2025年SMB威胁报告:AI与协作工具成网络攻击新焦点
恶意软件和潜在不受欢迎应用程序(PUAs)如何伪装成流行服务
卡巴斯基分析师利用卡巴斯基安全网络(KSN)数据,研究了恶意和不受欢迎文件及程序伪装成中小企业常用合法应用的频率。KSN是一个处理自愿加入的卡巴斯基用户共享的匿名网络威胁相关数据的系统。本研究仅分析了来自卡巴斯基SMB解决方案用户的数据,重点关注以下应用:
- ChatGPT
- Cisco AnyConnect
- Google Drive
- Google Meet
- DeepSeek
- Microsoft Excel
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft Teams
- Microsoft Word
- Salesforce
- Zoom
仅在2025年1月至4月期间,近8,500名SMB用户遭遇了恶意软件或PUAs伪装成这些流行工具的网络攻击。
在检测到的威胁中,模仿广泛使用的视频会议平台Zoom的独特恶意和潜在不受欢迎文件数量最高(1,652个),占所有检测到的独特文件的近41%,较2024年增加了14个百分点。Microsoft Office应用程序仍然是频繁被模仿的目标:Outlook和PowerPoint各占16%,Excel占近12%,而Word和Teams分别占9%和5%。
2024年和2025年模仿九大最流行合法应用程序的独特文件份额对比(可下载)
2024年和2025年威胁格局的比较揭示了一个明显转变:随着AI服务的日益普及,网络攻击者越来越多地将恶意软件伪装成各种AI工具。根据我们的分析,模仿ChatGPT的独特恶意文件数量增长了115%,在2025年前四个月达到177个。这导致该工具在最受模仿应用程序中的份额增加了三个百分点。DeepSeek是一个仅在2025年推出的大型语言模型,立即出现在被模仿工具列表中。
2025年需要警惕的另一种网络犯罪策略是越来越多地使用协作平台品牌来诱使用户下载或启动恶意软件和PUAs。如上所述,伪装成Zoom的威胁份额增加了14个百分点,达到1,652个独特文件,而Microsoft Teams和Google Drive分别增加了超过三个和一个百分点,分别有206和132个案例。这种模式可能反映了远程工作和地理分布式团队的常态化,这些平台已成为各行业业务运营的重要组成部分。
攻击者显然在利用这些服务的流行度和可信度来提高其攻击活动的成功率。
| 模仿流行服务的恶意文件名 | 2024年 | 2025年 | 2025年 vs 2024年 |
|---|---|---|---|
| Zoom | 26.24% | 40.86% | 14.62 p.p. |
| Microsoft Teams | 1.84% | 5.10% | 3.25 p.p. |
| ChatGPT | 1.47% | 4.38% | 2.9 p.p. |
| DeepSeek | 0 | 2.05% | – |
| Google Drive | 2.11% | 3.26% | 1.15 p.p. |
模仿合法应用程序的独特恶意和不受欢迎文件总数略有下降,从2024年的5,587个降至2025年的4,043个。
2025年影响SMB行业的主要威胁类型(可下载)
2025年针对SMB的顶级威胁包括下载器、特洛伊木马和广告软件。
领先的是下载器,这些潜在不受欢迎的应用程序旨在从互联网安装额外内容,通常不会明确告知用户正在下载什么。虽然这些工具本身并非恶意,但攻击者经常利用它们向受害者设备传递有害负载。
接下来是特洛伊木马。这些恶意程序执行未经授权的操作,如删除、阻止、修改或复制数据,或破坏计算机和网络的正常运行。特洛伊木马是最普遍的恶意软件形式之一,网络攻击者继续在广泛的恶意活动中使用它们。
广告软件也位列前三。这些程序旨在在受感染的计算机上显示广告,或将浏览器中的默认搜索引擎替换为促销网站。广告软件通常与免费软件或共享软件捆绑在一起, effectively serving as the price for using the free software。在某些情况下,特洛伊木马会静默下载并安装广告软件到受害者机器上。
其他常见威胁类型包括DangerousObject、Trojan-Dropper、Backdoor、Trojan-Downloader、HackTool、Trojan-PSW和PSW-Tool。例如,我们最近发现了一个涉及名为“TookPS”的Trojan-Downloader的活动,该活动通过模仿合法远程访问和3D建模软件的虚假网站进行分发。
诈骗者和网络钓鱼者如何诱骗受害者交出账户和资金
我们继续观察到针对SMB的各种网络钓鱼活动和诈骗。攻击者旨在窃取各种服务的登录凭证,从交付平台到银行系统,或操纵受害者向他们发送资金。
为此,网络攻击者使用各种诱饵, often imitating landing pages from brands commonly used by SMBs。一个例子是针对Google商业账户的网络钓鱼尝试。诱饵以在X上推广公司为承诺,要求受害者首先使用其Google账户登录一个专用平台,而凭证最终会落入网络攻击者手中。
另一个虚假登录页面模仿了一家提供商业贷款的银行:“Global Trust Bank”。由于多个国家存在具有该名称的合法组织,这种网络钓鱼尝试可能看起来可信。攻击者试图以有利的商业贷款条件吸引用户——但只有在受害者提交其在线银行凭证后, giving the criminals access to their accounts。
我们还看到了一系列针对SMB的网络钓鱼电子邮件。在我们系统检测到的一个最近案例中,攻击者发送了一封 allegedly from DocuSign(电子文档签名服务)的虚假通知。
SMB甚至可能成为经典尼日利亚诈骗的目标。在一个最近的例子中,发送者声称代表一位来自土耳其的富裕客户,该客户想将3,300万美元转移到国外以 allegedly avoid sanctions,并邀请收件人处理资金。在尼日利亚诈骗中,诈骗者 typically cajole money。他们可能 later request a relatively small payment to a manager or lawyer compared to the amount originally promised。
除了这些威胁,SMB每天还会收到数百封垃圾邮件。有些承诺有吸引力的电子邮件营销或贷款交易;其他提供声誉管理、内容创作或潜在客户生成等服务。总的来说,这些优惠旨在反映小企业的典型需求。毫不奇怪,AI也进入了垃圾邮件文件夹——提供自动化各种业务流程的服务。
我们还看到垃圾邮件发送者提供可疑交易,如以100美元购买超过40万家企业的数据库, supposedly to be used for selling the company’s B2B products,或操纵评论平台上的评论。
安全提示
SMB可以通过投资全面的网络安全解决方案和提高员工意识来降低风险并确保业务连续性。实施强有力的措施至关重要,如垃圾邮件过滤器、电子邮件认证协议,以及严格的财务交易和敏感信息处理验证程序。
另一个实现网络弹性的关键步骤是提高对全面安全程序重要性的认识,并确保它们定期更新。定期的安全培训课程、强密码实践和多因素认证可以显著降低网络钓鱼和欺诈的风险。
还值得注意的是,通过搜索引擎搜索软件是一种不安全的做法,应在组织中禁止。如果您需要实施新工具或更换现有工具,请确保从官方来源下载,并由您的IT团队集中安装。
SMB网络安全行动计划
- 定义企业资源的访问规则,如电子邮件账户、共享文件夹和在线文档。监控并限制访问关键公司数据的人数。保持访问列表最新,并在员工离开公司时及时撤销访问权限。使用云访问安全代理来监控和控制员工在云服务中的活动,并执行安全策略。
- 定期备份重要数据,以确保在紧急情况或网络事件中保留企业信息。
- 建立使用外部服务和资源的明确指南。创建明确定义的程序,用于协调特定任务,如实施新软件,与IT部门和其他负责经理协调。为员工制定简短、易于理解的网络安全指南,特别关注账户和密码管理、电子邮件保护和安全网页浏览。一个全面的培训计划将 equip employees with the knowledge they need and the ability to apply it in practice。
- 实施专门的网络安全解决方案,提供对云服务的可见性和控制,如卡巴斯基Next。