DeepStrike的數據顯示：全球有超過 10 億個活躍的惡意軟件程序；每天，網絡安全系統檢測到大約 56萬個新的惡意軟件威脅；每分鐘有 4 家公司成為勒索軟件的受害者。

2025年，惡意軟件的演變速度超乎想象，犯罪分子正利用人工智能和先進技術重塑網絡攻擊的格局。從深度偽造詐騙到針對關鍵基礎設施的精準勒索攻擊，網絡安全專家們正面臨前所未有的挑戰。為此，安全牛總結了當前惡意軟件值得關注的主要趨勢，揭示了網絡犯罪如何利用創新技術來突破防線，同時也為安全專業人士提供了應對這些新興威脅的關鍵策略。

值得關注的八大趨勢

趨勢1AI驅動的惡意軟件和深度偽造攻擊升級

人工智能技術的進步為網絡犯罪分子提供了強大的新武器。網絡犯罪分子正在武器化人工智能(AI)創建更具說服力的釣魚攻擊和勒索軟件。比如，AI生成的釣魚郵件能完美模仿高管寫作風格，使傳統過濾器難以檢測；利用AI技術精心制作的活動展示了增強的個性化和上下文感知消息傳遞，顯著提高了攻擊者欺騙員工和繞過傳統電子郵件安全控制的能力。

例如，Black Basta 等勒索軟件組織特別利用 AI 輔助的社會工程策略，包括精心定制的電子郵件和通過 Microsoft Teams 等平臺逼真地冒充受信任的 IT 支持人員。這些誘餌表現出語言流利程度和令人信服地復制內部通信，導致接收者在不知不覺中授予攻擊者遠程系統訪問權限。

深度偽造技術被用于社會工程詐騙，如克隆CEO聲音授權欺詐性資金轉賬。這使得深度偽造欺詐事件最近增加了十倍。

AI還被用于開發能動態改變代碼以逃避檢測的多態惡意軟件，未來惡意軟件可能自主調整行為繞過防御。

 趨勢2信息竊取者和初始訪問的商品化

初始訪問的商品化為網絡犯罪分子提供了新的商業模式。信息竊取者會竊取瀏覽器cookie、VPN憑證、MFA（多因素認證）令牌、加密錢包數據等，通過暗網市場出售信息竊取者獲取的數據，使攻擊者能夠輕松訪問企業系統。一份包含Fortune 500公司高管憑證的數據包曾在暗網上以10萬美元的價格出售。這種新的商業模式，使國家級目標能夠通過簡單交易而非復雜攻擊實現。

根據Immersive的數據，信息竊取者最近經歷了巨大增長，感染嘗試同比增加58%。Lumma Stealer、StealC和RisePro等惡意軟件現在占所有被盜憑證的75%。

信息竊取者通過暗網市場出售獲取的數據，使攻擊者能夠輕松訪問企業系統。

趨勢3采用無文件惡意軟件和高級規避技術

無文件攻擊由于其隱蔽性而越來越受到網絡犯罪分子的青睞，它們完全在系統內存中運行，并繞過了傳統的基于簽名的防病毒防御。無文件惡意軟件通常通過惡意腳本、PowerShell 濫用或劫持的合法進程啟動，下載數據或加密文件，而不會將惡意軟件可執行文件寫入磁盤，對于安全成熟度有限的 SMB 和中型企業來說尤其致命。

攻擊者使用進程注入、注冊表運行鍵操作、計劃任務和濫用合法遠程訪問工具等技術來維持持久性并規避端點檢測和響應(EDR)系統。

攻擊者還濫用Sysinternals Suite等合法管理工具來規避防御和維持持久性。

多態惡意軟件在每次復制或感染新系統時自動修改其代碼，使基于簽名的檢測方法難以識別它。這種類型的惡意軟件對殺毒軟件的檢測和安全研究人員的分析都是一個挑戰。

趨勢4無加密勒索策略趨勢明顯

勒索軟件團伙正在采用"無加密勒索"策略，專注于數據盜竊和泄露威脅，而非傳統的文件加密方法。這一戰術轉變顯著簡化了攻擊流程，同時加快了攻擊者通過直接威脅公開敏感數據來向受害者施壓的能力。

例如，Cl0p勒索軟件組織廣泛利用Cleo托管文件傳輸(MFT)系統中的漏洞，造成大規模數據泄露并迅速要求贖金，通常完全不對受害者文件進行加密。

同樣，Hunters International明確宣布轉向純數據勒索模式，徹底放棄傳統加密手段，延續了此前BianLian等組織采用的趨勢。

這種演變突顯了勒索軟件攻擊中心理杠桿作用的日益增強，使防御和響應策略變得更加復雜，尤其對那些數據泄露可能嚴重影響業務運營、監管合規和品牌聲譽的工業組織而言，挑戰更為嚴峻。

趨勢5云存儲環境中的勒索軟件威脅加大

隨著企業日益依賴Amazon S3、Google Cloud Storage和Azure Blob Storage等云存儲解決方案，這些環境面臨的惡意軟件威脅帶來顯著風險。攻擊者通過將惡意文件上傳至云存儲空間，進而威脅下游設備。一旦惡意軟件激活，可能導致數據泄露、勒索軟件感染和敏感信息的未授權訪問。

主要云存儲風險包括：

• Amazon S3風險：存儲在S3存儲桶中的惡意文件可被毫無防備的用戶訪問，或被整合到工作流程中，從而在組織內擴散感染；
• Amazon EBS、EFS和FSx風險：這些用于持久數據存儲和文件共享的解決方案若防護不當，極易成為惡意軟件傳播途徑。攻擊者可植入在系統重啟后仍然存在的惡意文件或感染共享文件系統；
• Google Cloud Storage和Microsoft Azure      Blob風險：同樣面臨配置錯誤的權限和缺乏惡意軟件掃描導致的感染文件傳播問題；

值得注意的是，攻擊者越來越多地利用具備高級功能的釣魚工具包，包括能夠繞過雙因素認證的技術，以獲取初始訪問權限。

趨勢6針對開發環境的惡意軟件包的供應鏈攻擊增多

軟件供應鏈仍是2025年最受關注的攻擊向量之一。

威脅行為者正在系統地通過在組織用于構建應用程序的合法開發工具、庫和框架中嵌入惡意代碼來破壞軟件供應鏈。

這些供應鏈攻擊利用了開發人員和軟件包存儲庫之間的信任。惡意軟件包通常模仿合法軟件包，同時運行有害代碼，逃避標準代碼審查。

2024年，研究人員在NPM、PyPI和HuggingFace等軟件開發生態系統中發現了512,847個惡意軟件包，同比增長156%。

趨勢7針對macOS用戶的惡意軟件激增

一些安全供應商報告稱，針對企業中macOS用戶的惡意軟件活動急劇增加。從偽裝成商業工具的信息竊取者，到高度復雜的模塊化后門，威脅行為者越來越多地針對企業環境中的Apple用戶發起攻擊。

例如，Atomic Infostealer通過知名企業應用程序的假版本傳播，而不僅僅是長期以來一直是安全隱患的破解游戲或消費者工具。

趨勢8利用ClickFix社會工程技術分發惡意軟件

網絡犯罪分子越來越多地采用ClickFix作為惡意軟件分發方法，這種攻擊依靠社會工程技術成功感染終端用戶設備。

ClickFix是一種新興威脅，利用用戶對不得不通過在線驗證"證明你是人類"的疲勞感，欺騙用戶在自己的系統上執行惡意代碼，通常是PowerShell腳本。通過劫持用戶對熟悉的CAPTCHA流程的信任，威脅行為者讓用戶在簡單驗證的幌子下，通過復制粘貼惡意命令到系統中，主動參與自己的妥協。這種威脅通過依賴人類行為而非系統漏洞繞過了許多傳統的檢測方法。

防范的6點建議

以上趨勢揭示了一個嚴峻的現實：惡意軟件攻擊呈現出更快、更智能、更復雜且更具破壞性的趨勢。隨著AI、精準攻擊和高級規避技術的興起，傳統的安全方法已不足以應對這些新興威脅。

為此，安全牛建議網絡安全人員：

1. 優先考慮AI感知防御：實施AI驅動的異常檢測和行為分析以對抗AI生成的威脅；
2. 專注于網絡安全彈性：加固工業和關鍵基礎設施系統，及時修補漏洞，為復雜勒索情景做準備；
3. 增強憑證保護：部署強認證并監控竊取器惡意軟件活動；
4. 采用高級端點安全：使用能夠檢測無文件惡意軟件和規避技術（如進程注入）的工具；
5. 培訓員工：教育員工識別復雜的釣魚和社會工程攻擊，包括深度偽造；
6. 持續監控和事件響應：保持主動威脅搜尋和快速響應能力，以適應不斷發展的戰術、技術和程序。具體來說，可以采用集成安全信息和事件管理 （SIEM） 和安全編排自動化和響應 （SOAR） 解決方案。

安全專業人士必須采用多層次、智能化的防御策略，不斷學習和適應，才能在這場永無止境的網絡安全戰爭中保持領先。