網絡犯罪分子正在加大攻擊力度。本月，研究人員發現一個復雜的多階段惡意軟件攻擊活動，該活動通過旨在逃避檢測的隱秘技術傳播了一些最流行的商業惡意軟件——AgentTesla、Remcos 和 XLoader。與此同時，FakeUpdates 仍位居惡意軟件排行榜榜首，影響了全球 6% 的組織，教育行業仍然是最受攻擊的行業。

復雜的攻擊鏈逃避檢測

今年 4 月，研究人員發現攻擊者使用偽裝成訂單確認郵件的網絡釣魚郵件來發起復雜的感染鏈。這些郵件包含一個惡意的 7-Zip 壓縮包，其中包含一個 Jscript 編碼 (.JSE) 文件，該文件會執行 Base64 編碼的 PowerShell 有效載荷。這會植入一個用 .NET 或 AutoIt 編寫的第二階段可執行文件，然后將最終的有效載荷注入到合法的 Windows 進程（例如 RegAsm.exe 或 RegSvcs.exe）中。

此次攻擊活動中使用的惡意軟件家族——AgentTesla、Remcos 和 XLoader——長期以來一直被低級別網絡犯罪分子所利用。但它們在高度混淆的分層攻擊中的使用，標志著一種危險的現象：普通工具與高級威脅行為者策略的融合。

此次最新活動凸顯了網絡威脅日益復雜的現狀。攻擊者正在層層疊加編碼腳本、合法進程和隱蔽的執行鏈，以保持不被發現。曾經被認為是低級惡意軟件的攻擊如今已被高級行動武器化。。

2025年4月“十惡不赦”

*箭頭表示與上個月相比的排名變化

箭頭表示與上個月相比排名的變化。

1. ? FakeUpdates – Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年被發現。它通過在受感染或惡意網站上進行路過式下載進行傳播，誘使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關，并用于在初始感染后投放各種二次有效載荷。
2. ? Remcos – Remcos 是一種遠程訪問木馬 (RAT)，于 2016 年首次被發現，通常在網絡釣魚活動中通過惡意文檔進行傳播。它旨在繞過 UAC 等 Windows 安全機制，并以提升的權限執行惡意軟件，使其成為威脅行為者的多功能工具。
3. ? AgentTesla – AgentTesla 是一款高級 RAT（遠程訪問木馬），可充當鍵盤記錄器和密碼竊取器。AgentTesla 自 2014 年起活躍，可以監控和收集受害者的鍵盤輸入和系統剪貼板，還可以記錄屏幕截圖并竊取受害者設備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證價格為 15 至 69 美元。
4. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的惡意軟件，它通過掃描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務的登錄憑據）來攻擊使用 Laravel PHP 框架的應用程序。它利用僵尸網絡識別運行 Laravel 的網站并提取機密數據。一旦獲得訪問權限，攻擊者就可以部署其他惡意軟件、建立后門連接，并利用云資源進行加密貨幣挖礦等活動。
5. ↓ AsyncRat - AsyncRAT 是一種針對 Windows 系統的遠程訪問木馬 (RAT)，于 2019 年首次被發現。它會將系統信息泄露到命令與控制服務器，并執行下載插件、終止進程、截取屏幕截圖和自我更新等命令。它通常通過網絡釣魚活動進行傳播，用于竊取數據和入侵系統。
6. ? Formbook – Formbook 于 2016 年首次被發現，是一款主要針對 Windows 系統的信息竊取惡意軟件。該惡意軟件會從各種 Web 瀏覽器竊取憑證、收集屏幕截圖、監視和記錄鍵盤輸入，并可下載和執行其他有效載荷。該惡意軟件通過網絡釣魚活動、惡意電子郵件附件和受感染網站進行傳播，通常偽裝成合法文件。
7. ↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被發現，是一種惡意軟件即服務 (MaaS) 信息竊取程序，可從受感染的 Windows 系統中竊取敏感數據，包括憑據、加密貨幣錢包和瀏覽器信息。它通過網絡釣魚活動、惡意網站和 ClickFix 方法等社會工程學策略進行傳播，誘騙用戶執行攻擊者提供的 PowerShell 命令。
8. ↓ Phorpiex – Phorpiex，又名 Trik，是一個至少自 2010 年以來一直活躍的僵尸網絡，主要針對 Windows 系統。在巔峰時期，Phorpiex 控制了超過一百萬臺受感染的主機。Phorpiex 因通過垃圾郵件活動傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并且參與了大規模的性勒索活動。
9. ↑ Amadey – Amadey 是一個模塊化僵尸網絡，出現于 2018 年，主要針對 Windows 系統。它既是信息竊取者，又是惡意軟件加載器，能夠進行偵察、數據泄露，并部署其他有效載荷，包括銀行木馬和 DDoS 工具。Amadey 主要通過 RigEK 和 Fallout EK 等漏洞利用工具包、網絡釣魚電子郵件以及 SmokeLoader 等其他惡意軟件進行傳播。
10. ↑ Raspberry Robin – RaspberryRobin 是一種蠕蟲病毒，于 2021 年 9 月首次出現。它主要通過受感染的 USB 驅動器傳播，并以其復雜的技術來逃避檢測并在受感染的系統上建立持久性而聞名。一旦系統被感染，Raspberry Robin 便可以協助下載和執行其他惡意負載。

頂級勒索軟件組織

四月還出現了新的勒索軟件運營商，其中最引人注目的是SatanLock。盡管該組織最近才出現，但在短短幾周內就在其泄密網站上發布了67名受害者的信息。值得注意的是，超過65%的受害者信息已被其他勒索軟件組織列出，這表明這些組織要么共享基礎設施，要么蓄意“奪回”被入侵的網絡。這種行為凸顯了勒索軟件生態系統日益激烈的競爭和混亂，受害者信息重復發布正成為機會主義攻擊者的常用手段。

數據基于對雙重勒索軟件組織運營的勒索軟件“恥辱網站”的洞察。Akira是本月最猖獗的勒索軟件組織，占已發布攻擊總數的 11%，其次是 SatanLock 和 Qilin，各占 10%。

1. Akira - Akira 勒索軟件于 2023 年初首次報告，主要針對 Windows 和 Linux 系統。它使用 CryptGenRandom() 和 Chacha 2008 對稱加密技術進行文件加密，與已泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點漏洞利用。感染后，它會加密數據并在文件名后附加“.akira”擴展名，然后發出勒索信，要求用戶支付解密費用。
2. 撒旦鎖（SatanLock） ——撒旦鎖是一個自4月初開始公開活動的新組織。它已公布了67名受害者，但與許多其他新攻擊者一樣，其中超過65%的受害者此前已被其他攻擊者舉報。
3. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一個勒索軟件即服務 (RaaS) 犯罪組織，它與同伙合作，加密并竊取受感染組織的數據，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發現，采用 Golang 語言開發。Agenda 以針對大型企業和高價值組織而聞名，尤其關注醫療保健和教育行業。麒麟通常通過包含惡意鏈接的網絡釣魚電子郵件滲透受害者，以建立對其網絡的訪問權限并竊取敏感信息。一旦進入受害者的基礎設施，麒麟通常會橫向移動，尋找關鍵數據進行加密。

熱門移動惡意軟件

移動惡意軟件威脅持續演變，Anubis、AhMyth 和 Hydra 位居本月榜首。這些木馬病毒的功能顯著擴展，Anubis 提供全面的遠程訪問功能、勒索軟件功能以及通過短信攔截 MFA 代碼的能力。AhMyth 和 Hydra 也凸顯了一個日益增長的趨勢：攻擊者越來越多地將惡意軟件嵌入看似合法的應用程序中，從生產力工具到加密錢包，這些應用程序通過非官方應用商店分發，有時甚至會繞過應用商店的審核。隨著智能手機在敏感交易和工作場所訪問中的使用日益增多，移動惡意軟件已不再是邊緣威脅，而是當今網絡犯罪工具的核心。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設備，并已發展到包含多種高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應用進行傳播，并已成為最流行的移動惡意軟件家族之一。此外，Anubis 還包含遠程訪問木馬 (RAT) 功能，可對受感染系統進行廣泛的監視和控制。
2. ↑ AhMyth – AhMyth 是一種針對 Android 設備的遠程訪問木馬 (RAT)，通常偽裝成屏幕錄像機、游戲或加密貨幣工具等合法應用程序。安裝后，它會獲得大量權限，在設備重啟后仍能持續存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包詳細信息、多重身份驗證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，使其成為數據竊取和其他惡意活動的多功能工具。
3. ↑ Hydra – Hydra 是一種銀行木馬，旨在通過在每次連接任何銀行應用程序時請求受害者啟用危險權限和訪問權限來竊取銀行憑證。

最易受攻擊的行業

教育行業連續第三個月榮登全球受攻擊最嚴重的行業榜首。該行業持續高居榜首凸顯了一個令人擔憂的趨勢：學校、大學和研究機構之所以成為重度攻擊目標，不僅是因為其擁有廣泛的用戶群，還因為其普遍較弱的網絡安全基礎設施和分布式IT環境。威脅行為者持續利用這種復雜性來傳播勒索軟件、竊取敏感數據或發起網絡釣魚活動。政府和電信行業緊隨其后，這表明關鍵基礎設施和公共服務仍然是網絡犯罪分子的高價值目標，尤其是在地緣政治緊張或數字化轉型快速推進的地區。