網絡犯罪分子利用 FakeUpdates 和 RansomHub 作為主要工具擴大攻擊面

2025年4月-網絡安全解決方案先驅者和全球領導者 Check Point? 軟件技術有限公司發布了其 2025 年 23月《全球威脅指數》報告，突出顯示了FakeUpdates下載惡意軟件的持續主導地位，它仍然是全球最普遍的網絡威脅。

本月，研究人員發現了一種新的入侵活動，它傳播最流行的惡意軟件 FakeUpdates，并導致 RansomHub 勒索軟件攻擊。FakeUpdates 仍然是最流行的惡意軟件，3 月份有一個明顯的趨勢，即攻擊鏈涉及受攻擊網站、不法Keitaro TDS 實例和虛假瀏覽器更新誘餌，誘騙用戶下載 FakeUpdates 惡意軟件。經過混淆的 JavaScript 加載器可實現數據外滲、命令執行和持續訪問，以便不法分子的進一步利用。這些發現凸顯了網絡犯罪分子所采用的戰術在不斷演變，Dropbox 和 TryCloudflare 等合法平臺越來越多地被利用來逃避檢測并保持持久性。

與此同時，研究人員發現了大規模的 Lumma Stealer 網絡釣魚活動，入侵了北美、南歐和亞洲的 1,150 多個機構和 7,000 多名用戶。攻擊者分發了近 5,000 份托管在 Webflow CDN 上的惡意 PDF文件，利用偽造的驗證碼圖像觸發 PowerShell 執行并部署惡意軟件。利用合法平臺分發惡意軟件的趨勢日益明顯，這反映了網絡犯罪策略的轉變，其目的是逃避檢測。此外，研究人員還將 Lumma Stealer 與假冒的 Roblox 游戲 和通過劫持的 YouTube 賬戶推廣的木馬盜版 Windows Total Commander 工具聯系起來。

Check Point軟件公司研究副總裁Maya Horowitz評論說："網絡犯罪分子不斷調整策略，越來越多地依賴合法平臺來傳播惡意軟件和逃避檢測。企業必須保持警惕，實施積極主動的安全措施，以降低這些不斷變化的威脅所帶來的風險。

頭號惡意軟件家族

*箭頭表示與上月相比排名的變化。

FakeUpdates 是本月最流行的惡意軟件，對全球機構的影響達 8%，其次是 Remcos 和 AgenTesla，影響均為 3%。

FakeUpdates - Fakeupdates（又名 SocGholish）是一種下載惡意軟件，最初發現于 2018 年。它通過在受攻擊或惡意網站上的偷渡式下載進行傳播，促使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關，用于在初次感染后發送各種二次有效載荷。?????????

↑ Remcos - Remcos 是一種遠程訪問木馬（RAT），首次發現于 2016 年，通常通過網絡釣魚活動中的惡意文檔傳播。其設計目的是繞過 UAC 等 Windows 安全機制，并以提升的權限執行惡意軟件，使其成為威脅行為者的多功能工具。????????

↑ AgentTesla - AgentTesla 是一種高級 RAT（遠程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla 自 2014 年開始活躍，它可以監控和收集受害者的鍵盤輸入和系統剪貼板，還可以記錄屏幕截圖，并竊取受害者機器上安裝的各種軟件（包括谷歌瀏覽器、火狐瀏覽器和微軟 Outlook 電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法的 RAT 出售，用戶需支付 15 至 69 美元的用戶許可證費用。?????????

頭號勒索軟件

基于勒索軟件 "恥辱網站 "的數據分析得出。RansomHub 是本月最流行的勒索軟件群組，占已發布攻擊的 12%，其次是 Qilin 和 Akira，影響范圍均為 6%。

RansomHub - RansomHub 以 "勒索軟件即服務"（Ransomware-as-a-Service，RaaS）形式推出，是之前已知的 "騎士 "勒索軟件的改版。RansomHub 于 2024 年初出現在地下網絡犯罪論壇的顯著位置，因其針對各種系統（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環境）的侵略性活動而迅速聲名狼藉。該惡意軟件以采用復雜的加密方法而聞名。

Qilin - Qilin 也被稱為 Agenda，同樣以勒索軟件即服務（ransomware-as-a-service）形式推出，它與附屬機構合作，對被入侵機構的數據進行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發現，采用 Golang 語言開發。Agenda 以針對大型企業和高價值機構而聞名，尤其側重于醫療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對其網絡的訪問權限并外泄敏感信息。一旦進入，Qilin 通常會在受害者的基礎設施中橫向移動，尋找要加密的關鍵數據。

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標是 Windows 和 Linux 系統。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會對數據進行加密，并在文件名后添加".akira "擴展名，然后出示贖金條，要求支付解密費用。

頂級移動惡意軟件

本月，Anubis 在最流行的移動惡意軟件中排名第一，其次是 Necro 和 AhMyth。

Anubis -- Anubis是一種多用途銀行木馬，起源于安卓設備，目前已發展出多種高級功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應用程序傳播，已成為最流行的移動惡意軟件系列之一。此外，Anubis 還具有遠程訪問木馬 (RAT) 功能，可對受感染系統進行廣泛監視和控制。??

Necro - Necro 是一款惡意安卓下載程序，它會根據創建者的命令在受感染設備上檢索和執行有害組件。它已被發現在 Google Play 上的多個流行應用程序，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的修改版應用程序。Necro 能夠將危險模塊下載到智能 手機 上，實現顯示和點擊隱形廣告、下載可執行文件和安裝第三方應用程序等操作。它還能打開隱藏窗口運行 JavaScript，可能會讓用戶訂閱不需要的付費服務。此外，Necro 還能通過被入侵的設備重新路由 互聯網 流量，使其成為網絡犯罪分子代理僵尸網絡的一部分。

AhMyth - AhMyth 是一種針對安卓設備的遠程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應用程序。一旦安裝，它就會獲得大量權限，在重啟后繼續運行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，是一款用于數據竊取和其他惡意活動的多功能工具。? ? ? ??