FakeUpdates 继续助长勒索软件攻击,网络犯罪分子利用 AI 技术来增强其攻击能力
2025 年 2 月, 网络安全解决方案先驱者和全球领导者 Check Point 软件技术有限公司发布了其 2025 年 1 月《全球威胁指数》报告,其中特别指出 FakeUpdates 仍是重大网络安全威胁,在勒索软件攻击中发挥着关键作用。
安全研究人员最近开展的一项调查研究显示,RansomHub 的成员团伙利用基于 Python 的后门来保持持续访问,并跨不同网络部署勒索软件。该后门在 FakeUpdates 获得初始访问权限后快速安装,采用了先进的混淆技术和 AI 辅助编码模式。攻击会通过远程桌面协议 (RDP) 进行横向移动,并通过创建计划任务来建立持续访问。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“AI 正在改变网络威胁形势,网络犯罪分子纷纷快速升级其攻击手段,利用 AI 来自动执行和扩展攻击策略并增强攻击能力。为了有效地应对这些威胁,企业不能再仅限于实施传统防御机制,必须采用主动式自适应 AI 安全防护措施,以始终领先新兴威胁一步。”
头号恶意软件家族
箭头表示与上月相比的排名变化。
1. FakeUpdates – FakeUpdates(又名 SocGholish)是一种下载程序恶意软件,于 2018 年首次现身。它通过受感染网站或恶意网站上的偷渡式下载进行传播,引导用户安装虚拟的浏览器更新。FakeUpdates 恶意软件与俄罗斯黑客团伙 Evil Corp 有关,用于在初始感染后发送辅助有效载荷。
2. ↑ Formbook – Formbook 于 2016 年首次被发现,是一种主要针对 Windows 系统的信息窃取恶意软件。该恶意软件可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数,并下载和执行其他有效载荷。它通过网络钓鱼攻击活动、恶意电子邮件附件和受感染的网站进行传播,通常伪装成合法文件。
3. ↑ Remcos - Remcos 是一种远程访问木马 (RAT),于 2016 年首次现身。它通常通过网络钓鱼攻击活动中的恶意文件传播,不仅可以绕过 UAC 等 Windows 安全防护机制,而且还能以最高权限执行恶意软件,堪称攻击者的“万金油”。
主要移动恶意软件
1. Anubis – Anubis 是一种最早专为 Android 设备设计的多功能银行木马,具有多重身份验证 (MFA) 绕过、键盘记录、录音和勒索软件等多种功能。
2. ↑ AhMyth – AhMyth 是一种针对 Android 设备的远程访问木马 (RAT),通常伪装成合法应用。它会窃取广泛的权限,从而泄露银行凭证和 MFA 代码等敏感信息。
3. ↓ Necro – Necro 是一种恶意 Android 下载程序,可根据其创建者的命令检索和执行恶意插件。
主要勒索软件团伙
根据来自勒索软件“羞辱网站”的数据,Clop 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 10%,其次是 FunkSec 和 RansomHub,分别占 8% 和 7%。
1. Clop - Clop 是一种勒索软件病毒,自 2019 年以来一直活跃至今,攻击范围覆盖全球。它采用双重勒索手段,威胁称若不支付赎金,就泄露被盗数据。
2. FunkSec – FunkSec 是一个新兴的勒索软件团伙,于 2024 年 12 月崭露头角。在其数据泄漏网站中,勒索软件事件和数据泄露事件兼有。
3. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,据称是 Knight 勒索软件的翻版。它因其针对 Windows、macOS、Linux 和 VMware ESXi 环境的破坏性攻击活动而臭名昭著。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。