Doctor Web:2025年第一季度病毒活动综述
2025.03.27
电子邮件流量中最常侦测到的是木马投放器和下载器、广告软件、恶意脚本以及用于向受攻击电脑启动各种威胁的木马。
受到勒索木马感染的用户最常遇到的加密器是 Trojan.Encoder.35534 、Trojan.Encoder.35209 和 Trojan.Encoder.35067。
今年 1 月,我公司反病毒实验室侦测到一个利用多个不同恶意软件发起的门罗币挖掘活动。攻击者使用隐写术,这种技术可以将一个数据隐藏在其他数据中,如隐在图像中。
与此同时,我们的互联网分析师记录到第一季度窃取 Telegram用户账户的欺诈网站数量有所增加。
在移动威胁方面,针对 安卓 操作系统的广告木马和一些银行木马家族的活动有所增加。此外,我公司技术人员在 Google Play 目录中侦测到数十个新的恶意应用程序。
第一季度主要趋势
- 在受保护设备侦测到的威胁数量增加
- 独特新威胁较上季度数量减少
- 以窃取 Telegram 账户未目的的钓鱼网站数量增加
- 安卓设备多种常见广告和银行木马病毒家族的活动有所增加
- • Google Play出现新威胁
Doctor Web统计服务收集的数据
2025年第一季度最常见威胁:
- VBS.KeySender.6
- 恶意脚本,无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口,并向其发送Escape 按钮被按事件,迫使窗口关闭。
- Adware.Downware.20091
- 广告软件,经常用于盗版软件的中转安装器。
- Trojan.BPlug.4242
- WinSafe 浏览器插件的恶意组件,为 JavaScript 脚本,用于在浏览器不断显示广告。
- JS.Siggen5.44590
- 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器,会显示特定消息。
- Trojan.Siggen30.53926
- 经攻击者修改的Electron框架主机进程,模仿Steam应用程序组件(Steam Client WebHelper)并加载JavaScript后门。
邮箱流量恶意程序统计数据
- JS.Siggen5.44590
- 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器,会显示特定消息。
- JS.Inject
- 利用JavaScript语言编写的恶意脚本家族,将恶意脚本嵌入网页的HTML代码。
- Trojan.AVKill.63950
- 在Windows 操作系统计算机安装后门 JS.BackDoor.42 的植入程序。
- Trojan.Inject5.13806
- 使用 AutoIt 脚本语言创建的针对 Windows 计算机的恶意程序,能启动多个系统进程并向其中注入间谍软件 Trojan.Fbng,攻击者可将这种间谍软件用作银行木马。
加密器
2025年第一季度,勒索木马受害者的文件解密申请量较去年第四季度下降了9.34%。
Doctor Web公司技术支持部门接收到的解密申请量动态:
2025年第一季度最常见的加密器:
- Trojan.Encoder.35534 — 占用户申请的11.89%
- Trojan.Encoder.35209 —占用户申请的5.95%
- Trojan.Encoder. 35067 —占用户申请的3.57%
- Trojan.Encoder.38200 —占用户申请的2.38%
- Trojan.Encoder.37369 —占用户申请的1.98%
网络诈骗
2025 年第一季度,我公司互联网分析师注意到出现了许多新的用于窃取 Telegram帐户钓鱼网站。最常见的是虚假的登录页面和支持页面,页面显示用户因违反服务条款出现的问题。
虚假网店也再次广泛传播,攻击者邀请潜在受害者登录账户。
假冒俄罗斯某网店的虚假网站的账户钓鱼页面
我们的专家继续记录到提供各种所谓“优惠”的欺诈网站,诸如可轻松赚钱、获得礼物、参与促销活动等等。 其中一个专门针对英国用户设计,诱骗用户获取所谓的“限量版”交通卡,声称这是专门为某运输公司周年纪念而设计,可以让用户长期免费使用公共交通服务。
诈骗网站诱骗用户获取所谓的First Essex 和 Oyster “促销”卡可免费乘坐公共交通工具
获卡钱用户必须回答几个问题,然后玩游戏,打开装有礼物的虚拟盒子( “有奖”为预定)。 “中奖”后,用户需要提供个人信息并支付 2 英镑才能“收到”此卡。当然,受害者的个人信息和金钱都会落入犯罪分子手中。
页面显示用户打开游戏盒中卡,但必须提供个人信息并支付 2 英镑
支付所谓促销交通卡的银行卡信息输入表
欺诈者继续推荐各种具有“独特”算法的交易平台来吸引潜在受害者,包括所谓基于人工智能技术的算法。 诈骗者还会使用名人以及真实公司和服务坐幌子,声称与之关联。场景之一仍然是承诺可借助 Telegram、WhatsApp 和其他公司的一些专门服务来赚钱。
一些网站则宣传各种人工智能平台,例如 Telegram AI 和 WHATSAPP AI,谎称在这些平台通过“自动交易系统”每月可以带来 14,000 欧元的收入:
其他网站利用的是交易机器人,声称这些交易机器人是软件所有者亲自创建的工具出现。例如,其中一个网站承诺“Pavel Durov机器人”Telegram.AI 可让用户每月赚取 2,500 欧元,而另一个网站则提供所谓由马克•扎克伯格创建的 WhatsApp 机器人,每天最多可赚取 500 欧元。
另一个诈骗网站提供所谓的“Telegram 平台”注册服务,称该平台可直接通过智能手机浏览器运行,自动交易国际公司的股票,每月可带来 10,000 欧元的收入:
另一网站则承诺利用 WhatsApp 人工智能算法可为“每个欧洲人”每月带来 5,000 欧元的收入:
人工智能骗局的一个常见形式是 Wealth Formula平台,称通过分析大量数据可以在瞬间完成交易。这个并不存在系统的所谓各种网站让访问者观看信息视频并可在“危机解决办公室”注册并获得咨询。 诈骗者主要针对欧洲用户,尤其是捷克用户,承诺可“终生”获得每天 1,000 欧元的收入。而潜在受害者被要求至少支付 250 欧元才能访问该系统。
其他类似的场景也普遍使用,如可使用某种专门软件可创收。例如,一家网站诱骗捷克用户利用“世界上最智能的加密软件”每天赚取数万克朗:
另一个欺诈门户网站承诺使用某交易软件“10K EVERY DAY APP”每月收入可超过 470 万克朗:
与此同时,用户仍会遭遇以投资为幌子的虚假网站,攻击的是各国居民。例如,骗子又针对哈萨克斯坦的网民推出了一个通过石油和天然气交易获得收入的平台:
许多其他网站诱骗方式是称通过交易哈萨克斯坦、俄罗斯、中国和其他国家的股票可“及早赚取最大收益”:
俄罗斯和吉尔吉斯斯坦的用户也会遇到类似谎称可以通过交易石油和天然气赚钱的网站:
另一个欺诈性互联网资源则是邀请罗马尼亚用户加入 BRUA 天然气管道项目,并承诺每周可获得 3,000 列伊:
承诺以福利、社会补助等形式向民众提供国家支持的网站仍然具有一定的诱惑力。例如攻击者试图引诱俄罗斯用户访问一个假冒的国家服务门户网站。 其中一个网站要求提供个人数据,谎称可以参与石油和天然气公司的红利支付,并可获得政府的奖金:
另一个欺诈网站打着一家大型银行的名义向哈萨克斯坦的每一位居民承诺现金援助:
虚假投资服务网站,包括假冒俄罗斯信贷机构的虚假网站仍然存在,其中许多模仿真实的银行门户网站,以尽可能地迷惑用户。
提供“投资服务”的假冒俄罗斯银行网站示例
移动设备恶意软件和不良软件
根据Dr.Web产品对安卓移动设备的侦测统计,2025年第一季度份在受保护设备最常侦测到的是广告木马 Android.HiddenAds 和 Android.MobiDash 以及假冒应用 Android.FakeApp,与去年第四季度相比,活动都有所增加。此外,用户还常遭遇银行木马 Android.BankBot 和 Android.Banker。2024 年几乎全年攻击次数都在增加的间谍木马 Android.SpyMax 侦测频率却有所下降。
我格式技术专家再次在 Google Play 目录中发现大量威胁,其中包括用于各种欺诈模式的木马、用于窃取加密货币的恶意软件以及广告木马。
第一季度主要移动安全事件:
- 广告木马 Android.HiddenAds 和 Android.MobiDash 活动增加
- 银行木马 Android.BankBot 和 Android.Banker 活动增加
- 间谍软件 Android.SpyMax 攻击次数减少
- Google Play目录中再次出现新威胁
2025年第一季度份移动威胁更多详情请参阅 移动威胁综述。