阿里云優(yōu)惠券 先領(lǐng)券再下單

Check Point研究人員揭示了利用合法程序進行隱蔽的多階段惡意軟件活動

2025年5月，全球領(lǐng)先的AI驅(qū)動型云安全平臺提供商 Check Point® 軟件技術(shù)有限公司（納斯達克股票代碼：CHKP）發(fā)布了2025年4月全球威脅指數(shù)。FakeUpdates仍然是本月最流行的惡意軟件，影響了全球6%的企業(yè)與機構(gòu)，緊隨其后的是Remcos和AgentTesla。

在本月，研究人員發(fā)現(xiàn)了一個復(fù)雜的多階段惡意軟件活動，其中包括 AgentTesla、Remcos 和 Xloader（FormBook 的進化版）。攻擊從偽裝成訂單確認(rèn)的釣魚郵件開始，誘使受害者打開惡意 7-Zip 壓縮包。該壓縮包包含一個 JScript Encoded (.JSE) 文件，可啟動 Base64 編碼的 PowerShell 腳本，執(zhí)行第二階段的 .NET 或基于 AutoIt 的可執(zhí)行文件。最終的惡意軟件會被注入合法的 Windows 進程，如 RegAsm.exe 或 RegSvcs.exe，從而大大提高了隱蔽性和逃避檢測的能力。

這一發(fā)現(xiàn)凸顯了當(dāng)前網(wǎng)絡(luò)犯罪的一個重要趨勢：常見惡意軟件與高級攻擊技術(shù)融合。曾經(jīng)以低價在暗網(wǎng)出售的工具如AgentTesla與Remcos，如今已被整合進復(fù)雜的攻擊鏈中。

Check Point 軟件公司威脅情報總監(jiān) Lotem Finkelstein 評論表示："最新的攻擊活動體現(xiàn)了網(wǎng)絡(luò)威脅日益增長的復(fù)雜性。攻擊者正在將編碼腳本、合法進程和模糊的執(zhí)行鏈層層疊加，以便不被發(fā)現(xiàn)。過去被視為‘低級’的惡意軟件，如今正在被廣泛應(yīng)用于高度復(fù)雜的攻擊行動中。企業(yè)必須采取‘預(yù)防優(yōu)先’策略，整合實時威脅情報、人工智能與行為分析技術(shù)來應(yīng)對不斷演化的威脅。”

頂級惡意軟件家族

(箭頭表示與 3 月份相比的排名變化）。

FakeUpdates - Fakeupdates（又名 SocGholish）是一款下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過“下載即感染”的方式傳播，誘導(dǎo)用戶安裝虛假瀏覽器更新。Fakeupdates 惡意軟件與黑客組織 Evil Corp 有關(guān)，通常用于在首次感染后投遞更多惡意負(fù)載。（影響率：6%）

Remcos - Remcos 是一種遠(yuǎn)程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網(wǎng)絡(luò)釣魚活動中的惡意文檔傳播。其設(shè)計目的是繞過 Windows 安全機制（如 UAC），以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。(影響率：3%）。

AgentTesla - AgentTesla 是一款高級 RAT（遠(yuǎn)程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla自2014年開始活躍，它可以監(jiān)控并收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄截圖并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法工具在線出售，客戶需要為許可證支付 15 - 69 美元（影響率：3%）。

2025年四月勒索軟件組織榜單

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標(biāo)是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會對數(shù)據(jù)進行加密，并在文件名后添加".akira "擴展名，然后展示贖金條，要求支付解密費用。

SatanLock - SatanLock - 新近活躍的勒索組織，自4月初起在暗網(wǎng)上公開活動，目前已泄露67名受害者。但其中超過65%此前已被其他組織披露，活躍度仍在觀察中。

Qilin - Qilin 也被稱為 Agenda，是一種勒索軟件即服務(wù)（ransomware-as-a-service）犯罪活動，它與其他關(guān)聯(lián)機構(gòu)合作，對被入侵機構(gòu)的數(shù)據(jù)進行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價值機構(gòu)而聞名，尤其側(cè)重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網(wǎng)絡(luò)的訪問權(quán)限并外泄敏感信息。一旦進入，Qilin 通常會在受害者的基礎(chǔ)設(shè)施中橫向移動，尋找要加密的關(guān)鍵數(shù)據(jù)。

移動惡意軟件榜單

Anubis-- Anubis是一種多用途銀行木馬，起源于安卓設(shè)備，目前已發(fā)展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應(yīng)用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠(yuǎn)程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進行廣泛監(jiān)視和控制。  

↑ AhMyth - AhMyth 是一種針對安卓設(shè)備的遠(yuǎn)程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應(yīng)用程序。一旦安裝，它就會獲得大量權(quán)限，在重啟后繼續(xù)運行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動的多功能工具。

↑ Hydra - Hydra 是一種銀行木馬，旨在竊取銀行憑證，每次進入任何銀行應(yīng)用程序時都會要求受害者啟用危險的權(quán)限和訪問。

四月份的數(shù)據(jù)顯示，隱蔽、多階段惡意軟件活動的使用越來越多，并持續(xù)關(guān)注防御能力較低的部門。由于 FakeUpdates 仍是最普遍的威脅，而新的勒索軟件行為者如 SatanLock 又不斷涌現(xiàn)，因此企業(yè)必須優(yōu)先考慮積極主動的分層安全，才能在不斷演變的攻擊中保持領(lǐng)先。

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司（www.checkpoint.com）是數(shù)字信任領(lǐng)域的領(lǐng)先保護者，通過 AI 驅(qū)動的網(wǎng)絡(luò)安全解決方案，保護全球超過 100,000 家組織免受網(wǎng)絡(luò)威脅。Check Point 通過其 Infinity 平臺與開放生態(tài)系統(tǒng)，堅持“預(yù)防為先”的理念，在提升安全效能的同時降低企業(yè)風(fēng)險。依托以 SASE 為核心的混合網(wǎng)格架構(gòu)，Infinity 平臺實現(xiàn)了本地、云端及辦公環(huán)境的統(tǒng)一管理，為企業(yè)及服務(wù)提供商帶來靈活、簡潔、可擴展的網(wǎng)絡(luò)安全能力。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團隊負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關(guān)及各個計算機安全應(yīng)急響應(yīng)組展開合作。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！