摘要：DeepStrike的数据显示：全球有超过 10 亿个活跃的恶意软件程序；每天，网络安全系统检测到大约 56万个新的恶意软件威胁；每分钟有 4 家公司成为勒索软件的受害者。

malware trends

DeepStrike的数据显示：全球有超过 10 亿个活跃的恶意软件程序；每天，网络安全系统检测到大约 56万个新的恶意软件威胁；每分钟有 4 家公司成为勒索软件的受害者。

2025年，恶意软件的演变速度超乎想象，犯罪分子正利用人工智能和先进技术重塑网络攻击的格局。从深度伪造诈骗到针对关键基础设施的精准勒索攻击，网络安全专家们正面临前所未有的挑战。为此，安全牛总结了当前恶意软件值得关注的主要趋势，揭示了网络犯罪如何利用创新技术来突破防线，同时也为安全专业人士提供了应对这些新兴威胁的关键策略。

值得关注的八大趋势

趋势1

AI驱动的恶意软件和深度伪造攻击升级

人工智能技术的进步为网络犯罪分子提供了强大的新武器。网络犯罪分子正在武器化人工智能(AI)创建更具说服力的钓鱼攻击和勒索软件。比如，AI生成的钓鱼邮件能完美模仿高管写作风格，使传统过滤器难以检测；利用AI技术精心制作的活动展示了增强的个性化和上下文感知消息传递，显著提高了攻击者欺骗员工和绕过传统电子邮件安全控制的能力。

例如，Black Basta 等勒索软件组织特别利用 AI 辅助的社会工程策略，包括精心定制的电子邮件和通过 Microsoft Teams 等平台逼真地冒充受信任的 IT 支持人员。这些诱饵表现出语言流利程度和令人信服地复制内部通信，导致接收者在不知不觉中授予攻击者远程系统访问权限。

深度伪造技术被用于社会工程诈骗，如克隆CEO声音授权欺诈性资金转账。这使得深度伪造欺诈事件最近增加了十倍。

AI还被用于开发能动态改变代码以逃避检测的多态恶意软件，未来恶意软件可能自主调整行为绕过防御。

趋势2

AI驱动的恶意软件和深度伪造攻击升级

初始访问的商品化为网络犯罪分子提供了新的商业模式。信息窃取者会窃取浏览器cookie、VPN凭证、MFA（多因素认证）令牌、加密钱包数据等，通过暗网市场出售信息窃取者获取的数据，使攻击者能够轻松访问企业系统。一份包含Fortune 500公司高管凭证的数据包曾在暗网上以10万美元的价格出售。这种新的商业模式，使国家级目标能够通过简单交易而非复杂攻击实现。

根据Immersive的数据，信息窃取者最近经历了巨大增长，感染尝试同比增加58%。Lumma Stealer、StealC和RisePro等恶意软件现在占所有被盗凭证的75%。

信息窃取者通过暗网市场出售获取的数据，使攻击者能够轻松访问企业系统。

趋势3

采用无文件恶意软件和高级规避技术

无文件攻击由于其隐蔽性而越来越受到网络犯罪分子的青睐，它们完全在系统内存中运行，并绕过了传统的基于签名的防病毒防御。无文件恶意软件通常通过恶意脚本、PowerShell 滥用或劫持的合法进程启动，下载数据或加密文件，而不会将恶意软件可执行文件写入磁盘，对于安全成熟度有限的 SMB 和中型企业来说尤其致命。

攻击者使用进程注入、注册表运行键操作、计划任务和滥用合法远程访问工具等技术来维持持久性并规避端点检测和响应(EDR)系统。

攻击者还滥用Sysinternals Suite等合法管理工具来规避防御和维持持久性。

多态恶意软件在每次复制或感染新系统时自动修改其代码，使基于签名的检测方法难以识别它。这种类型的恶意软件对杀毒软件的检测和安全研究人员的分析都是一个挑战。

趋势4

无加密勒索策略趋势明显

勒索软件团伙正在采用"无加密勒索"策略，专注于数据盗窃和泄露威胁，而非传统的文件加密方法。这一战术转变显著简化了攻击流程，同时加快了攻击者通过直接威胁公开敏感数据来向受害者施压的能力。

例如，Cl0p勒索软件组织广泛利用Cleo托管文件传输(MFT)系统中的漏洞，造成大规模数据泄露并迅速要求赎金，通常完全不对受害者文件进行加密。

同样，Hunters International明确宣布转向纯数据勒索模式，彻底放弃传统加密手段，延续了此前BianLian等组织采用的趋势。

这种演变突显了勒索软件攻击中心理杠杆作用的日益增强，使防御和响应策略变得更加复杂，尤其对那些数据泄露可能严重影响业务运营、监管合规和品牌声誉的工业组织而言，挑战更为严峻。

趋势5

云存储环境中的勒索软件威胁加大

随着企业日益依赖Amazon S3、Google Cloud Storage和Azure Blob Storage等云存储解决方案，这些环境面临的恶意软件威胁带来显著风险。攻击者通过将恶意文件上传至云存储空间，进而威胁下游设备。一旦恶意软件激活，可能导致数据泄露、勒索软件感染和敏感信息的未授权访问。

主要云存储风险包括：

Amazon S3风险：存储在S3存储桶中的恶意文件可被毫无防备的用户访问，或被整合到工作流程中，从而在组织内扩散感染；

Amazon EBS、EFS和FSx风险：这些用于持久数据存储和文件共享的解决方案若防护不当，极易成为恶意软件传播途径。攻击者可植入在系统重启后仍然存在的恶意文件或感染共享文件系统；

Google Cloud Storage和Microsoft Azure Blob风险：同样面临配置错误的权限和缺乏恶意软件扫描导致的感染文件传播问题；

值得注意的是，攻击者越来越多地利用具备高级功能的钓鱼工具包，包括能够绕过双因素认证的技术，以获取初始访问权限。

趋势6

针对开发环境的恶意软件包的供应链攻击增多

软件供应链仍是2025年最受关注的攻击向量之一。

威胁行为者正在系统地通过在组织用于构建应用程序的合法开发工具、库和框架中嵌入恶意代码来破坏软件供应链。

这些供应链攻击利用了开发人员和软件包存储库之间的信任。恶意软件包通常模仿合法软件包，同时运行有害代码，逃避标准代码审查。

2024年，研究人员在NPM、PyPI和HuggingFace等软件开发生态系统中发现了512,847个恶意软件包，同比增长156%。

趋势7

针对macOS用户的恶意软件激增

一些安全供应商报告称，针对企业中macOS用户的恶意软件活动急剧增加。从伪装成商业工具的信息窃取者，到高度复杂的模块化后门，威胁行为者越来越多地针对企业环境中的Apple用户发起攻击。

例如，Atomic Infostealer通过知名企业应用程序的假版本传播，而不仅仅是长期以来一直是安全隐患的破解游戏或消费者工具。

趋势8

利用ClickFix社会工程技术分发恶意软件

网络犯罪分子越来越多地采用ClickFix作为恶意软件分发方法，这种攻击依靠社会工程技术成功感染终端用户设备。

ClickFix是一种新兴威胁，利用用户对不得不通过在线验证"证明你是人类"的疲劳感，欺骗用户在自己的系统上执行恶意代码，通常是PowerShell脚本。通过劫持用户对熟悉的CAPTCHA流程的信任，威胁行为者让用户在简单验证的幌子下，通过复制粘贴恶意命令到系统中，主动参与自己的妥协。这种威胁通过依赖人类行为而非系统漏洞绕过了许多传统的检测方法。

防范的6点建议

以上趋势揭示了一个严峻的现实：恶意软件攻击呈现出更快、更智能、更复杂且更具破坏性的趋势。随着AI、精准攻击和高级规避技术的兴起，传统的安全方法已不足以应对这些新兴威胁。

为此，安全牛建议网络安全人员：

优先考虑AI感知防御：实施AI驱动的异常检测和行为分析以对抗AI生成的威胁；

专注于网络安全弹性：加固工业和关键基础设施系统，及时修补漏洞，为复杂勒索情景做准备；

增强凭证保护：部署强认证并监控窃取器恶意软件活动；

采用高级端点安全：使用能够检测无文件恶意软件和规避技术（如进程注入）的工具；

培训员工：教育员工识别复杂的钓鱼和社会工程攻击，包括深度伪造；

持续监控和事件响应：保持主动威胁搜寻和快速响应能力，以适应不断发展的战术、技术和程序。具体来说，可以采用集成安全信息和事件管理 （SIEM） 和安全编排自动化和响应 （SOAR） 解决方案。

来源：小林科技讲堂