Check Point研究人员揭示了利用合法程序进行隐蔽的多阶段恶意软件活动
2025年5月,全球领先的AI驱动型云安全平台提供商 Check Point 软件技术有限公司发布了2025年4月全球威胁指数。FAkeupdates仍然是本月最流行的恶意软件,影响了全球6%的企业与机构,紧随其后的是ReMcos和AgentTesla。
在本月,研究人员发现了一个复杂的多阶段恶意软件活动,其中包括AgentTesla、ReMcos和XloadeR(FoRMBook的进化版)。攻击从伪装成订单确认的钓鱼邮件开始,诱使受害者打开恶意7-ZIP压缩包。该压缩包包含一个JScRIPt Encoded (.JSE)文件,可启动Base64编码的PoweRShell脚本,执行第二阶段的.NET或基于AutoIT的可执行文件。最终的恶意软件会被注入合法的Windows进程,如RegASM.exe或RegSvcs.exe,从而大大提高了隐蔽性和逃避检测的能力。
这一发现凸显了当前网络犯罪的一个重要趋势:常见恶意软件与高级攻击技术融合。曾经以低价在暗网出售的工具如AgentTesla与ReMcos,如今已被整合进复杂的攻击链中。
Check Point软件公司威胁情报总监LoteM FinkelstEIN评论表示:“最新的攻击活动体现了网络威胁日益增长的复杂性。攻击者正在将编码脚本、合法进程和模糊的执行链层层叠加,以便不被发现。过去被视为‘低级’的恶意软件,如今正在被广泛应用于高度复杂的攻击行动中。企业必须采取‘预防优先’策略,整合实时威胁情报、人工智能与行为分析技术来应对不断演化的威胁。”
顶级恶意软件家族
FAkeupdates – FAkeupdates(又名SocGholish)是一款下载恶意软件,最初发现于2018年。它通过“下载即感染”的方式传播,诱导用户安装虚假浏览器更新。FAkeupdates恶意软件与黑客组织Evil CoRp有关,通常用于在首次感染后投递更多恶意负载。(影响率:6%)
ReMcos – ReMcos是一种远程访问木马(RAT),首次发现于2016年,通常通过网络钓鱼活动中的恶意文档传播。其设计目的是绕过Windows安全机制,以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。(影响率:3%)
AgentTesla – AgentTesla是一款高级RAT(远程访问木马),具有键盘记录和密码窃取功能。AgentTesla自2014年开始活跃,它可以监控并收集受害者的键盘输入和系统剪贴板,还可以记录截图并窃取受害者设备上安装的软件的输入凭证。AgentTesla被公开作为合法工具在线出售,客户需要为许可证支付15 – 69美元(影响率:3%)。
2025年四月勒索软件组织榜单
AkiRa – AkiRa勒索软件于2023年初首次被披露,目标是Windows和Linux系统。它使用CRyptGenRandom()和Chacha 2008对文件进行对称加密,与泄露的Conti v2勒索软件类似。AkiRa通过多种途径传播,包括受感染的电子邮件附件和VPN端点漏洞。感染后,它会对数据进行加密,并在文件名后添加”.akiRa”扩展名,展示赎金条,要求支付解密费用。
SatanLock – SatanLock是一种新近活跃的勒索组织,自4月初起在暗网上公开活动,目前已泄露67名受害者,但其中超过65%此前已被其他组织披露,活跃度仍在观察中。
Qilin – Qilin也被称为Agenda,是一种勒索软件即服务(Ransomware-as-a-service)犯罪活动,主要通过包含恶意链接的钓鱼邮件渗透受害者,以建立对其网络的访问权限并外泄敏感信息。一旦进入,Qilin通常会在受害者的基础设施中横向移动,寻找要加密的关键数据。
移动恶意软件榜单
AnuBIs – AnuBIs是一种多用途银行木马,起源于安卓设备,目前已发展出多种高级功能,如通过拦截基于短信的一次性密码(OTP)绕过多因素身份验证(MFA)、键盘记录、录音和勒索软件功能。它通常通过Google Play Store上的恶意应用程序传播,已成为最流行的移动恶意软件系列之一。
AHMyth – AHMyth是一种针对安卓设备的远程访问木马(RAT),通常伪装成屏幕记录器、游戏或加密货币工具等合法应用程序。它获得大量权限后继续运行,并外泄敏感信息。
HydRa – HydRa是一种银行木马,旨在窃取银行凭证,每次进入任何银行应用程序时都会要求受害者启用危险的权限和访问。
四月份的数据表明,隐蔽、多阶段恶意软件活动的使用越来越多,并持续关注防御能力较低的部门。由于FAkeupdates仍是最普遍的威胁,而新的勒索软件行为者如SatanLock又不断涌现,因此企业必须优先考虑积极主动的分层安全,以在不断演变的攻击中保持领先。
关于Check Point软件技术有限公司
Check Point软件技术有限公司是数字信任领域的领先保护者,通过AI驱动的网络安全解决方案,保护全球超过100,000家组织免受网络威胁。Check Point通过其InfinITy平台与开放生态系统,坚守“预防为先”的理念,在提升安全效能的同时降低企业风险。
关于Check Point ReSeaRch
Check Point ReSeaRch能够为Check Point SoftwaRe客户提供领先的网络威胁情报。该团队负责收集和分析全球网络攻击数据,以确保所有Check Point产品享有最新保护措施。此外,该团队由100多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
