2025年3月，網(wǎng)絡(luò)威脅事件激增，個(gè)人用戶(hù)和企業(yè)組織均面臨嚴(yán)峻風(fēng)險(xiǎn)。從被武器化用于竊取個(gè)人數(shù)據(jù)的銀行應(yīng)用，到遭濫用于將用戶(hù)重定向至釣魚(yú)陷阱的可信域名，網(wǎng)絡(luò)犯罪分子手段層出不窮。其攻擊策略正變得更具創(chuàng)造性和危險(xiǎn)性。以下是本月引發(fā)廣泛關(guān)注的三大典型攻擊事件。

一、通過(guò)Telegram傳播的安卓銀行木馬

安全研究人員發(fā)現(xiàn)一款仿冒IndusInd銀行應(yīng)用的惡意軟件投放器（dropper），專(zhuān)門(mén)針對(duì)安卓用戶(hù)實(shí)施釣魚(yú)攻擊以竊取敏感財(cái)務(wù)信息。該惡意應(yīng)用安裝后會(huì)顯示虛假銀行界面，誘騙用戶(hù)輸入手機(jī)號(hào)碼、Aadhaar/PAN身份證號(hào)及網(wǎng)銀憑證等關(guān)鍵信息。

被盜數(shù)據(jù)會(huì)同時(shí)發(fā)送至釣魚(yú)服務(wù)器和Telegram控制的C2（命令與控制）通道。該APK包含核心惡意負(fù)載base.apk，具有安裝其他應(yīng)用的權(quán)限，并采用"npmanager"作為密鑰進(jìn)行XOR加密以隱藏代碼行為。

二、可信網(wǎng)站遭惡意重定向?yàn)E用

攻擊者利用歷史悠久的可信域名（最早可追溯至1996年注冊(cè)）的重定向功能，將用戶(hù)引導(dǎo)至釣魚(yú)頁(yè)面。由于這些域名被安全工具標(biāo)記為可信，用戶(hù)難以察覺(jué)異常。

攻擊者通過(guò)弱重定向驗(yàn)證漏洞，將這些看似安全的URL轉(zhuǎn)變?yōu)閻阂饩W(wǎng)站的跳板。最終用戶(hù)會(huì)看到仿冒的Microsoft登錄頁(yè)面，但異常URL結(jié)構(gòu)暴露了其釣魚(yú)本質(zhì)。

三、仿冒Booking.com頁(yè)面?zhèn)鞑Worm木馬

攻擊者通過(guò)域名搶注創(chuàng)建高度仿真的Booking.com釣魚(yú)頁(yè)面，誘導(dǎo)用戶(hù)執(zhí)行惡意腳本或提交信用卡信息。

用戶(hù)被誘導(dǎo)按下Win+R鍵執(zhí)行惡意命令后，會(huì)下載XWorm遠(yuǎn)控木馬，攻擊者可借此竊取數(shù)據(jù)并獲取系統(tǒng)控制權(quán)。另一變種則直接偽造信用卡驗(yàn)證頁(yè)面竊取財(cái)務(wù)信息。

當(dāng)前威脅態(tài)勢(shì)的核心特征

• 知名品牌淪為誘餌 從Booking.com到Microsoft，攻擊者正大肆仿冒受信任平臺(tái)
• 重定向與虛假應(yīng)用更難檢測(cè) 多數(shù)攻擊在造成損害后才被安全工具發(fā)現(xiàn)
• 單點(diǎn)失誤可能危及整個(gè)企業(yè) 一次數(shù)據(jù)泄露就可能開(kāi)放內(nèi)部系統(tǒng)訪問(wèn)權(quán)限

面對(duì)日益復(fù)雜的威脅環(huán)境，為安全團(tuán)隊(duì)配備即時(shí)分析可疑文件與鏈接的工具至關(guān)重要。ANY.RUN交互式沙箱提供安全的云環(huán)境，可快速分析Windows、Linux和Android系統(tǒng)的威脅行為，實(shí)時(shí)追蹤攻擊鏈并提取威脅指標(biāo)（IOC）。