2025年3月，網(wǎng)絡(luò)威脅事件激增，個人用戶和企業(yè)組織均面臨嚴(yán)峻風(fēng)險。從被武器化用于竊取個人數(shù)據(jù)的銀行應(yīng)用，到遭濫用于將用戶重定向至釣魚陷阱的可信域名，網(wǎng)絡(luò)犯罪分子手段層出不窮。其攻擊策略正變得更具創(chuàng)造性和危險性。以下是本月引發(fā)廣泛關(guān)注的三大典型攻擊事件。

一、通過Telegram傳播的安卓銀行木馬

安全研究人員發(fā)現(xiàn)一款仿冒IndusInd銀行應(yīng)用的惡意軟件投放器（dropper），專門針對安卓用戶實(shí)施釣魚攻擊以竊取敏感財務(wù)信息。該惡意應(yīng)用安裝后會顯示虛假銀行界面，誘騙用戶輸入手機(jī)號碼、Aadhaar/PAN身份證號及網(wǎng)銀憑證等關(guān)鍵信息。

被盜數(shù)據(jù)會同時發(fā)送至釣魚服務(wù)器和Telegram控制的C2（命令與控制）通道。該APK包含核心惡意負(fù)載base.apk，具有安裝其他應(yīng)用的權(quán)限，并采用"npmanager"作為密鑰進(jìn)行XOR加密以隱藏代碼行為。

二、可信網(wǎng)站遭惡意重定向?yàn)E用

攻擊者利用歷史悠久的可信域名（最早可追溯至1996年注冊）的重定向功能，將用戶引導(dǎo)至釣魚頁面。由于這些域名被安全工具標(biāo)記為可信，用戶難以察覺異常。

攻擊者通過弱重定向驗(yàn)證漏洞，將這些看似安全的URL轉(zhuǎn)變?yōu)閻阂饩W(wǎng)站的跳板。最終用戶會看到仿冒的Microsoft登錄頁面，但異常URL結(jié)構(gòu)暴露了其釣魚本質(zhì)。

三、仿冒Booking.com頁面?zhèn)鞑Worm木馬

攻擊者通過域名搶注創(chuàng)建高度仿真的Booking.com釣魚頁面，誘導(dǎo)用戶執(zhí)行惡意腳本或提交信用卡信息。

用戶被誘導(dǎo)按下Win+R鍵執(zhí)行惡意命令后，會下載XWorm遠(yuǎn)控木馬，攻擊者可借此竊取數(shù)據(jù)并獲取系統(tǒng)控制權(quán)。另一變種則直接偽造信用卡驗(yàn)證頁面竊取財務(wù)信息。

當(dāng)前威脅態(tài)勢的核心特征

• 知名品牌淪為誘餌 從Booking.com到Microsoft，攻擊者正大肆仿冒受信任平臺
• 重定向與虛假應(yīng)用更難檢測 多數(shù)攻擊在造成損害后才被安全工具發(fā)現(xiàn)
• 單點(diǎn)失誤可能危及整個企業(yè) 一次數(shù)據(jù)泄露就可能開放內(nèi)部系統(tǒng)訪問權(quán)限

面對日益復(fù)雜的威脅環(huán)境，為安全團(tuán)隊配備即時分析可疑文件與鏈接的工具至關(guān)重要。ANY.RUN交互式沙箱提供安全的云環(huán)境，可快速分析Windows、Linux和Android系統(tǒng)的威脅行為，實(shí)時追蹤攻擊鏈并提取威脅指標(biāo)（IOC）。