（纳斯达克股票代码：CHKP）发布了其 2024 年 9 月《全球威胁指数》报告。该报告着重介绍了网络安全领域中一个有必要注意一下的趋势，即 AI 驱动型恶意软件的兴起，以及勒索软件威胁的持续肆虐。

  本月，研究人员发现，攻击者很可能是利用 AI 技术开发脚本来散播 AsyncRAT 恶意软件（目前位列最猖獗的恶意软件排行榜第十位）。这种方法用到了 HTML 走私技术，即发送包含恶意 VBScript 代码的密码保护压缩文件，在受害者的设备上启动感染链。从结构良好、注释清晰的代码中也可发现 AI 痕迹。代码执行完后，受害者的设备就会安装 AsyncRAT，便于攻击者记录击键次数、远程控制受感染设备，并部署其他恶意软件。这一发现揭示了慢慢的变多技术能力有限的网络犯罪分子正利用 AI 技术更轻松地创建恶意软件。

  Check Point 软件技术公司研究副总裁 Maya Horowitz 对于这一趋势评论道： 攻击者慢慢的开始在其攻击基础设施中使用生成式 AI，这充分说明网络攻击策略正在不断演变。网络犯罪分子慢慢的变多地利用现存技术来增强攻击，因此企业一定实施主动安全防护策略，包括采取高级防御方法和对团队做全面培训。

  本月，Joker 蝉联最猖獗的移动恶意软件，RansomHub 仍然是主要勒索软件团伙，两者自上个月继续霸榜。上述发现表明，随着网络安全形势的不断演进，这些恶意实体仍构成持续威胁，不容小觑。

  3.   ↑ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相比来说较低的价格，它在地下黑客论坛中作为恶意软件即服务 ( MaaS ) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

  4.   ↔ Qbot   - Qbot（又名 Qakbot）是一种多用途恶意软件，于 2008 年首次出现，旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作，并部署更多恶意软件。Qbot 通常通过垃圾邮件传播，采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始，它成为最猖獗的木马之一。

  6.   ↓ Phorpiex   - Phorpiex 是一种僵尸网络，因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。

  7.   ↑ Vidar - Vidar 是一种以恶意软件即服务模式运行的信息窃取恶意软件，于 2018 年底首次现身。该恶意软件在 Windows 上运行，不仅可从浏览器和数字钱包中收集各种敏感数据，而且还被用作勒索软件的下载程序。

  8.   ↑   NJRat - NJRat 是一种远程访问木马，主要是针对中东地区的政府机构和企业。该木马于 2012 年首次出现，具有多项功能：捕获击键记录、访问受害者的摄像头、窃取浏览器中存储的凭证、上传和下载文件、操纵进程和文件及查看受害者的桌面。NJRat 利用互联网钓鱼攻击和偷渡式下载感染受害者设备，并在命令与控制服务器软件的支持下，通过受感染的 USB 密钥或网盘进行传播。

  9.   ↑ Glupteba - Glupteba 自 2011 年被发现，是一种后门病毒，已逐渐发展为僵尸网络。到 2019 年，它包括 C&C 地址更新机制（通过公共比特币列表）、完整的浏览器窃取程序功能及路由器漏洞利用程序。

  10.   ↑ AsyncRat - Asyncrat 是一种针对 Windows 平台的木马程序。该恶意软件会向远程服务器发送目标系统的系统信息。它从服务器接收命令，以下载和执行插件、终止进程、进行自我卸载 / 更新，并截取受感染系统的屏幕截图。

  1.   ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。

  2.   ↔ Anubis   – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 ( RAT ) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

  3.   ↑ Hiddad   — Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其基本功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

  这些数据基于从双重勒索勒索软件团伙运营的勒索软件 羞辱网站 （攻击者在这些网站上公布受害者信息）获得的洞察分析。本月，RansomHub   是最猖獗的勒索软件团伙，其攻击数量占已发布攻击的 17%，其次是 Play   和 Qilin，分别占 10%   和 5%。

  1.   RansomHub – RansomHub 以勒索软件即服务 ( RaaS ) 形式出现，据称是已知 Knight 勒索软件的翻版。2024 年初，RansomHub 在地下网络犯罪论坛上初露锋芒，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）发起的破坏性攻击活动，以及采用的复杂加密方法而臭名昭著。

  2.   Play   - Play 勒索软件又称为 PlayCrypt，于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施，到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入网络。得逞后，它会采用离地攻击二进制文件 ( LOLBins ) 等各种手段来执行数据泄露和凭证窃取等任务。

  3.   Qilin - Qilin 又称为 Agenda，整个勒索软件即服务犯罪团伙沆瀣一气，对被入侵企业的数据来进行加密和窃取，随后索要赎金。这一勒索软件变体于 2022 年 7 月首次被发现，采用 Golang 语言开发。Agenda 主要是针对大规模的公司和高价值目标发起攻击，重点瞄准医疗和教育领域。Qilin 通常通过随附恶意链接的网络钓鱼电子邮件获取受害者设备的网络访问权限并窃取敏感信息。入侵成功后，Qilin 往往会在受害者的基础设施中横向移动，寻找关键数据来进行加密。