安全專業人員必須不斷了解這些趨勢，以抵御日益復雜的威脅。

安全攻擊者與防御者之間的傳統“貓捉老鼠”游戲隨著新技術的出現和舊有低效方法的過時而變得更加激烈。

以下是惡意軟件領域的最新動態，哪些正在升溫，哪些正在降溫。

信息竊取工具將初始訪問權限商品化

據網絡安全供應商Immersive稱，信息竊取工具最近出現了巨大增長，感染嘗試次數同比增長了58%。

Lumma Stealer、StealC和RisePro等惡意軟件現在負責了75%的憑據被盜事件。

信息竊取工具會竊取瀏覽器cookie、VPN憑據、多因素認證(MFA)令牌、加密錢包數據等，網絡犯罪分子通過暗網市場出售這些工具竊取的數據，使攻擊者能夠輕松訪問企業系統。

“這種轉變將初始訪問權限商品化，使得國家層面的目標可以通過簡單的交易實現，而無需復雜的攻擊，”Immersive的首席網絡安全工程師本·麥卡錫(Ben McCarthy)表示。

針對開發者環境的惡意軟件包

威脅行為者正通過將惡意代碼嵌入到企業用于構建應用程序的合法開發工具、庫和框架中，系統地破壞軟件供應鏈。

“這些供應鏈攻擊利用了開發者與包存儲庫之間的信任關系，”Immersive的麥卡錫告訴記者，“惡意軟件包經常模仿合法軟件包，同時運行有害代碼，從而逃避標準的代碼審查。”

2024年，研究人員在NPM、PyPI以及HuggingFace等AI平臺等軟件開發生態系統中發現了512847個惡意軟件包，同比增長了156%。

勒索軟件變得更加具有針對性和復雜性

自執法部門打擊了LockBit等主要組織以來，勒索軟件格局發生了巨大變化。

現代勒索軟件威脅行為者如RansomHub和Akira現在更傾向于小型、高度針對性的攻擊，在完全滲透和數據泄露后將勒索軟件作為最后一步，這標志著從廣泛的機會主義攻擊轉向了聚焦的高價值活動。

“這些有針對性的方法顯示了威脅行為者對特定漏洞的深入了解，以及他們在偵察和定制攻擊開發方面的投入意愿。”Immersive的麥卡錫評論道。

這些組織使用先進的規避技術，如本地化工具(LOTL)戰術和合法的管理工具來保持隱藏，他們還從文件加密轉向數據盜竊和勒索，威脅公開泄露以迫使受害者屈服。

“我們已經注意到，在勒索軟件工具鏈中，云服務和遠程管理平臺的使用顯著增加，”網絡檢測和響應提供商ExtraHop的高級技術營銷經理杰米·莫爾斯(Jamie Moles)表示，“這與更廣泛的趨勢一致：攻擊者不再僅僅依賴傳統的惡意軟件負載，而是越來越多地轉向濫用可信平臺和本地化技術。”

醫療保健仍然是勒索軟件攻擊的主要目標，而關鍵基礎設施也面臨著日益增長的威脅，因為攻擊者利用了促使快速支付贖金的緊迫性。

惡意軟件采用社交攻擊技術

網絡犯罪分子越來越多地采用ClickFix作為惡意軟件交付方法，利用社交攻擊技術成功感染終端用戶設備。

ClickFix通過欺騙用戶在其系統上執行惡意代碼(通常是PowerShell腳本)來工作。

ClickFix是一種日益增長的威脅，它利用了用戶日益增長的疲勞感，這些用戶不得不通過在線障礙來“證明你是人類”。

通過劫持對熟悉的驗證碼(CAPTCHA)過程的信任，威脅行為者使用戶積極參與自己的妥協——在簡單的驗證偽裝下將惡意命令復制并粘貼到他們的系統中。

“在過去的一年里，我們看到這種技術在釣魚網站、被入侵的網頁和社交攻擊活動中獲得了顯著關注，”SentinelLABS的高級威脅研究員吉姆·沃爾特(Jim Walter)表示，“它簡單、有效且越來越常見。”

CISO需要警惕這種威脅，因為它通過依賴人類行為而非系統漏洞來繞過許多傳統檢測方法。

“提高意識、加強終端執行策略以及部署行為檢測工具對于應對這波惡意軟件交付浪潮至關重要。”沃爾特建議道。

針對macOS企業用戶的惡意軟件

一些安全供應商報告稱，針對企業環境中macOS用戶的惡意軟件活動顯著增加。

SentinelLABS/SentinelOne的macOS惡意軟件研究員菲爾·斯托克斯(Phil Stokes)告訴記者：“我們看到了從偽裝成商業工具的信息竊取工具到高度復雜的模塊化后門的一切——因此，威脅行為者在針對企業環境中的蘋果用戶方面顯然加大了力度。”

例如，Atomic Infostealer通過知名企業0應用程序的假版本傳播，而不僅僅是長期以來一直困擾安全的破解游戲或消費者工具。

雖然勒索軟件和信息竊取工具仍然是主要威脅，但較舊的商品惡意軟件和黑客技術已經出現了下降趨勢。

多態惡意軟件規避檢測機制

多態惡意軟件在每次復制或感染新系統時都會自動修改其代碼，使得基于簽名的檢測方法難以識別。

這種類型的惡意軟件對于防病毒軟件來說很難檢測，對于安全研究人員來說也很難分析。

Palo Alto Networks的威脅情報和事件響應部門Unit 42的首席威脅研究員亞歷克斯·欣奇利夫(Alex Hinchliffe)表示：“非常基本或特定的檢測機制，如基于哈希的掃描器，會被多態性所挫敗，但值得注意的是，每次編譯惡意程序(例如編譯成可執行文件)時，都會產生一個新的唯一指紋或哈希值。再加上大量免費和商業上可用的壓縮器、打包器和保護器工具，這些工具可以應用于編譯后的程序，‘相同’的程序將產生更多的指紋變化和排列組合。”

多態惡意軟件還經常使用加密來隱藏其有效載荷，進一步復雜化了檢測和分析過程。

已棄用的惡意軟件技術

一些明顯的趨勢反映了惡意軟件和黑客技術的“衰落”，這主要是因為隨著安全防御和實踐的進步，它們的有效性已經降低。

例如，威脅行為者更多地依賴合法的管理工具(如Sysinternals Suite和本地化二進制文件或LOLBins)進行防御規避和持久性，而較少依賴惡意可執行文件。

“在黑客工具方面，我們觀察到更全面的工具套件(如Cobalt Strike和Sliver)的使用有所減少，”托管檢測和響應供應商Huntress的技術作家林賽·韋爾奇(Lindsey Welch)表示，“然而，威脅行為者繼續使用Mimikatz和CrackMapExec等專用工具來執行密碼嗅探、內存轉儲、權限提升和橫向移動等功能。”

其他曾經流行但現在已不再受歡迎的技術包括：

? 網絡蠕蟲，如Conficker，因為現代網絡現在具有分段、自動補丁和強大的終端防御功能，這些都限制了蠕蟲的傳播。

? 傳統僵尸網絡

? 漏洞利用工具包，這些工具包曾經是通過基于Web的攻擊交付惡意軟件的一種常見方法，通過掃描用戶系統中Adobe Flash、Java或Internet Explorer等軟件的已知漏洞，然后利用這些弱點來安裝惡意軟件。

? Office宏

? 基于USB的惡意軟件