2025年3月，網絡威脅事件激增，個人用戶和企業組織均面臨嚴峻風險。從被武器化用于竊取個人數據的銀行應用，到遭濫用于將用戶重定向至釣魚陷阱的可信域名，網絡犯罪分子手段層出不窮。其攻擊策略正變得更具創造性和危險性。以下是本月引發廣泛關注的三大典型攻擊事件。

一、通過Telegram傳播的安卓銀行木馬

安全研究人員發現一款仿冒IndusInd銀行應用的惡意軟件投放器（dropper），專門針對安卓用戶實施釣魚攻擊以竊取敏感財務信息。該惡意應用安裝后會顯示虛假銀行界面，誘騙用戶輸入手機號碼、Aadhaar/PAN身份證號及網銀憑證等關鍵信息。

被盜數據會同時發送至釣魚服務器和Telegram控制的C2（命令與控制）通道。該APK包含核心惡意負載base.apk，具有安裝其他應用的權限，并采用"npmanager"作為密鑰進行XOR加密以隱藏代碼行為。

二、可信網站遭惡意重定向濫用

攻擊者利用歷史悠久的可信域名（最早可追溯至1996年注冊）的重定向功能，將用戶引導至釣魚頁面。由于這些域名被安全工具標記為可信，用戶難以察覺異常。

攻擊者通過弱重定向驗證漏洞，將這些看似安全的URL轉變為惡意網站的跳板。最終用戶會看到仿冒的Microsoft登錄頁面，但異常URL結構暴露了其釣魚本質。

三、仿冒Booking.com頁面傳播XWorm木馬

攻擊者通過域名搶注創建高度仿真的Booking.com釣魚頁面，誘導用戶執行惡意腳本或提交信用卡信息。

用戶被誘導按下Win+R鍵執行惡意命令后，會下載XWorm遠控木馬，攻擊者可借此竊取數據并獲取系統控制權。另一變種則直接偽造信用卡驗證頁面竊取財務信息。

當前威脅態勢的核心特征

• 知名品牌淪為誘餌 從Booking.com到Microsoft，攻擊者正大肆仿冒受信任平臺
• 重定向與虛假應用更難檢測 多數攻擊在造成損害后才被安全工具發現
• 單點失誤可能危及整個企業 一次數據泄露就可能開放內部系統訪問權限

面對日益復雜的威脅環境，為安全團隊配備即時分析可疑文件與鏈接的工具至關重要。ANY.RUN交互式沙箱提供安全的云環境，可快速分析Windows、Linux和Android系統的威脅行為，實時追蹤攻擊鏈并提取威脅指標（IOC）。