DeepStrike的數(shù)據(jù)顯示：全球有超過 10 億個活躍的惡意軟件程序；每天，網(wǎng)絡(luò)安全系統(tǒng)檢測到大約 56萬個新的惡意軟件威脅；每分鐘有 4 家公司成為勒索軟件的受害者。

2025年，惡意軟件的演變速度超乎想象，犯罪分子正利用人工智能和先進(jìn)技術(shù)重塑網(wǎng)絡(luò)攻擊的格局。從深度偽造詐騙到針對關(guān)鍵基礎(chǔ)設(shè)施的精準(zhǔn)勒索攻擊，網(wǎng)絡(luò)安全專家們正面臨前所未有的挑戰(zhàn)。為此，安全?？偨Y(jié)了當(dāng)前惡意軟件值得關(guān)注的主要趨勢，揭示了網(wǎng)絡(luò)犯罪如何利用創(chuàng)新技術(shù)來突破防線，同時也為安全專業(yè)人士提供了應(yīng)對這些新興威脅的關(guān)鍵策略。

值得關(guān)注的八大趨勢

趨勢1AI驅(qū)動的惡意軟件和深度偽造攻擊升級

人工智能技術(shù)的進(jìn)步為網(wǎng)絡(luò)犯罪分子提供了強大的新武器。網(wǎng)絡(luò)犯罪分子正在武器化人工智能(AI)創(chuàng)建更具說服力的釣魚攻擊和勒索軟件。比如，AI生成的釣魚郵件能完美模仿高管寫作風(fēng)格，使傳統(tǒng)過濾器難以檢測；利用AI技術(shù)精心制作的活動展示了增強的個性化和上下文感知消息傳遞，顯著提高了攻擊者欺騙員工和繞過傳統(tǒng)電子郵件安全控制的能力。

例如，Black Basta 等勒索軟件組織特別利用 AI 輔助的社會工程策略，包括精心定制的電子郵件和通過 Microsoft Teams 等平臺逼真地冒充受信任的 IT 支持人員。這些誘餌表現(xiàn)出語言流利程度和令人信服地復(fù)制內(nèi)部通信，導(dǎo)致接收者在不知不覺中授予攻擊者遠(yuǎn)程系統(tǒng)訪問權(quán)限。

深度偽造技術(shù)被用于社會工程詐騙，如克隆CEO聲音授權(quán)欺詐性資金轉(zhuǎn)賬。這使得深度偽造欺詐事件最近增加了十倍。

AI還被用于開發(fā)能動態(tài)改變代碼以逃避檢測的多態(tài)惡意軟件，未來惡意軟件可能自主調(diào)整行為繞過防御。

 趨勢2信息竊取者和初始訪問的商品化

初始訪問的商品化為網(wǎng)絡(luò)犯罪分子提供了新的商業(yè)模式。信息竊取者會竊取瀏覽器cookie、VPN憑證、MFA（多因素認(rèn)證）令牌、加密錢包數(shù)據(jù)等，通過暗網(wǎng)市場出售信息竊取者獲取的數(shù)據(jù)，使攻擊者能夠輕松訪問企業(yè)系統(tǒng)。一份包含F(xiàn)ortune 500公司高管憑證的數(shù)據(jù)包曾在暗網(wǎng)上以10萬美元的價格出售。這種新的商業(yè)模式，使國家級目標(biāo)能夠通過簡單交易而非復(fù)雜攻擊實現(xiàn)。

根據(jù)Immersive的數(shù)據(jù)，信息竊取者最近經(jīng)歷了巨大增長，感染嘗試同比增加58%。Lumma Stealer、StealC和RisePro等惡意軟件現(xiàn)在占所有被盜憑證的75%。

信息竊取者通過暗網(wǎng)市場出售獲取的數(shù)據(jù)，使攻擊者能夠輕松訪問企業(yè)系統(tǒng)。

趨勢3采用無文件惡意軟件和高級規(guī)避技術(shù)

無文件攻擊由于其隱蔽性而越來越受到網(wǎng)絡(luò)犯罪分子的青睞，它們完全在系統(tǒng)內(nèi)存中運行，并繞過了傳統(tǒng)的基于簽名的防病毒防御。無文件惡意軟件通常通過惡意腳本、PowerShell 濫用或劫持的合法進(jìn)程啟動，下載數(shù)據(jù)或加密文件，而不會將惡意軟件可執(zhí)行文件寫入磁盤，對于安全成熟度有限的 SMB 和中型企業(yè)來說尤其致命。

攻擊者使用進(jìn)程注入、注冊表運行鍵操作、計劃任務(wù)和濫用合法遠(yuǎn)程訪問工具等技術(shù)來維持持久性并規(guī)避端點檢測和響應(yīng)(EDR)系統(tǒng)。

攻擊者還濫用Sysinternals Suite等合法管理工具來規(guī)避防御和維持持久性。

多態(tài)惡意軟件在每次復(fù)制或感染新系統(tǒng)時自動修改其代碼，使基于簽名的檢測方法難以識別它。這種類型的惡意軟件對殺毒軟件的檢測和安全研究人員的分析都是一個挑戰(zhàn)。

趨勢4無加密勒索策略趨勢明顯

勒索軟件團伙正在采用"無加密勒索"策略，專注于數(shù)據(jù)盜竊和泄露威脅，而非傳統(tǒng)的文件加密方法。這一戰(zhàn)術(shù)轉(zhuǎn)變顯著簡化了攻擊流程，同時加快了攻擊者通過直接威脅公開敏感數(shù)據(jù)來向受害者施壓的能力。

例如，Cl0p勒索軟件組織廣泛利用Cleo托管文件傳輸(MFT)系統(tǒng)中的漏洞，造成大規(guī)模數(shù)據(jù)泄露并迅速要求贖金，通常完全不對受害者文件進(jìn)行加密。

同樣，Hunters International明確宣布轉(zhuǎn)向純數(shù)據(jù)勒索模式，徹底放棄傳統(tǒng)加密手段，延續(xù)了此前BianLian等組織采用的趨勢。

這種演變突顯了勒索軟件攻擊中心理杠桿作用的日益增強，使防御和響應(yīng)策略變得更加復(fù)雜，尤其對那些數(shù)據(jù)泄露可能嚴(yán)重影響業(yè)務(wù)運營、監(jiān)管合規(guī)和品牌聲譽的工業(yè)組織而言，挑戰(zhàn)更為嚴(yán)峻。

趨勢5云存儲環(huán)境中的勒索軟件威脅加大

隨著企業(yè)日益依賴Amazon S3、Google Cloud Storage和Azure Blob Storage等云存儲解決方案，這些環(huán)境面臨的惡意軟件威脅帶來顯著風(fēng)險。攻擊者通過將惡意文件上傳至云存儲空間，進(jìn)而威脅下游設(shè)備。一旦惡意軟件激活，可能導(dǎo)致數(shù)據(jù)泄露、勒索軟件感染和敏感信息的未授權(quán)訪問。

主要云存儲風(fēng)險包括：

• Amazon S3風(fēng)險：存儲在S3存儲桶中的惡意文件可被毫無防備的用戶訪問，或被整合到工作流程中，從而在組織內(nèi)擴散感染；
• Amazon EBS、EFS和FSx風(fēng)險：這些用于持久數(shù)據(jù)存儲和文件共享的解決方案若防護不當(dāng)，極易成為惡意軟件傳播途徑。攻擊者可植入在系統(tǒng)重啟后仍然存在的惡意文件或感染共享文件系統(tǒng)；
• Google Cloud Storage和Microsoft Azure      Blob風(fēng)險：同樣面臨配置錯誤的權(quán)限和缺乏惡意軟件掃描導(dǎo)致的感染文件傳播問題；

值得注意的是，攻擊者越來越多地利用具備高級功能的釣魚工具包，包括能夠繞過雙因素認(rèn)證的技術(shù)，以獲取初始訪問權(quán)限。

趨勢6針對開發(fā)環(huán)境的惡意軟件包的供應(yīng)鏈攻擊增多

軟件供應(yīng)鏈仍是2025年最受關(guān)注的攻擊向量之一。

威脅行為者正在系統(tǒng)地通過在組織用于構(gòu)建應(yīng)用程序的合法開發(fā)工具、庫和框架中嵌入惡意代碼來破壞軟件供應(yīng)鏈。

這些供應(yīng)鏈攻擊利用了開發(fā)人員和軟件包存儲庫之間的信任。惡意軟件包通常模仿合法軟件包，同時運行有害代碼，逃避標(biāo)準(zhǔn)代碼審查。

2024年，研究人員在NPM、PyPI和HuggingFace等軟件開發(fā)生態(tài)系統(tǒng)中發(fā)現(xiàn)了512,847個惡意軟件包，同比增長156%。

趨勢7針對macOS用戶的惡意軟件激增

一些安全供應(yīng)商報告稱，針對企業(yè)中macOS用戶的惡意軟件活動急劇增加。從偽裝成商業(yè)工具的信息竊取者，到高度復(fù)雜的模塊化后門，威脅行為者越來越多地針對企業(yè)環(huán)境中的Apple用戶發(fā)起攻擊。

例如，Atomic Infostealer通過知名企業(yè)應(yīng)用程序的假版本傳播，而不僅僅是長期以來一直是安全隱患的破解游戲或消費者工具。

趨勢8利用ClickFix社會工程技術(shù)分發(fā)惡意軟件

網(wǎng)絡(luò)犯罪分子越來越多地采用ClickFix作為惡意軟件分發(fā)方法，這種攻擊依靠社會工程技術(shù)成功感染終端用戶設(shè)備。

ClickFix是一種新興威脅，利用用戶對不得不通過在線驗證"證明你是人類"的疲勞感，欺騙用戶在自己的系統(tǒng)上執(zhí)行惡意代碼，通常是PowerShell腳本。通過劫持用戶對熟悉的CAPTCHA流程的信任，威脅行為者讓用戶在簡單驗證的幌子下，通過復(fù)制粘貼惡意命令到系統(tǒng)中，主動參與自己的妥協(xié)。這種威脅通過依賴人類行為而非系統(tǒng)漏洞繞過了許多傳統(tǒng)的檢測方法。

防范的6點建議

以上趨勢揭示了一個嚴(yán)峻的現(xiàn)實：惡意軟件攻擊呈現(xiàn)出更快、更智能、更復(fù)雜且更具破壞性的趨勢。隨著AI、精準(zhǔn)攻擊和高級規(guī)避技術(shù)的興起，傳統(tǒng)的安全方法已不足以應(yīng)對這些新興威脅。

為此，安全牛建議網(wǎng)絡(luò)安全人員：

1. 優(yōu)先考慮AI感知防御：實施AI驅(qū)動的異常檢測和行為分析以對抗AI生成的威脅；
2. 專注于網(wǎng)絡(luò)安全彈性：加固工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，及時修補漏洞，為復(fù)雜勒索情景做準(zhǔn)備；
3. 增強憑證保護：部署強認(rèn)證并監(jiān)控竊取器惡意軟件活動；
4. 采用高級端點安全：使用能夠檢測無文件惡意軟件和規(guī)避技術(shù)（如進(jìn)程注入）的工具；
5. 培訓(xùn)員工：教育員工識別復(fù)雜的釣魚和社會工程攻擊，包括深度偽造；
6. 持續(xù)監(jiān)控和事件響應(yīng)：保持主動威脅搜尋和快速響應(yīng)能力，以適應(yīng)不斷發(fā)展的戰(zhàn)術(shù)、技術(shù)和程序。具體來說，可以采用集成安全信息和事件管理 （SIEM） 和安全編排自動化和響應(yīng) （SOAR） 解決方案。

安全專業(yè)人士必須采用多層次、智能化的防御策略，不斷學(xué)習(xí)和適應(yīng)，才能在這場永無止境的網(wǎng)絡(luò)安全戰(zhàn)爭中保持領(lǐng)先。