FakeUpdates 仍然是最流行的惡意軟件，3 月份的趨勢尤為明顯，其攻擊鏈涉及受感染的網站、惡意 Keitaro TDS 實例以及虛假的瀏覽器更新誘餌，旨在誘騙用戶下載 FakeUpdates 惡意軟件。經過混淆的 JavaScript 加載程序可實現數據泄露、命令執行和持久訪問，從而進一步利用漏洞。這些發現凸顯了網絡犯罪分子使用的攻擊手段日新月異，Dropbox 和 TryCloudflare 等合法平臺越來越多地被利用來逃避檢測并保持持久性。

與此同時，研究人員發現了大規模的Lumma Stealer 網絡釣魚攻擊活動，該活動已感染北美、南歐和亞洲超過 1,150 個組織和 7,000 名用戶。攻擊者在 Webflow 的 CDN 上分發了近 5,000 個惡意 PDF，并使用偽造的驗證碼圖像觸發 PowerShell 執行并部署惡意軟件。利用合法平臺分發惡意軟件的趨勢日益增長，這反映了網絡犯罪分子為逃避檢測而采取的策略的轉變。此外，研究人員還將Lumma Stealer與假冒的Roblox 游戲以及通過劫持YouTube賬戶推廣的木馬盜版Windows Total Commander工具聯系起來。

2025年3月“十惡不赦”

*箭頭表示與上個月相比的排名變化

FakeUpdates是本月最流行的惡意軟件，影響了全球 8% 的組織，其次是Remcos和AgenTesla，影響率為 3%。

1. ? FakeUpdates – Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年被發現。它通過在受感染或惡意網站上進行路過式下載進行傳播，誘使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關，并用于在初始感染后投放各種二次有效載荷。
2. ↑ Remcos – Remcos 是一種遠程訪問木馬 (RAT)，于 2016 年首次被發現，通常在網絡釣魚活動中通過惡意文檔進行傳播。它旨在繞過 Windows 安全機制（例如 UAC），并以提升的權限執行惡意軟件，使其成為威脅行為者的多功能工具。
3. ↑ AgentTesla – AgentTesla 是一種高級 RAT（遠程訪問木馬），可充當鍵盤記錄器和密碼竊取程序。AgentTesla 自 2014 年起活躍，可以監控和收集受害者的鍵盤輸入和系統剪貼板，還可以記錄屏幕截圖并竊取受害者設備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證價格為 15 至 69 美元。
4. ? AsyncRat – AsyncRAT 是一種針對 Windows 系統的遠程訪問木馬 (RAT)，于 2019 年首次被發現。它會將系統信息泄露到命令與控制服務器，并執行下載插件、終止進程、截取屏幕截圖和自我更新等命令。它通常通過網絡釣魚活動進行傳播，用于竊取數據和入侵系統。
5. ↓ Androxgh0st - AndroxGh0st 是一款基于 Python 的惡意軟件，它通過掃描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務的登錄憑據）來攻擊使用 Laravel PHP 框架的應用程序。該惡意軟件利用僵尸網絡識別運行 Laravel 的網站并提取機密數據。一旦獲得訪問權限，攻擊者就可以部署其他惡意軟件、建立后門連接，并利用云資源進行加密貨幣挖礦等活動。
6. ? Formbook – Formbook 于 2016 年首次被發現，是一款主要針對 Windows 系統的信息竊取惡意軟件。該惡意軟件會從各種 Web 瀏覽器竊取憑證、收集屏幕截圖、監視和記錄鍵盤輸入，并可下載和執行其他有效載荷。該惡意軟件通過網絡釣魚活動、惡意電子郵件附件和受感染網站進行傳播，通常偽裝成合法文件。
7. ↑ Phorpiex – Phorpiex，又名 Trik，是一個自 2010 年以來一直活躍的僵尸網絡，主要針對 Windows 系統。在其鼎盛時期，Phorpiex 控制了超過一百萬臺受感染的主機。Phorpiex 因通過垃圾郵件活動傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并參與了大規模的性勒索活動。
8. ↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被發現，是一種惡意軟件即服務 (MaaS) 信息竊取程序，可從受感染的 Windows 系統中竊取敏感數據，包括憑據、加密貨幣錢包和瀏覽器信息。它通過網絡釣魚活動、惡意網站和 ClickFix 方法等社會工程學策略進行傳播，誘騙用戶執行攻擊者提供的 PowerShell 命令。
9. ↓ Rilide - Rilide 是一款惡意瀏覽器擴展程序，主要針對基于 Chromium 的瀏覽器，例如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴展程序，使威脅行為者能夠監控瀏覽歷史記錄、截取屏幕截圖，并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對話框，誘騙用戶泄露雙因素身份驗證 (2FA) 信息，從而促成未經授權的加密貨幣交易。其傳播方式包括惡意的 Microsoft Publisher 文件和推廣虛假軟件安裝程序的欺騙性 Google 廣告。
10. ? Mirai – Mirai 是一種惡意軟件，它會將運行 Linux 的聯網設備（尤其是 IP 攝像頭和家用路由器等物聯網 (IoT) 設備）轉變為遠程控制的僵尸網絡。Mirai 于 2016 年 8 月首次被發現，因策劃了史上規模最大的幾次分布式拒絕服務 (DDoS) 攻擊而惡名遠播，其中包括針對安全記者 Brian Krebs 和 DNS 提供商 Dyn 網站的攻擊。該惡意軟件通過掃描互聯網上仍使用默認出廠登錄憑證的物聯網設備進行傳播，并利用這些憑證獲取控制權。自 2016 年 10 月公開發布其源代碼以來，已出現眾多變種。

頂級勒索軟件組織

這些數據基于勒索軟件“恥辱網站”的洞察。RansomHub是本月最猖獗的勒索軟件組織，占已發布攻擊總數的1.2 % ，其次是Qilin和Akira，影響力均為6%。

1. RansomHub - RansomHub 是一款勒索軟件即服務 (RaaS) 惡意軟件，是之前名為 Knight 的勒索軟件的改名版本。RansomHub 于 2024 年初在地下網絡犯罪論壇中活躍起來，因其針對 Windows、macOS、Linux 以及 VMware ESXi 環境等各種系統的攻擊活動而迅速聲名狼藉。該惡意軟件以采用復雜的加密方法而聞名。
2. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一個勒索軟件即服務 (RaaS) 犯罪組織，它與同伙合作，加密并竊取受感染組織的數據，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發現，采用 Golang 語言開發。Agenda 以針對大型企業和高價值組織而聞名，尤其關注醫療保健和教育行業。麒麟通常通過包含惡意鏈接的網絡釣魚電子郵件滲透受害者，以建立對其網絡的訪問權限并竊取敏感信息。一旦進入受害者的基礎設施，麒麟通常會橫向移動，尋找關鍵數據進行加密。
3. Akira - Akira 勒索軟件于 2023 年初首次報告，主要針對 Windows 和 Linux 系統。它使用 CryptGenRandom() 和 Chacha 2008 對稱加密技術進行文件加密，與已泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點漏洞利用。感染后，它會加密數據并在文件名后附加“.akira”擴展名，然后發出勒索信，要求用戶支付解密費用。

熱門移動惡意軟件

本月，Anubis在最流行的移動惡意軟件中排名^第一，其次是Necro和AhMyth。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設備，并已發展到包含多種高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應用進行傳播，并已成為最流行的移動惡意軟件家族之一。此外，Anubis 還包含遠程訪問木馬 (RAT) 功能，可對受感染系統進行廣泛的監視和控制。
2. ? Necro – Necro 是一款惡意 Android 下載程序，它會根據其創建者的命令，在受感染的設備上檢索并執行有害組件。它已在 Google Play 上的多款熱門應用以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的應用修改版中被發現。Necro 能夠將危險模塊下載到智能手機上，從而允許顯示和點擊隱形廣告、下載可執行文件以及安裝第三方應用等操作。它還可以打開隱藏窗口運行 JavaScript，從而可能誘使用戶訂閱不必要的付費服務。此外，Necro 還可以通過受感染的設備重新路由互聯網流量，將其轉變為網絡犯罪分子代理僵尸網絡的一部分。
3. ? AhMyth – AhMyth 是一款針對 Android 設備的遠程訪問木馬 (RAT)，通常偽裝成屏幕錄像機、游戲或加密貨幣工具等合法應用。安裝后，它會獲得大量權限，在設備重啟后仍能持續存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包詳情、多重身份驗證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風訪問以及短信攔截，使其成為數據盜竊和其他惡意活動的多功能工具。