恶意软件是指那些能够危害计算机设备功能、窃取数据、监视用户并造成混乱的破坏性软件程序，具体可细分为间谍软件、勒索软件、病毒程序、僵尸网络、恶意广告、键盘记录程序和木马软件等。这些恶意软件通常会通过易受攻击的软件、文件共享、网站、广告、电子邮件附件或恶意链接进行传播。

尽管很多企业为了应对恶意软件威胁已经采取了大量措施和工作，网络钓鱼,勒索软件,供应链攻击,网络安全防御,DDOS攻击防御,CC攻击防御，但是每天都会有新的恶意软件样本不断被检测到。这些层出不穷的恶意软件能够轻松绕过组织已有的防护措施，对组织的数字化环境和应用系统构成了巨大的安全威胁。

AI 恶意软件：网络攻防的下一站

网络攻击者现在正在积极利用人工智能技术，创建由 AI 驱动的，具有高度规避能力的恶意软件和勒索软件。这种软件可以分析企业信息化系统的防御机制，并迅速伪装成合法的通信模式，以逃避安全检测。在过去的 2022 年，各种和 AI 技术利用相关的网络威胁也引起了安全专家们的高度关注，企业组织也必须努力了解最新的 AI 网络威胁形势，并采取相应的安全措施。

Rorschach：加密数据最快的勒索软件

2023 年初，网络安全公司 Check Point 的研究人员发现了一个勒索软件新变种 ——Rorschach。根据 Check Point 研究人员的描述，Rorschach 是迄今为止加密数据最快的勒索软件。与其他勒索软件不同的是，Rorschach 勒索病毒没有与任何以前已知的勒索软件集团关联，因此这种恶意软件威胁在技术上具有很多独特的功能，不仅具有自我传播能力，而且还从 LockBit v2.0、Babuk 和 Darkside 等主要勒索软件变种中引入了一些功能，大大提高了勒索攻击的能力门槛。

Chameleon：移动应用领域的新威胁

Chameleon（变色龙）恶意软件是由网络安全公司 Cyble 在今年初发现的一种新型安卓恶意软件，可以冒充澳大利亚政府机构 CoinSpot 加密货币交易所和 IKO 银行，通过受损网站、Discord 附件和 Bitbucket 托管服务进行分发，对受害用户展开网络攻击。

Cyble 安全研究人员表示， Chameleon 主要通过叠加注入和密钥记录、Cookie 和受感染设备的短信窃取用户凭据。该恶意软件有很强的逃避安全检查能力，一旦启动后会立即执行各种 “检查”，以逃避安全软件的检测，并会赋予自己更多的权限。Chameleon 恶意软件的出现凸显了移动应用领域恶意软件风险的增长趋势。

Goldoson：下载量已经过亿

Goldoson 是另外一种应该关注的 Android 恶意软件，这种攻击可以利用 60 多个流行的应用程序，目前累计下载量已超过 1 亿次。据发现 Goldoson 的 McAfee 研究团队表示，该恶意软件可以收集有关已安装应用程序、WiFi 和蓝牙连接设备以及用户 GPS 位置的数据。此外，它还可以在未经用户同意的情况下，自动在后台点击付费广告来进行广告欺诈。

Rhadamanthys：更高级的信息窃取软件

Rhadamanthys 是一款更加高级的信息窃取软件，于 2022 年 9 月在暗网上首次发布，并快速受到非法攻击者的追捧。Rhadamanthys 主要通过谷歌广告分发，并将受感染的用户重新定向到伪造的网络钓鱼网页。这些广告主要针对个人在线消费者，同时也可以用于攻击企业组织，此时它会通过垃圾邮件传播，并在其中包含带有恶意负载的附件。

作为一个信息窃取器，Rhadamanthys 会从受害者处收集尽可能多的信息，包括用户名、随机存储器（RAM）、CPU 信息、浏览历史、cookies、登录凭据等，甚至受害者的电脑屏幕也会被截屏，这些信息都会被自动转发到攻击者控制的服务器上。在进一步的攻击行动中，攻击者可以使用这些信息进行身份盗窃，窃取银行账户或从事其他恶意活动。

Pipedream：以工业控制系统为目标

Pipedream 是由非法攻击组织 CHERNOVITE 开发的一款针对工业控制系统，并具有跨行业破坏能力的 ICS/OT 恶意软件。它采用了模块化的 ICS 攻击框架，攻击者可以利用它来根据不同目标和环境发起特定的攻击。Pipedream 的存在表明，今天的恶意软件攻击能力已经大大增加。除了实现常见的 ICS/OT 特定协议外，Pipedream 还可以给攻击者提供丰富的选项，为未来的破坏性攻击提供更充分的信息，并最终使网络攻击者能够制造大规模的混乱和破坏。

Evil Extractor：善于伪装的 “教育工具”

Evil Extractor 恶意软件最初是由一家名为 Kodex 的公司开发，该公司称其为 “教育工具”。根据安全研究人员的说法，它通常被伪装成一个合法文件。但它一旦被受害者加载，就会利用 PowerShell 进行恶意攻击目的。正如它的名字一样，Evil Extractor 的恶意活动包括从端点提取敏感信息，并将其发送到威胁行为者的 FTP 服务器。Evil Extractor 还可以执行勒索软件攻击，并索要比特币赎金来换取解密密钥。

LockBit：最危险的勒索攻击威胁

LockBit 勒索软件于 2019 年首次浮出水面，由于其不断采用新的策略、技术和支付方式，经不断发展和演变，现已成为勒索软件领域作案最为频繁的威胁团伙之一，也被研究人员列为当前 “最危险的恶意软件威胁之一”。LockBit 勒索软件与其他勒索软件的关键区别在于，在勒索策略上已经开始资本化发展，成为一款勒索软件即服务（RaaS）产品。同时，该团伙还一直将工业基础设施作为重点关注的攻击目标。

Mirai 僵尸网络：助推 DDos 攻击

Mirai 僵尸网络首次出现于 2016 年 8 月，并被广泛用于针对各大网站、企业网络和其他信息基础设施发动大规模 DDoS 攻击。Mirai 恶意软件善于利用各种技术上的漏洞来非法控制计算设备，并将这些设备连接在一起，形成一个庞大的僵尸网络系统，而被劫持的设备会被编程以执行进一步的网络攻击。就在最近，研究人员观察到 Mirai 僵尸网络的一些新动态，它正在积极利用 TP-Link Archer A21（AX1800）WIFI 路由器漏洞。尽管目前的 Mirai 僵尸网络活动主要还是针对一些东欧地区国家，但其可能会快速向全球蔓延。

CV 恶意软件：轻松绕过主流的防病毒工具

顾名思义，CV（简历）恶意软件通过受感染或伪造的简历文件来运行，并将恶意软件投递到受害者的系统。研究人员发现，CV 恶意软件可以绕过 50 多种不同的杀毒软件应用程序，其开发者可能针对主流的反病毒产品都进行了逆向工程，以确保 CV 恶意软件工具可以逃脱检测。需要指出的是，CV 恶意软件是恶意软件的通用类别，同时也是一种特定的恶意软件类型。这种恶意软件会有许多不同的版本变异，研究人员建议企业用户要对各种形式的 CV 恶意软件保持警惕。