2025年第三季度十大恶意软件深度解析：威胁格局与技术细节

Top 10 Malware Q3 2025

作者： 互联网安全中心（CIS®）网络威胁情报（CTI）团队 发布日期： 2025年11月14日

来自多州信息共享与分析中心（MS-ISAC®）监控服务的恶意软件通知总数在2025年第二季度至第三季度间增长了38%。SocGholish 继续领先十大恶意软件榜单，这已是其连续两年位居榜首，占检测总数的26%。SocGholish是一种用JavaScript编写的下载器，通过恶意或被攻陷的网站伪装成虚假浏览器更新进行分发。SocGholish感染通常会导致进一步利用，例如加载NetSupport和AsyncRAT等远程访问工具。加密货币挖矿程序CoinMiner和远程访问木马（RAT）Agent Tesla紧随其后。

在2025年第三季度，MS-ISAC还观察到了Gh0st、Lumma Stealer和TeleGrab的回归，而Jinupd则是首次出现。Jinupd是一种下载器，它使用混淆脚本来获取并执行额外的载荷，通常通过网络钓鱼活动和被攻陷的网站分发。

此外，这是Lumma Stealer在其基础设施被执法部门捣毁后的首次现身。Lumma Stealer是一种在暗网出售的信息窃取恶意软件，针对个人身份信息（PII），如凭据和银行信息。它还具有多种防御规避能力，包括检测受感染系统是否为虚拟环境、检测系统上的用户活动以及加密其可执行文件以防止逆向工程。

恶意软件感染向量

MS-ISAC根据开源报告跟踪每季度十大恶意软件的潜在初始感染向量，如下图所示。目前我们跟踪三种初始感染向量：被投放、恶意垃圾邮件和恶意广告。有些恶意软件在不同情境下使用不同的向量，这些被归类为多重向量。

被投放： 恶意软件由系统中已有的其他恶意软件、漏洞利用工具包、受感染的第三方软件或网络威胁行为者手动投放。在发布时，Gh0st使用了此技术。
恶意垃圾邮件： 未经请求的电子邮件，或将用户引导至恶意网站，或诱骗用户下载或打开恶意软件。在发布时，Agent Tesla使用了此技术。
恶意广告： 通过恶意广告引入的恶意软件。在发布时，SocGholish和ZPHP使用了此技术。
多重向量： 目前使用至少两种向量的恶意软件，例如被投放和恶意垃圾邮件。在发布时，CoinMiner、Jinupd、Lumma Stealer、NanoCore、TeleGrab和VenomRAT使用了此技术。

CIS社区防御模型（CDM）v2.0可以帮助您防御与恶意软件相关的77%的MITRE ATT&CK（子）技术，无论它们使用何种感染向量。在下面的视频中了解更多。

（此处原为视频占位符）

在第三季度，由于与CoinMiner、TeleGrab和VenomRat相关的警报增加，多重向量成为首要的初始感染向量。

十大恶意软件及失陷指标

以下是按流行程度排序的十大恶意软件列表。CIS CTI团队提供了相关的失陷指标（IOC），以帮助防御者检测和预防这些恶意软件变种的感染。这些IOC来源于通过CIS Services®观察到的威胁活动和开源研究。网络管理员可将IOC用于威胁狩猎，但在用于阻止目的之前，应评估任何指标对组织的影响。

SocGholish
CoinMiner
Agent Tesla
TeleGrab
ZPHP
VenomRAT
Gh0st
NanoCore
Lumma Stealer
Jinupd

1. SocGholish

SocGholish是一种用JavaScript编写的下载器，通过恶意或被攻陷的网站伪装成虚假浏览器更新进行分发。它使用多种方法进行流量重定向和载荷投放，通常使用Cobalt Strike，并从受害者系统中窃取信息。此外，SocGholish可能导致进一步的利用，例如加载NetSupport和AsyncRAT远程访问工具，在某些情况下甚至加载勒索软件。域名

billing[.]roofnrack[.]us
cpanel[.]365axissolution[.]com
email[.]directoryindustry[.]com
feedback[.]fortunetaxs[.]com
folders[.]emeraldpinesolutions[.]com
keynotecapitals[.]com
photo[.]suziestuder[.]com
zone[.]ebuilderssource[.]com

2. CoinMiner

CoinMiner是一个加密货币挖矿程序家族，通常使用Windows管理规范（WMI）在网络中传播。此外，它经常使用WMI标准事件消费者脚本来执行持久化脚本。然而，恶意软件的能力各不相同，因为存在多个变种。CoinMiner通过恶意垃圾邮件传播或被其他恶意软件投放。 SHA256哈希值

063A65D2D36CAE110D6D6C400956A125B9C35176D628A9A8F4D8E2133EC4D887
0338C2CC1E83C851ADAA3EBB836A40B849DF0C48060BD3086193542CC6A7F26C
118AE6110A4B5708433EBD5809682E8C30F281F459A3B92B3E8ADA5023EB6640
3E59379F585EBF0BECB6B4E06D0FBBF806DE28A4BB256E837B4555F1B4245571
47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
59F7C03A2021CB28A433AE0D018388B2A5B802686CA94699FA0BC9E1917AEAD0
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

3. Agent Tesla

Agent Tesla是一种针对Windows操作系统的RAT，可在犯罪论坛上购买。根据购买的版本，它具有多种能力，包括捕获击键和屏幕截图、从Web浏览器中窃取保存的凭据、复制剪贴板数据、外泄受害者文件以及在主机上加载其他恶意软件。域名

mail[.]smc-energy[.]com
info-power[.]gl[.]at[.]ply[.]gg SHA256哈希值
ac5fc65ae9500c1107cdd72ae9c271ba9981d22c4d0c632d388b0d8a3acb68f4
c25a6673a24d169de1bb399d226c12cdc666e0fa534149fc9fa7896ee61d406f
dcfbe323a79ae16c098837ac947389f3fbd12587c322284cce541a4b482251f9
de4d1a23f283e7ad53706b8ba028d07d9e72ca3c2bf851245a360b6b93bd5588
d38fa4b7893995e5fc7e6d45024ffe0202b92769a4955cec29dc3bdb35d3c8ba
3df3f475fee2c5a74f567285fe848ceed1aff6e01b82710600af244b6529ef05
550f191396c9c2cbf09784f60faab836d4d1796c39d053d0a379afaca05f8ee8

4. TeleGrab

TeleGrab是一种信息窃取程序，针对桌面版和网页版的Telegram。它收集缓存和密钥文件，劫持聊天会话，并捕获联系人和聊天记录。 SHA256哈希值

2be87bc7e1cee08a3abc7f8fefcfab697bd28404441f2b8ee8fafba356164902

5. ZPHP

ZPHP是一种用JavaScript编写的下载器，通过恶意或被攻陷的网站伪装成虚假浏览器更新进行分发。ZPHP也已知会投放NetSupport远程访问工具和Lumma Stealer恶意软件。域名

ahmm[.]ca
anoteryo[.]top
ashesplayer[.]top
as5yo[.]top
buyedmeds[.]top
morniksell[.]com
retiregenz[.]com
trendings[.]top
warpdrive[.]top

6. VenomRAT

VenomRAT是一种开源RAT，通常被其他恶意软件投放或通过恶意垃圾邮件传播。由于VenomRAT是开源的，存在多个具有不同功能的版本。大多数版本包括与键盘记录、屏幕捕获、密码窃取、数据外泄以及下载和执行附加文件相关的功能。 SHA256哈希值

A5D1E69076FD9F52D8A804202A21852FE2B76FB4534F48455DEF652E84CCEAAB
D6CC784BE51F8B784BD9AFD2485F3766D89CA5AE004AE9F2C4DAE7E958DBE722
EAD78CEBBB4CF8CF410E1D8674D89D89F35A7A9936C3FF61C16C534062B3E9B8
Ff939d8a377b37b1688edc3adb70925ffcf313f83db72278d14955b323b138b7
F308A8CC0790F07F343D82AE0D9DA95248FB1BA4D4E01F30D0A8A43B9E6D3CA0
0109B0D2C690FED142DAD85CED4F1E277464ACC49DF4BEF3C5F5ED58F3925AED
156943B1DF6141AB7C2910B7CD5B8BCB2FFE839AA6C99D663ABF12588F11615B
522D4528ED25FE6CE9422B45AC4D162E7567330C0FCB274DE247C4CB07ED794B
57CDECA5D774353B37AFFDB9F3BF50BFF0E16140A9CED996F5AC3925DE362074
706AAFE4ED32AA4B13E65629C2496D9B1E2E9D1753AA0F92833586ACD1AA591E
89C73024FC9D700209ECADDF3628B59224D27750E188DCE0015313DA77346925

7. Gh0st

Gh0st是一种用于控制受感染终端的RAT。Gh0st被其他恶意软件投放，以在设备上创建后门，允许攻击者完全控制受感染的设备。域名

gmhyc[.]vip5944[.]com
kinh[.]xmcxmr[.]com
whseel.f3322[.]org
yinhunzhiren[.]e2[.]luyouxia[.]net SHA256哈希值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8. NanoCore

NanoCore是一种在犯罪论坛上出售的RAT，通常通过带有附件（如恶意的Excel（XLS）电子表格）的恶意垃圾邮件传播。NanoCore具有广泛的功能，包括键盘记录、屏幕捕获、密码窃取、数据外泄、下载和执行附加文件以及为持久化添加注册表项。 SHA256哈希值

ac7c3c0c3906c4d93e34b91fa34941277f044ac26d037c113c9756a4f18619dd
ae9384f6fc3fea2276f6897e910a5d5b7a3ad995420363788815e0754ff9469f
b41b8e7fa701068d5adb73d80ab7582f2faffa1bad904fa01f413c0775abb162
b5d0552aa20ae4bec3f41829abfb9e3b797512bcc9cdb9e6454b63f6a6727cea
cb221204dda7694c9ecd227681ada701093386b6bb290e128acd0db44aab56e3
edcddea73fb45a758b91322ed6b64f182d353d5760c71e7afcce7340f522b40b
4a0e6efe7da756a13dd1f1f7fe3a9a24f62e03ac4181e56a9b1e9e46045ff036
480a1166729945af333cf8a6f5d51a4ed13ac5e4af1487ecea6e87f7aefbf656
677ce0d368b44c16550269a5f337c5d8c67cf025664c614ab1add706627b0594
6945a4190b825daeb27ad63f21aade3053099ddba38dea4e25a5d1cc7471f74d

9. Lumma Stealer

Lumma Stealer，也称为Lumma，是一种以恶意软件即服务形式运行的信息窃取恶意软件。它针对PII，例如凭据、银行信息、Cookie、浏览器自动填充数据和加密货币钱包信息。此外，它具有多种防御规避能力，包括虚拟环境检测、用户活动监控和可执行文件加密，以阻碍逆向工程。域名

lzh[.]fr
digitbasket[.]com
duhodown[.]fun
kowersize[.]fun
marvelvod[.]com
mouseoiet[.]fun
plengreg[.]fun
zamesblack[.]fun
zamesblack[.]fun SHA256哈希值
FA8BE0CE6F177965A5CD2DB80E57C49FB31083BD4DDCB052DEF24CFBF48D65B5
388F910E662F69C7AB6FCF5E938BA813CF92C7794E5C3A6AD29C2D9276921ED3
64F6C0C0FD736C4A82F545AADC7A1C49D4CEA77B14F4B526EF9DA56A606EEB3D

10. Jinupd

Jinupd，也称为JackPOS，是一种销售点（POS）信息窃取程序，通过从支付处理应用程序中抓取内存来窃取信用卡信息。它经常伪装成Java更新程序，通过注册表修改建立持久性，外泄窃取的数据并下载额外的载荷。Jinupd通常通过路过式下载、被攻陷的网站或作为来自其他恶意软件的次级载荷传播。 SHA256哈希值

b9f8c7b020be54cc25d73d0fdf75378a87fa5729a9464366f33c274af795c050
7da2b0790888196277f45b32162c355c0b68c8a83479c5c3bbb3dd6deed80c8a

利用定制化威胁情报的力量

本次威胁情报简报展示了CIS CTI团队如何为MS-ISAC的付费成员提供支持。MS-ISAC成员资格面向美国州、地方、部落和领地（SLTT）政府实体开放，使组织能够共享信息并合作防御网络威胁。CIS CTI团队通过维护唯一针对美国SLTT的STIX/TAXII威胁情报源来支持成员。它还定期发布威胁情报简报以及详细报告，例如季度威胁报告和运营网络分析报告，为决策者提供可操作的威胁情报，帮助他们采取积极主动的方法来组织网络防御。