Check Point研讨人员提醒了利用合法程序进行荫蔽的多阶段歹意软件活动
2025年5月，全球抢先的AI驱动型云安全渠道供给商 Check Point® 软件技能有限公司（纳斯达克股票代码：CHKP）发布了2025年4月全球要挟指数。FakeUpdates仍然是本月最盛行的歹意软件，影响了全球6%的企业与组织，紧随其后的是Remcos和AgentTesla。
在本月，研讨人员发现了一个复杂的多阶段歹意软件活动，其间包含 AgentTesla、Remcos 和 Xloader（FormBook 的进化版）。进犯从伪装成订单承认的垂钓邮件开端，诱使受害者打开歹意 7-Zip 压缩包。该压缩包包含一个 JScript Encoded (.JSE) 文件，可发动 Base64 编码的 PowerShell 脚本，履行第二阶段的 .NET 或基于 AutoIt 的可履行文件。最终的歹意软件会被注入合法的 Windows 进程，如 RegAsm.exe 或 RegSvcs.exe，从而大大提高了荫蔽性和躲避检测的才能。
这一发现凸显了当时网络违法的一个重要趋势：常见歹意软件与高档进犯技能融合。从前以贱价在暗网出售的东西如AgentTesla与Remcos，现在已被整合进复杂的进犯链中。
Check Point 软件公司要挟情报总监 Lotem Finkelstein 谈论表明：”最新的进犯活动表现了网络要挟日益增长的复杂性。进犯者正在将编码脚本、合法进程和含糊的履行链层层叠加，以便不被发现。曩昔被视为‘低级’的歹意软件，现在正在被广泛应用于高度复杂的进犯举动中。企业必须采纳‘防备优先’策略，整合实时要挟情报、人工智能与行为剖析技能来应对不断演化的要挟。”
尖端歹意软件宗族
(箭头表明与 3 月份相比的排名改变）。
FakeUpdates – Fakeupdates（又叫 SocGholish）是一款下载歹意软件，开始发现于 2018 年。它经过“下载即感染”的方法传达，诱导用户安装虚伪浏览器更新。Fakeupdates 歹意软件与黑客安排 Evil Corp 有关，一般用于在初次感染后投递更多歹意负载。（影响率：6%）
Remcos – Remcos 是一种长途拜访木马（RAT），初次发现于 2016 年，一般经过网络垂钓活动中的歹意文档传达。其规划意图是绕过 Windows 安全机制（如 UAC），以提高的权限履行歹意软件，使其成为要挟行为者的多功用东西。(影响率：3%）。
AgentTesla – AgentTesla 是一款高档 RAT（长途拜访木马），具有键盘记录和密码窃取功用。AgentTesla自2014年开端活跃，它能够监控并收集受害者的键盘输入和体系剪贴板，还能够记录截图并窃取受害者设备上安装的各种软件（包含 Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）的输入凭据。AgentTesla 被公开作为合法东西在线出售，客户需要为许可证付出 15 – 69 美元（影响率：3%）。
2025年四月勒索软件安排榜单
Akira – Akira 勒索软件于 2023 年初初次被发表，方针是 Windows 和 Linux 体系。它运用 CryptGenRandom() 和 Chacha 2008 对文件进行对称加密，与走漏的 Conti v2 勒索软件相似。Akira 经过多种途径传达，包含受感染的电子邮件附件和 VPN 端点漏洞。感染后，它会对数据进行加密，并在文件名后添加”.akira “扩展名，然后展现赎金条，要求付出解密费用。
SatanLock – SatanLock – 新近活跃的勒索安排，自4月初起在暗网上公开活动，现在已走漏67名受害者。但其间超越65%此前已被其他安排发表，活跃度仍在观察中。
Qilin – Qilin 也被称为 Agenda，是一种勒索软件即服务（ransomware-as-a-service）违法活动，它与其他相关组织协作，对被侵略组织的数据进行加密和外泄，随后索要赎金。该勒索软件变种于 2022 年 7 月初次被发现，采用 Golang 言语开发。Agenda 以针对大型企业和高价值组织而闻名，特别侧重于医疗保健和教育部门。Qilin 一般经过包含歹意链接的垂钓邮件浸透受害者，以树立对其网络的拜访权限并外泄敏感信息。一旦进入，Qilin 一般会在受害者的基础设施中横向移动，寻找要加密的关键数据。
移动歹意软件榜单
Anubis– Anubis是一种多用途银行木马，起源于安卓设备，现在已发展出多种高档功用，如经过拦截基于短信的一次性密码（OTP）绕过多要素身份验证（MFA）、键盘记录、录音和勒索软件功用。它一般经过 Google Play Store 上的歹意应用程序传达，已成为最盛行的移动歹意软件系列之一。此外，Anubis 还具有长途拜访木马 (RAT) 功用，可对受感染体系进行广泛监督和控制。
↑ AhMyth – AhMyth 是一种针对安卓设备的长途拜访木马（RAT），一般伪装成屏幕记录器、游戏或加密钱银东西等合法应用程序。一旦安装，它就会取得大量权限，在重启后继续运转，并外泄敏感信息，如银行凭据、加密钱银钱包概况、多要素身份验证（MFA）代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风拜访以及短信拦截，是一款用于数据窃取和其他歹意活动的多功用东西。
↑ Hydra – Hydra 是一种银行木马，旨在窃取银行凭据，每次进入任何银行应用程序时都会要求受害者启用危险的权限和拜访。
四月份的数据显现，荫蔽、多阶段歹意软件活动的运用越来越多，并继续重视防御才能较低的部门。由于 FakeUpdates 仍是最遍及的要挟，而新的勒索软件行为者如 SatanLock 又不断涌现，因此企业必须优先考虑积极主动的分层安全，才能在不断演化的进犯中保持抢先。
关于 Check Point 软件技能有限公司
Check Point 软件技能有限公司（www.checkpoint.com）是数字信任领域的抢先维护者，经过 AI 驱动的网络安全解决方案，维护全球超越 100,000 家安排免受网络要挟。Check Point 经过其 Infinity 渠道与敞开生态体系，坚持“防备为先”的理念，在提高安全效能的同时下降企业危险。依托以 SASE 为核心的混合网格架构，Infinity 渠道实现了本地、云端及办公环境的统一管理，为企业及服务供给商带来灵敏、简洁、可扩展的网络安全才能。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界供给抢先的网络要挟情报。Check Point 研讨团队担任收集和剖析 ThreatCloud 存储的全球网络进犯数据，以便在防备黑客的同时，保证所有 Check Point 产品都享有最新维护措施。此外，该团队由 100 多名剖析师和研讨人员组成，能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开协作。