AsyncRAT 威胁日益严峻,网络犯罪分子继续利用合法平台逃避检测并持久部署恶意软件
2025 年 3 月,网络安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2025 年 2 月《全球威胁指数》报告,其中特别指出远程访问木马 AsyncRAT 风头渐起,并不断演变,对网络安全构成严重威胁。
安全研究人员发现,AsyncRAT 正被运用于愈加复杂的攻击活动,通过 TryCloudflare 和 Dropbox 等平台传播恶意软件。这表明越来越多的网络犯罪分子利用合法平台绕过安全防御系统,确保持久驻留于目标网络中。这些攻击往往先发送网络钓鱼电子邮件,其中包含 Dropbox URL,点击后会触发涉及 LNK、JavaScript 和 BAT 文件的多步骤感染流程。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“网络犯罪分子正利用合法平台部署恶意软件并逃避检测。各机构必须保持警惕,并实施主动安全防护措施,以缓解此类不断演变的威胁所带来的风险。”
头号恶意软件家族
箭头表示与上月相比的排名变化。FakeUpdates 是 2 月份最猖獗的恶意软件,紧随其后的是 Androxgh0st 和 Remcos,分别影响了全球 3% 的机构与企业。
1. FakeUpdates – FakeUpdates(又名 SocGholish)仍然位居榜首,它通过受感染网站或恶意网站上的偷渡式下载发送辅助有效载荷。
2. ↑ Androxgh0st – Androxgh0st 是一种针对 Laravel 应用的 Python 恶意软件,目前排名跃升。它会扫描暴露的 .env 文件,然后窃取其中所含的登录凭证等敏感信息。在获得访问权限后,网络犯罪分子便可部署更多恶意软件,并盗用云资源。
3. Remcos – 远程访问木马 (RAT) Remcos 仍是一种流行的恶意软件,常被用于网络钓鱼攻击活动。它能够绕过用户账户控制 (UAC) 等安全防护机制,堪称网络犯罪分子的“万金油”。
4. ↑ AsyncRAT - AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT),于 2019 年首次被发现。它会将系统信息泄露到命令与控制服务器,并可执行各种命令,例如下载插件、终止进程、截取屏幕截图和进行自我更新。AsyncRAT 通常通过网络钓鱼攻击活动传播,用于数据窃取和系统入侵。
5. ↑ AgentTesla - AgentTesla 是一种高级 RAT(远程访问木马),常被用作键盘记录器和密码窃取程序。它自 2014 年以来一直活跃至今,不仅能够监控和收集受害者的键盘输入与系统剪贴板,而且还可以记录截图和窃取为受害者设备上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)输入的证书。AgentTesla 作为合法 RAT 公开出售,客户只需支付 15-69 美元即可获得用户许可。
主要移动恶意软件
1. Anubis – Anubis 不仅仍是头号移动恶意软件,而且还是一种危害严重的银行木马,具有多重身份验证 (MFA) 绕过、键盘记录和勒索软件等多种功能。
2. ↑ Necro – Necro 是一种恶意 Android 下载程序,目前排名有所上升。它允许网络犯罪分子根据其创建者的命令执行恶意组件,从而在受感染设备上进行一系列恶意操作。
3. ↓ AhMyth – AhMyth 是一种针对 Android 设备的远程访问木马 (RAT),其肆虐程度略有下降。由于它能够窃取银行凭证和 MFA 代码等敏感信息,因此仍是一个重大威胁。
全球首当其冲的行业
1. 教育
2. 电信
3. 政府
主要勒索软件团伙
上月,Clop 仍是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 35%。其次是 RansomHub 和 Akira。
1. Clop – Clop 仍是主要的勒索软件团伙,利用双重勒索手段威胁受害者,若不支付赎金,就对外公布被盗数据。
2. RansomHub – RansomHub 采用典型的勒索软件即服务 (RaaS) 操作,据称是 Knight 勒索软件的翻版。它因其针对各种系统(包括 Windows、macOS 和 Linux)发起的大规模复杂攻击活动而臭名昭著。
3. Akira – Akira 是新兴勒索软件团伙,主要瞄准 Windows 和 Linux 系统发起攻击。该团伙涉及多起网络钓鱼攻击活动和 VPN 端点漏洞利用,对受害者构成严重威胁。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。