全球機構的影響達 8%，其次是 Remcos 和 AgenTesla，影響均為 3%。

FakeUpdates - Fakeupdates（又名 SocGholish）是一種下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過在受攻擊或惡意網站上的偷渡式下載進行傳播，促使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關，用于在初次感染后發(fā)送各種二次有效載荷。         

↑ Remcos - Remcos 是一種遠程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網絡釣魚活動中的惡意文檔傳播。其設計目的是繞過 UAC 等 Windows 安全機制，并以提升的權限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。        

↑ AgentTesla - AgentTesla 是一種高級 RAT（遠程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla 自 2014 年開始活躍，它可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄屏幕截圖，并竊取受害者機器上安裝的各種軟件（包括谷歌瀏覽器、火狐瀏覽器和微軟 Outlook 電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法的 RAT 出售，用戶需支付 15 至 69 美元的用戶許可證費用。         

頭號勒索軟件

基于勒索軟件 "恥辱網站 "的數(shù)據(jù)分析得出。RansomHub 是本月最流行的勒索軟件群組，占已發(fā)布攻擊的 12%，其次是 Qilin 和 Akira，影響范圍均為 6%。

RansomHub - RansomHub 以 "勒索軟件即服務"（Ransomware-as-a-Service，RaaS）形式推出，是之前已知的 "騎士 "勒索軟件的改版。RansomHub 于 2024 年初出現(xiàn)在地下網絡犯罪論壇的顯著位置，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）的侵略性活動而迅速聲名狼藉。該惡意軟件以采用復雜的加密方法而聞名。

Qilin - Qilin 也被稱為 Agenda，同樣以勒索軟件即服務（ransomware-as-a-service）形式推出，它與附屬機構合作，對被入侵機構的數(shù)據(jù)進行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價值機構而聞名，尤其側重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網絡的訪問權限并外泄敏感信息。一旦進入，Qilin 通常會在受害者的基礎設施中橫向移動，尋找要加密的關鍵數(shù)據(jù)。

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會對數(shù)據(jù)進行加密，并在文件名后添加".akira "擴展名，然后出示贖金條，要求支付解密費用。

頂級移動惡意軟件

本月，Anubis 在最流行的移動惡意軟件中排名第一，其次是 Necro 和 AhMyth。

Anubis -- Anubis是一種多用途銀行木馬，起源于安卓設備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進行廣泛監(jiān)視和控制。  

Necro - Necro 是一款惡意安卓下載程序，它會根據(jù)創(chuàng)建者的命令在受感染設備上檢索和執(zhí)行有害組件。它已被發(fā)現(xiàn)在 Google Play 上的多個流行應用程序，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的修改版應用程序。Necro 能夠將危險模塊下載到智能手機上，實現(xiàn)顯示和點擊隱形廣告、下載可執(zhí)行文件和安裝第三方應用程序等操作。它還能打開隱藏窗口運行 JavaScript，可能會讓用戶訂閱不需要的付費服務。此外，Necro 還能通過被入侵的設備重新路由互聯(lián)網流量，使其成為網絡犯罪分子代理僵尸網絡的一部分。

AhMyth - AhMyth 是一種針對安卓設備的遠程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應用程序。一旦安裝，它就會獲得大量權限，在重啟后繼續(xù)運行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動的多功能工具。        

關于 Check Point 軟件技術有限公司 

Check Point 軟件技術有限公司 (www.checkpoint.com.cn) 是一家領先的云端 AI 網絡安全平臺提供商，為全球超過 10 萬家用戶提供安全保護。Check Point 利用強大的 AI 技術通過 Infinity 平臺提高了網絡安全防護效率和準確性，憑借業(yè)界領先的捕獲率實現(xiàn)了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網絡安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務的 Check Point Infinity Core Services。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。