Top 10 Malware Q3 2025

由互联网安全中心® (CIS®) 网络威胁情报 (CTI) 团队发布
发布日期：2025年11月14日

来自多州信息共享与分析中心® (MS-ISAC®) 监控服务的恶意软件通知总数在2025年第二季度到第三季度间增长了38%。SocGholish 继续领跑十大恶意软件榜单，这已是它过去两年中的常态，占检测量的26%。SocGholish 是一种用 JavaScript 编写的下载器，通过恶意或遭破坏的网站以虚假浏览器更新的形式分发。SocGholish 感染通常会导致进一步的利用，例如 NetSupport 和 AsyncRAT 等远程访问工具。加密货币挖矿程序 CoinMiner 和远程访问木马 (RAT) Agent Tesla 紧随 SocGholish 之后。

在2025年第三季度，MS-ISAC 还观察到 Gh0st、Lumma Stealer 和 TeleGrab 的回归，而 Jinupd 则是首次出现。Jinupd 是一种使用混淆脚本来获取并执行额外有效载荷的下载器。它通常通过网络钓鱼活动和受感染的网站分发。

此外，这是 Lumma Stealer 在其基础设施被执法部门端掉后的首次亮相。Lumma Stealer 是一种在暗网上出售的信息窃取恶意软件，针对个人身份信息 (PII)，如凭证和银行信息。它还具备多种防御规避能力，包括检测受感染系统是否为虚拟环境、检测系统上的用户活动以及加密其可执行文件以防止逆向工程。

恶意软件感染途径

MS-ISAC 每个季度都会根据开源报告追踪十大恶意软件潜在的初始感染途径，如下图所示。我们目前追踪三种初始感染途径：被投放、恶意垃圾邮件和恶意广告。有些恶意软件在不同上下文中使用不同的途径，这些被追踪为多重途径。

• 被投放：由系统中已有的其他恶意软件、漏洞利用工具包、受感染的第三方软件或由网络威胁行为者手动投放的恶意软件。截至发布时，Gh0st 使用了此技术。
• 恶意垃圾邮件：未经请求的电子邮件，诱使用户访问恶意网站或诱骗用户下载或打开恶意软件。截至发布时，Agent Tesla 使用了此技术。
• 恶意广告：通过恶意广告引入的恶意软件。截至发布时，SocGholish 和 ZPHP 使用了此技术。
• 多重途径：目前使用至少两种途径（例如被投放和恶意垃圾邮件）的恶意软件。截至发布时，CoinMiner、Jinupd、Lumma Stealer、NanoCore、TeleGrab 和 VenomRAT 使用了此技术。

CIS 社区防御模型 (CDM) v2.0 可以帮助您防御 77% 与恶意软件相关的 MITRE ATT&CK（子）技术，无论它们使用何种感染途径。

在第三季度，由于与 CoinMiner、TeleGrab 和 VenomRat 相关的警报增加，多重途径成为首要的初始感染途径。

十大恶意软件及IOC指标

以下是按流行程度排序的十大恶意软件列表。CIS CTI 团队提供了相关的危害指标 (IOC)，以帮助防御者检测和预防这些恶意软件变种的感染。这些 IOC 来源于通过 CIS Services® 和开源研究观察到的威胁活动。网络管理员可以将这些 IOC 用于威胁狩猎，但在用于阻断目的之前，应评估任何指标对组织的影响。

1. SocGholish
2. CoinMiner
3. Agent Tesla
4. TeleGrab
5. ZPHP
6. VenomRAT
7. Gh0st
8. NanoCore
9. Lumma Stealer
10. Jinupd

1. SocGholish

SocGholish 是一种用 JavaScript 编写的下载器，通过恶意或遭破坏的网站以虚假浏览器更新的形式分发。它使用多种方法进行流量重定向和有效载荷传递，通常使用 Cobalt Strike，并从受害者的系统中窃取信息。此外，SocGholish 可能导致进一步的利用，例如加载 NetSupport 和 AsyncRAT 远程访问工具，甚至在有些情况下加载勒索软件。

域名

• billing[.]roofnrack[.]us
• cpanel[.]365axissolution[.]com
• email[.]directoryindustry[.]com
• feedback[.]fortunetaxs[.]com
• folders[.]emeraldpinesolutions[.]com
• keynotecapitals[.]com
• photo[.]suziestuder[.]com
• zone[.]ebuilderssource[.]com

2. CoinMiner

CoinMiner 是一个加密货币挖矿程序家族，通常使用 Windows 管理规范 (WMI) 在网络中传播。此外，它经常使用 WMI 标准事件消费者脚本执行脚本来实现持久性。然而，该恶意软件的功能各不相同，因为存在多个变种。CoinMiner 通过恶意垃圾邮件传播或被其他恶意软件投放。

SHA256 哈希值

• 063A65D2D36CAE110D6D6C400956A125B9C35176D628A9A8F4D8E2133EC4D887
• 0338C2CC1E83C851ADAA3EBB836A40B849DF0C48060BD3086193542CC6A7F26C
• 118AE6110A4B5708433EBD5809682E8C30F281F459A3B92B3E8ADA5023EB6640
• 3E59379F585EBF0BECB6B4E06D0FBBF806DE28A4BB256E837B4555F1B4245571
• 47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
• 59F7C03A2021CB28A433AE0D018388B2A5B802686CA94699FA0BC9E1917AEAD0
• 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

3. Agent Tesla

Agent Tesla 是一种针对 Windows 操作系统的 RAT，可在犯罪论坛上购买。根据购买的版本不同，它具有各种功能，包括捕获击键和屏幕截图、从 Web 浏览器中获取保存的凭据、复制剪贴板数据、窃取受害者的文件以及将其他恶意软件加载到主机上。

域名

• mail[.]smc-energy[.]com
• info-power[.]gl[.]at[.]ply[.]gg

SHA256 哈希值

• ac5fc65ae9500c1107cdd72ae9c271ba9981d22c4d0c632d388b0d8a3acb68f4
• c25a6673a24d169de1bb399d226c12cdc666e0fa534149fc9fa7896ee61d406f
• dcfbe323a79ae16c098837ac947389f3fbd12587c322284cce541a4b482251f9
• de4d1a23f283e7ad53706b8ba028d07d9e72ca3c2bf851245a360b6b93bd5588
• d38fa4b7893995e5fc7e6d45024ffe0202b92769a4955cec29dc3bdb35d3c8ba
• 3df3f475fee2c5a74f567285fe848ceed1aff6e01b82710600af244b6529ef05
• 550f191396c9c2cbf09784f60faab836d4d1796c39d053d0a379afaca05f8ee8

4. TeleGrab

TeleGrab 是一种针对桌面版和网页版 Telegram 的信息窃取程序。它会收集缓存和密钥文件、劫持聊天会话，并捕获联系人和聊天记录。

SHA256 哈希值

• 2be87bc7e1cee08a3abc7f8fefcfab697bd28404441f2b8ee8fafba356164902

5. ZPHP

ZPHP 是一种用 JavaScript 编写的下载器，通过恶意或遭破坏的网站以虚假浏览器更新的形式分发。ZPHP 也以投放 NetSupport 远程访问工具和 Lumma Stealer 恶意软件而闻名。

域名

• ahmm[.]ca
• anoteryo[.]top
• ashesplayer[.]top
• as5yo[.]top
• buyedmeds[.]top
• morniksell[.]com
• retiregenz[.]com
• trendings[.]top
• warpdrive[.]top

6. VenomRAT

VenomRAT 是一种开源 RAT，通常由其他恶意软件投放或通过恶意垃圾邮件传播。由于 VenomRAT 是开源的，因此存在多个具有不同功能的版本。大多数版本都包含与键盘记录、屏幕捕获、密码窃取、数据窃取以及下载和执行附加文件相关的功能。

SHA256 哈希值

• A5D1E69076FD9F52D8A804202A21852FE2B76FB4534F48455DEF652E84CCEAAB
• D6CC784BE51F8B784BD9AFD2485F3766D89CA5AE004AE9F2C4DAE7E958DBE722
• EAD78CEBBB4CF8CF410E1D8674D89D89F35A7A9936C3FF61C16C534062B3E9B8
• Ff939d8a377b37b1688edc3adb70925ffcf313f83db72278d14955b323b138b7
• F308A8CC0790F07F343D82AE0D9DA95248FB1BA4D4E01F30D0A8A43B9E6D3CA0
• 0109B0D2C690FED142DAD85CED4F1E277464ACC49DF4BEF3C5F5ED58F3925AED
• 156943B1DF6141AB7C2910B7CD5B8BCB2FFE839AA6C99D663ABF12588F11615B
• 522D4528ED25FE6CE9422B45AC4D162E7567330C0FCB274DE247C4CB07ED794B
• 57CDECA5D774353B37AFFDB9F3BF50BFF0E16140A9CED996F5AC3925DE362074
• 706AAFE4ED32AA4B13E65629C2496D9B1E2E9D1753AA0F92833586ACD1AA591E
• 89C73024FC9D700209ECADDF3628B59224D27750E188DCE0015313DA77346925

7. Gh0st

Gh0st 是一种用于控制受感染终端的 RAT。Gh0st 由其他恶意软件投放，以在设备上创建后门，使攻击者能够完全控制受感染的设备。

域名

• gmhyc[.]vip5944[.]com
• kinh[.]xmcxmr[.]com
• whseel.f3322[.]org
• yinhunzhiren[.]e2[.]luyouxia[.]net

SHA256 哈希值

• eb012c3bc2ff9dc0710c4de9dd0da5ae5a962e4521b7ae33035bf69dd897a255
• ef686d3726ef3f2ec5dee9390a6430cc74aae5c0b24a30441154aa1415ab9887
• 0d1b1e53089001d5ba3e3e81083bd29a38a989a9791dd1432eb5331ee100336e
• 085e647900df354e4ef17451b8a644169a473f5e175383f6cf7666a5ff66a191
• 3a4cef94dd1a37c78f34e9d5912930ad4e8a858f7672435eea186c5148b05dd6
• 9baec10376d3661ed20d953b718a975433cc1299a6db8fd3b690b4e3bc01058d
• 92d1eada419273a87ee66170826f94aab7af63a521bdfc20273620a5bb9e012b
• 967833fc5afa92793c2a1b1e190726a0dbc15c2d103280495b1f94c5e2ba39ae

8. NanoCore

NanoCore 是一种在犯罪论坛上出售的 RAT，通常通过带有附件（例如恶意 Excel (XLS) 电子表格）的恶意垃圾邮件传播。NanoCore 具有广泛的功能，包括键盘记录、屏幕捕获、密码窃取、数据窃取、下载和执行附加文件，以及添加注册表项以实现持久性。

SHA256 哈希值

• ac7c3c0c3906c4d93e34b91fa34941277f044ac26d037c113c9756a4f18619dd
• ae9384f6fc3fea2276f6897e910a5d5b7a3ad995420363788815e0754ff9469f
• b41b8e7fa701068d5adb73d80ab7582f2faffa1bad904fa01f413c0775abb162
• b5d0552aa20ae4bec3f41829abfb9e3b797512bcc9cdb9e6454b63f6a6727cea
• cb221204dda7694c9ecd227681ada701093386b6bb290e128acd0db44aab56e3
• edcddea73fb45a758b91322ed6b64f182d353d5760c71e7afcce7340f522b40b
• 4a0e6efe7da756a13dd1f1f7fe3a9a24f62e03ac4181e56a9b1e9e46045ff036
• 480a1166729945af333cf8a6f5d51a4ed13ac5e4af1487ecea6e87f7aefbf656
• 677ce0d368b44c16550269a5f337c5d8c67cf025664c614ab1add706627b0594
• 6945a4190b825daeb27ad63f21aade3053099ddba38dea4e25a5d1cc7471f74d

9. Lumma Stealer

Lumma Stealer，也称为 Lumma，是一种作为恶意软件即服务 (MaaS) 运作的信息窃取恶意软件。它针对 PII，如凭据、银行信息、Cookie、浏览器自动填充数据以及加密货币钱包信息。此外，它具有多种防御规避能力，包括虚拟环境检测、用户活动监控和可执行文件加密以阻碍逆向工程。

域名

• lzh[.]fr
• digitbasket[.]com
• duhodown[.]fun
• kowersize[.]fun
• marvelvod[.]com
• mouseoiet[.]fun
• plengreg[.]fun
• zamesblack[.]fun
• zamesblack[.]fun

SHA256 哈希值

• FA8BE0CE6F177965A5CD2DB80E57C49FB31083BD4DDCB052DEF24CFBF48D65B5
• 388F910E662F69C7AB6FCF5E938BA813CF92C7794E5C3A6AD29C2D9276921ED3
• 64F6C0C0FD736C4A82F545AADC7A1C49D4CEA77B14F4B526EF9DA56A606EEB3D

10. Jinupd

Jinupd，也称为 JackPOS，是一种销售点 (POS) 信息窃取程序，通过从支付处理应用程序的内存中抓取数据来窃取信用卡信息。它经常伪装成 Java 更新程序，通过注册表修改建立持久性，窃取数据，并下载额外的有效载荷。Jupd 通常通过路过式下载、受感染的网站或作为其他恶意软件的次要有效载荷传播。

SHA256 哈希值

• b9f8c7b020be54cc25d73d0fdf75378a87fa5729a9464366f33c274af795c050
• 7da2b0790888196277f45b32162c355c0b68c8a83479c5c3bbb3dd6deed80c8a

利用定制化威胁情报的力量

此威胁情报简报说明了 CIS CTI 团队如何支持 MS-ISAC 的付费成员。MS-ISAC 会员资格适用于美国州、地方、部落和领土 (SLTT) 政府实体，使组织能够共享信息并合作防御网络威胁。CIS CTI 团队通过维护唯一针对美国 SLTT 定制的 STIX/TAXII 威胁情报源来支持成员。它还定期发布威胁情报简报以及详细报告，例如《季度威胁报告》和《运营网络分析报告》，为决策者提供可操作的威胁情报，以便他们能够采取积极的方法来应对组织的网络防御。
j3iunZqwGFnePz30dgvWx0ewT/xiD8qhqHsNUeIGHpdBwvaF6+QhnCkDdBBUj2oggzONLexrbW/c1XGdaR+YqA==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）