FakeUpdates, Remcos, AgentTesla возглавили рейтинги вредоносных программ в период всплеска скрытых атак

Отчет Check Point о вредоносном ПО за апрель 2025 года раскрывает все более сложные и скрытые атаки с использованием известных вредоносных программ, таких как FakeUpdates, Remcos и AgentTesla. Образование остается наиболее уязвимым сектором. Узнайте о последних киберугрозах и о том, как оставаться защищенным.

Check Point Research (CPR) опубликовала результаты своих исследований за апрель 2025 года, в которых описывается тревожная тенденция использования злоумышленниками более сложных и скрытных методов для доставки вредоносного ПО. Хотя некоторые известные семейства вредоносных программ остаются распространенными, методы, используемые для заражения систем, становятся все более изощренными, что затрудняет их обнаружение.

По данным CPR, большинство атак, обнаруженных в апреле, включали фишинговые письма, замаскированные под подтверждения заказов. Эти письма содержали скрытый файл 7-Zip, который выпускал зашифрованные инструкции, что приводило к установке распространенных вредоносных программ, таких как AgentTesla, Remcos и XLoader.

Атаки были особенно тревожными из-за их хорошо скрытой природы, использования закодированных скриптов и внедрения вредоносного ПО в легитимные процессы Windows. Исследователи также заметили «опасное сближение стандартных инструментов с тактикой продвинутых злоумышленников», что означает, что даже базовое вредоносное ПО теперь используется в высокотехнологичных операциях, говорится в сообщении блога CPR.

Несмотря на эти новые коварные методы, некоторые знакомые названия по-прежнему возглавляли список наиболее распространенных вредоносных программ в апреле, в том числе следующие:

Эта вредоносная программа осталась самой распространенной, затронув 6% организаций по всему миру. Она обманывает пользователей, заставляя их устанавливать поддельные обновления браузера со взломанных веб-сайтов , связана с российской хакерской группой Evil Corp и используется для доставки дальнейшего вредоносного ПО.

Этот инструмент удаленного доступа, часто распространяемый через вредоносные документы в фишинговых письмах, может обходить функции безопасности Windows, предоставляя злоумышленникам высокий уровень контроля над зараженными системами.

AgentTesla, который является продвинутым инструментом , может регистрировать нажатия клавиш, красть пароли, делать снимки экрана и захватывать данные для входа в различные приложения. Он открыто продается в Интернете.

Анализ семейств вредоносных программ выявил рост использования Androxgh0st, который нацелен на веб-приложения для кражи конфиденциальной информации, в то время как использование инструмента удаленного доступа AsyncRat снизилось. Другие известные семейства, включенные в первую десятку, включают Formbook , Lumma Stealer , Phorpiex, Amadey и Raspberry Robin .

В апреле появилась новая группа программ-вымогателей SatanLock, перечислившая множество жертв на своем сайте утечки данных. Однако большинство этих жертв уже были заявлены другими группами, что указывает на потенциально конкурентную среду в сообществе киберпреступников. Более того, Akira была самой распространенной группой программ-вымогателей, за ней следовали SatanLock и Qilin.

Мобильные устройства остаются важной целью, а Anubis , AhMyth и Hydra возглавляют список мобильных вредоносных программ в апреле. Больше всего беспокоит то, что эти вредоносные программы становятся все более изощренными, предлагая удаленный доступ, возможности вымогательства и перехваты многофакторной аутентификации.

Более того, третий месяц подряд сектор образования остается наиболее уязвимым в мире, вероятно, из-за большой базы пользователей и слабой инфраструктуры кибербезопасности. Государственный сектор и сектор телекоммуникаций следуют за ним с небольшим отставанием. В то же время региональный анализ показал различные тенденции вредоносного ПО: в Латинской Америке и Восточной Европе наблюдается больше FakeUpdates и Phorpiex, а в Азии наблюдается рост активности Remcos и AgentTesla.

Учитывая эту все более сложную и постоянную среду киберугроз, CPR рекомендует организациям принять стратегию «прежде всего профилактики», включая обучение сотрудников фишингу, регулярное обновление программного обеспечения и внедрение передовых решений по предотвращению угроз для обнаружения и блокировки этих сложных атак до того, как они смогут причинить вред.