网络犯罪分子正在加大攻击力度。本月，研究人员发现一个复杂的多阶段恶意软件攻击活动，该活动通过旨在逃避检测的隐秘技术传播了一些最流行的商业恶意软件——AgentTesla、Remcos 和 XLoader。与此同时，FakeUpdates 仍位居恶意软件排行榜榜首，影响了全球 6% 的组织，教育行业仍然是最受攻击的行业。

复杂的攻击链逃避检测

今年 4 月，研究人员发现攻击者使用伪装成订单确认邮件的网络钓鱼邮件来发起复杂的感染链。这些邮件包含一个恶意的 7-Zip 压缩包，其中包含一个 Jscript 编码 (.JSE) 文件，该文件会执行 Base64 编码的 PowerShell 有效载荷。这会植入一个用 .NET 或 AutoIt 编写的第二阶段可执行文件，然后将最终的有效载荷注入到合法的 Windows 进程（例如 RegAsm.exe 或 RegSvcs.exe）中。

此次攻击活动中使用的恶意软件家族——AgentTesla、Remcos 和 XLoader——长期以来一直被低级别网络犯罪分子所利用。但它们在高度混淆的分层攻击中的使用，标志着一种危险的现象：普通工具与高级威胁行为者策略的融合。

此次最新活动凸显了网络威胁日益复杂的现状。攻击者正在层层叠加编码脚本、合法进程和隐蔽的执行链，以保持不被发现。曾经被认为是低级恶意软件的攻击如今已被高级行动武器化。。

2025年4月“十恶不赦”

*箭头表示与上个月相比的排名变化

箭头表示与上个月相比排名的变化。

1. ↔ FakeUpdates – Fakeupdates（又名 SocGholish）是一种下载器恶意软件，最初于 2018 年被发现。它通过在受感染或恶意网站上进行路过式下载进行传播，诱使用户安装虚假的浏览器更新。Fakeupdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关，并用于在初始感染后投放各种二次有效载荷。
2. ↔ Remcos – Remcos 是一种远程访问木马 (RAT)，于 2016 年首次被发现，通常在网络钓鱼活动中通过恶意文档进行传播。它旨在绕过 UAC 等 Windows 安全机制，并以提升的权限执行恶意软件，使其成为威胁行为者的多功能工具。
3. ↔ AgentTesla – AgentTesla 是一款高级 RAT（远程访问木马），可充当键盘记录器和密码窃取器。AgentTesla 自 2014 年起活跃，可以监控和收集受害者的键盘输入和系统剪贴板，还可以记录屏幕截图并窃取受害者设备上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的登录凭证。AgentTesla 公开作为合法 RAT 出售，用户许可证价格为 15 至 69 美元。
4. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的恶意软件，它通过扫描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据）来攻击使用 Laravel PHP 框架的应用程序。它利用僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限，攻击者就可以部署其他恶意软件、建立后门连接，并利用云资源进行加密货币挖矿等活动。
5. ↓ AsyncRat - AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT)，于 2019 年首次被发现。它会将系统信息泄露到命令与控制服务器，并执行下载插件、终止进程、截取屏幕截图和自我更新等命令。它通常通过网络钓鱼活动进行传播，用于窃取数据和入侵系统。
6. ↔ Formbook – Formbook 于 2016 年首次被发现，是一款主要针对 Windows 系统的信息窃取恶意软件。该恶意软件会从各种 Web 浏览器窃取凭证、收集屏幕截图、监视和记录键盘输入，并可下载和执行其他有效载荷。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染网站进行传播，通常伪装成合法文件。
7. ↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被发现，是一种恶意软件即服务 (MaaS) 信息窃取程序，可从受感染的 Windows 系统中窃取敏感数据，包括凭据、加密货币钱包和浏览器信息。它通过网络钓鱼活动、恶意网站和 ClickFix 方法等社会工程学策略进行传播，诱骗用户执行攻击者提供的 PowerShell 命令。
8. ↓ Phorpiex – Phorpiex，又名 Trik，是一个至少自 2010 年以来一直活跃的僵尸网络，主要针对 Windows 系统。在巅峰时期，Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件家族（包括勒索软件和加密货币挖矿程序）而臭名昭著，并且参与了大规模的性勒索活动。
9. ↑ Amadey – Amadey 是一个模块化僵尸网络，出现于 2018 年，主要针对 Windows 系统。它既是信息窃取者，又是恶意软件加载器，能够进行侦察、数据泄露，并部署其他有效载荷，包括银行木马和 DDoS 工具。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包、网络钓鱼电子邮件以及 SmokeLoader 等其他恶意软件进行传播。
10. ↑ Raspberry Robin – RaspberryRobin 是一种蠕虫病毒，于 2021 年 9 月首次出现。它主要通过受感染的 USB 驱动器传播，并以其复杂的技术来逃避检测并在受感染的系统上建立持久性而闻名。一旦系统被感染，Raspberry Robin 便可以协助下载和执行其他恶意负载。

顶级勒索软件组织

四月还出现了新的勒索软件运营商，其中最引人注目的是SatanLock。尽管该组织最近才出现，但在短短几周内就在其泄密网站上发布了67名受害者的信息。值得注意的是，超过65%的受害者信息已被其他勒索软件组织列出，这表明这些组织要么共享基础设施，要么蓄意“夺回”被入侵的网络。这种行为凸显了勒索软件生态系统日益激烈的竞争和混乱，受害者信息重复发布正成为机会主义攻击者的常用手段。

数据基于对双重勒索软件组织运营的勒索软件“耻辱网站”的洞察。Akira是本月最猖獗的勒索软件组织，占已发布攻击总数的 11%，其次是 SatanLock 和 Qilin，各占 10%。

1. Akira - Akira 勒索软件于 2023 年初首次报告，主要针对 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 对称加密技术进行文件加密，与已泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播，包括感染电子邮件附件和 VPN 端点漏洞利用。感染后，它会加密数据并在文件名后附加“.akira”扩展名，然后发出勒索信，要求用户支付解密费用。
2. 撒旦锁（SatanLock） ——撒旦锁是一个自4月初开始公开活动的新组织。它已公布了67名受害者，但与许多其他新攻击者一样，其中超过65%的受害者此前已被其他攻击者举报。
3. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一个勒索软件即服务 (RaaS) 犯罪组织，它与同伙合作，加密并窃取受感染组织的数据，随后索要赎金。该勒索软件变种于 2022 年 7 月首次被发现，采用 Golang 语言开发。Agenda 以针对大型企业和高价值组织而闻名，尤其关注医疗保健和教育行业。麒麟通常通过包含恶意链接的网络钓鱼电子邮件渗透受害者，以建立对其网络的访问权限并窃取敏感信息。一旦进入受害者的基础设施，麒麟通常会横向移动，寻找关键数据进行加密。

热门移动恶意软件

移动恶意软件威胁持续演变，Anubis、AhMyth 和 Hydra 位居本月榜首。这些木马病毒的功能显著扩展，Anubis 提供全面的远程访问功能、勒索软件功能以及通过短信拦截 MFA 代码的能力。AhMyth 和 Hydra 也凸显了一个日益增长的趋势：攻击者越来越多地将恶意软件嵌入看似合法的应用程序中，从生产力工具到加密钱包，这些应用程序通过非官方应用商店分发，有时甚至会绕过应用商店的审核。随着智能手机在敏感交易和工作场所访问中的使用日益增多，移动恶意软件已不再是边缘威胁，而是当今网络犯罪工具的核心。

1. ↔ Anubis – Anubis 是一种多功能银行木马，起源于 Android 设备，并已发展到包含多种高级功能，例如通过拦截基于短信的一次性密码 (OTP) 绕过多因素身份验证 (MFA)、键盘记录、录音以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行传播，并已成为最流行的移动恶意软件家族之一。此外，Anubis 还包含远程访问木马 (RAT) 功能，可对受感染系统进行广泛的监视和控制。
2. ↑ AhMyth – AhMyth 是一种针对 Android 设备的远程访问木马 (RAT)，通常伪装成屏幕录像机、游戏或加密货币工具等合法应用程序。安装后，它会获得大量权限，在设备重启后仍能持续存在，并窃取敏感信息，例如银行凭证、加密货币钱包详细信息、多重身份验证 (MFA) 代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截，使其成为数据窃取和其他恶意活动的多功能工具。
3. ↑ Hydra – Hydra 是一种银行木马，旨在通过在每次连接任何银行应用程序时请求受害者启用危险权限和访问权限来窃取银行凭证。

最易受攻击的行业

教育行业连续第三个月荣登全球受攻击最严重的行业榜首。该行业持续高居榜首凸显了一个令人担忧的趋势：学校、大学和研究机构之所以成为重度攻击目标，不仅是因为其拥有广泛的用户群，还因为其普遍较弱的网络安全基础设施和分布式IT环境。威胁行为者持续利用这种复杂性来传播勒索软件、窃取敏感数据或发起网络钓鱼活动。政府和电信行业紧随其后，这表明关键基础设施和公共服务仍然是网络犯罪分子的高价值目标，尤其是在地缘政治紧张或数字化转型快速推进的地区。