安全专家应该知道的6个恶意软件趋势

搜索最新SoC解决方案
关于汽车电子...物联网...安全...音频...视频

随着AI的进步和计算基础设施的变化，恶意软件正在迅速发展。

imgtec.eetrend.com/, Jun. 30, 2025 – 

信息窃取工具将初始访问权限商品化

据网络安全供应商Immersive称，信息窃取工具最近出现了巨大增长，感染尝试次数同比增长了58%。

Lumma Stealer、StealC和RisePro等恶意软件现在负责了75%的凭据被盗事件。

信息窃取工具会窃取浏览器cookie、VPN凭据、多因素认证(MFA)令牌、加密钱包数据等，网络犯罪分子通过暗网市场出售这些工具窃取的数据，使攻击者能够轻松访问企业系统。

"这种转变将初始访问权限商品化，使得国家层面的目标可以通过简单的交易实现，而无需复杂的攻击，"Immersive的首席网络安全工程师本·麦卡锡(Ben McCarthy)表示。

针对开发者环境的恶意软件包

威胁行为者正通过将恶意代码嵌入到企业用于构建应用程序的合法开发工具、库和框架中，系统地破坏软件供应链。

"这些供应链攻击利用了开发者与包存储库之间的信任关系，"Immersive的麦卡锡告诉记者，"恶意软件包经常模仿合法软件包，同时运行有害代码，从而逃避标准的代码审查。"

2024年，研究人员在NPM、PyPI以及HuggingFace等AI平台等软件开发生态系统中发现了512847个恶意软件包，同比增长了156%。

勒索软件变得更加具有针对性和复杂性

自执法部门打击了LockBit等主要组织以来，勒索软件格局发生了巨大变化。

现代勒索软件威胁行为者如RansomHub和Akira现在更倾向于小型、高度针对性的攻击，在完全渗透和数据泄露后将勒索软件作为最后一步，这标志着从广泛的机会主义攻击转向了聚焦的高价值活动。

"这些有针对性的方法显示了威胁行为者对特定漏洞的深入了解，以及他们在侦察和定制攻击开发方面的投入意愿。"Immersive的麦卡锡评论道。

这些组织使用先进的规避技术，如本地化工具(LOTL)战术和合法的管理工具来保持隐藏，他们还从文件加密转向数据盗窃和勒索，威胁公开泄露以迫使受害者屈服。

"我们已经注意到，在勒索软件工具链中，云服务和远程管理平台的使用显著增加，"网络检测和响应提供商ExtraHop的高级技术营销经理杰米·莫尔斯(Jamie Moles)表示，"这与更广泛的趋势一致：攻击者不再仅仅依赖传统的恶意软件负载，而是越来越多地转向滥用可信平台和本地化技术。"

医疗保健仍然是勒索软件攻击的主要目标，而关键基础设施也面临着日益增长的威胁，因为攻击者利用了促使快速支付赎金的紧迫性。

恶意软件采用社交攻击技术

网络犯罪分子越来越多地采用ClickFix作为恶意软件交付方法，利用社交攻击技术成功感染终端用户设备。

ClickFix通过欺骗用户在其系统上执行恶意代码(通常是PowerShell脚本)来工作。

ClickFix是一种日益增长的威胁，它利用了用户日益增长的疲劳感，这些用户不得不通过在线障碍来"证明你是人类"。

通过劫持对熟悉的验证码(CAPTCHA)过程的信任，威胁行为者使用户积极参与自己的妥协––在简单的验证伪装下将恶意命令复制并粘贴到他们的系统中。

"在过去的一年里，我们看到这种技术在钓鱼网站、被入侵的网页和社交攻击活动中获得了显著关注，"SentinelLABS的高级威胁研究员吉姆·沃尔特(Jim Walter)表示，"它简单、有效且越来越常见。"

CISO需要警惕这种威胁，因为它通过依赖人类行为而非系统漏洞来绕过许多传统检测方法。

"提高意识、加强终端执行策略以及部署行为检测工具对于应对这波恶意软件交付浪潮至关重要。"沃尔特建议道。

针对macOS企业用户的恶意软件

一些安全供应商报告称，针对企业环境中macOS用户的恶意软件活动显著增加。

SentinelLABS/SentinelOne的macOS恶意软件研究员菲尔·斯托克斯(Phil Stokes)告诉记者："我们看到了从伪装成商业工具的信息窃取工具到高度复杂的模块化后门的一切––因此，威胁行为者在针对企业环境中的苹果用户方面显然加大了力度。"

例如，Atomic Infostealer通过知名企业0应用程序的假版本传播，而不仅仅是长期以来一直困扰安全的破解游戏或消费者工具。

虽然勒索软件和信息窃取工具仍然是主要威胁，但较旧的商品恶意软件和黑客技术已经出现了下降趋势。

 Back