Avast 2021年第三季度威胁报告

---

最新的 Avast 2021 年第三季威胁报告显示，勒索病毒和远端存取木马 (RAT) 攻击风险上升，并且根套件和利用工具包回归。

前言

威胁环境是一个持续变化和演变的迷人世界。过去长期以来无法动摇的真理，隔天却不再有效；最流行的威胁突然消失，但通常会被至少两个新威胁迅速取代；而这些威胁背后的坏人在试图从中获利时，总是会使用新的技巧。

与同事们共同研究后，我们认为将这些见解仅仅保留给自己是自私的，于是决定开始定期发布 Avast 威胁报告。在这里，我们希望与您分享有关新兴威胁的详细信息、恶意软体背后的故事及其传播过程，当然还有来自我们 435M 端点遥测的统计数据。

那么让我们来看看 Q3 报告，必须说这是一个丰富的季度。以下是报告的小预览：我的同事们发布了针对蒙古凭证机构 MonPass 的持续 APT 活动的详细信息。另一项新研究是发现了 Crackonosh 加密窃取者，为其操作者赚取了超过 200 万美金。我们也关注著哪个僵尸网路将取代前王者 Emotet。此外，银行木马在移动设备上的蔓延特别是 FluBot和 Windows 上的根套件在九月的活动几乎翻倍。对我来说，一切始于 7 月 2 日的晚上，当时发生了对 Kaseya MSP 的 Sodinokibi/REvil 勒索病毒供应链攻击，这次攻击滥用了 Microsoft Defender，还涉及到世界领导人以及精确的时间安排恰好发生在我负责威胁实验室的周末向所有处理这一事件的资讯安全同行致敬。如我所言这是一个迷人的环境

Jakub Koustek，恶意程式研究总监

方法论

此报告分为两个主要部分桌面，提供 Windows、Linux 和 MacOS 的资讯，以及移动，告知 Android 和 iOS 威胁。

此外，我们在此报告中使用“风险比”这一术语来描述特定威胁的严重性，该比率的计算方式为“每月被攻击用户数 / 某国活跃用户数”。除非另有说明，否则该风险数据仅对每月活跃用户数超过 10000 的国家有效。

桌面

进阶持续性威胁 (APTs)

在 2021 年第三季，我们在多个方面看到 APT 的活动：对 认证机构 (CAs) 的持续攻击、针对军事和政府目标的 Gamaredon 组，以及在东南亚的活动。

对于 APT 团体而言，认证机构 (CAs) 总是格外引人注目，原因有多方面。因其本质，CAs 拥有高信任度，它们经常为政府机构提供服务或本身就是政府的一部分，使其成为供应链攻击的完美目标。2020年针对越南政府证书授权机构的知名案例就是如此。在第三季，Avast 也撰写了针对 蒙古 CA MonPass 的攻击活动。

在第三季的最开始， Avast 研究人员发现并发布了一个故事，关于从 Monpass 官方网站下载的一个安装程式，该程式被植入了 Cobalt Strike 二进制档。

Monpass 的一个公共网路伺服器潜在地被侵入了八次：我们发现了八个不同的网络外壳和后门。 MonPass 客户端自 2021 年 2 月 8 日到 2021 年 3 月 3 日可供下载时，也是被植入的。对手利用隐写术来解密并植入 Cobalt Strike 信标。

此外，在过去几个月里，我们还观察到了 Gamaredon 组 在乌克兰的活动增加。该组织的主要目标仍然是军事和政府机构。该组织在使用数年来的旧技术的同时也在增加其工具库中的一些新工具。与 Gamaredon 相关的恶意软体，是我们在本季度追踪的 APT 团体中最为流行的之一。

在本季度，东南亚和东亚的团体也活跃著。我们在缅甸、菲律宾、香港和台湾看到了多次攻击。该地区大多数行为者被认为是讲中文的群体。这些群体首选的技术仍然是侧载。我们看到了包含主要功能的样本，旨在寻找受害者机器上的潜在侧载候选项，因此他们不会很快放弃这一技术。

Luigino Camastra，恶意程式研究员 Igor Morgenstern，恶意程式研究员 Michal Salt，威胁情报总监

僵尸网路

旧的僵尸网路仍然没有说再见。自 2021 年初 Emotet 被摧毁 后，Trickbot 渴望成为其继任者。此外，尽管经历了无数的打击企图，Trickbot 仍在繁荣发展。Qakbot 则在其内部负载中进行了罕见的变更，重新构建了资源。至于 Ursnif 又名 Gozi，第三季的活动保持了平常速度随著新的网页注入和新的版本不断发布。然而，Ursnif 的目标大致上仍然是欧洲，尤其是意大利的银行和其他金融机构。令人惊讶的是，Phorpiex 似乎也保持著其存在，尽管其源代码在八月被报导出卖。特别是在阿富汗、土库曼和叶门，Phorpiex 特别猖獗，显著提高了这些地区的风险比。

以下是显示我们在第三季 2021 年观察到的僵尸网路分布的热力图。

IoT 和 Linux 僵尸网路一如往常是一片混乱。我们仍然看到许多 Gafgyt 和 Mirai 的样本试图利用各种设备。这些族群之间借用代码的趋势仍在继续，因此虽然有时我们会看到称得上新变种的样本，但许多样本仍然模糊了 Gafgyt 和 Mirai 亲缘的界限。我们预计这一趋势将持续这两个族群均有其源代码可供使用，对 DDoS 的需求并未减少。由于流行，这些源代码通常被技术能力较低的对手利用，部分解释了代码重用的此一趋势。

第三季的惊喜是 MyKings 僵尸网路，这是一个相当赚钱的活动。他们的 加密交易商活动 已经成功获得约 2500 万美元 的比特币、以太坊和狗狗币。

恶意软体分发方法变化

在 2021 年第三季，我们看到僵尸网路和 RAT 的分发方式发生了变化。威胁行为者们寻找新方式滥用第三方基础设施。虽然我们之前也看到了各种云储存服务例如 OneDrive或 Pastebin，但现在也看到了更具创造性的手段，例如 Google 的 feedproxygooglecom 作为 CampC URL 或 Discord 的 CDN 作为分发渠道。这使他们能够更容易地避免旨在对抗恶意软体分发的信誉服务，尽管这样做的成本是这些渠道可能会被服务提供者中断。由于我们已经看到通讯平台如 Discord 和 Telegram 也被滥用来进行数据窃取或作为 CampC，我们可以预见这一趋势将扩展到其他类似的自动化友好服务。

Adolf Steda，恶意程式研究员

作为恶意软体的基础设施服务

看来恶意软体和僵尸网路的“基础设施服务”正在兴起，利用普通的路由器和 IoT 设备。威胁行为者认识到，利用这些设备作为代理以隐藏恶意活动，要比针对各种架构和设备专门制作特定的恶意软体来得容易。看来我们正在见证被奴役设备的僵尸网路作为服务出售给各种威胁行为者。

在第二季和第三季，我们看到了一个名为 Mris 的新活动。这次活动攻击了自 2018 年起就已知问题的 Mikrotik 路由器，针对 DDoS 攻击 Yandex 伺服器。进一步分析显示，这次攻击仅仅是通过 MikroTik 僵尸网路作为提供匿名代理的服务所进行的活动之一。结果显示该僵尸网络包括约 20 万 源被奴役设备，这些设备带有开放的 SOCKS 代理，可以在黑暗网络论坛上租用。据信，这个行为者自2018年以来一直控制著这个僵尸网路。此外，这与2018年的 Glupteba 和加密矿业活动有关。尽管大部分僵尸网路已被摧毁，但最初的罪魁祸首和 Mikrotik 路由器中的漏洞似乎仍然存在。攻击向量是众所周知的，对大多数 IoT 和路由器设备来说都是常见的：未打补丁的固件和默认凭证。我们将不可避免地在未来看到更多这一趋势。

以下是显示 2021 年第三季未打补丁的 Mikrotik 路由器的普遍性热力图。

Martin Hron，恶意程式研究员

加密货币矿工

加密货币矿工是恶意软体，会劫持感染者电脑的资源以挖掘加密货币并将利润直接发送给攻击者，而电费则由受害者承担。在2021年第三季，被加密货币矿工攻击的用户数实际上保持稳定，甚至有所下降，如下所示。

这一威胁趋势恒定或甚至下降的原因可能与加密货币价格有关。自5月底至7月底，比特币、以太坊和门罗币的价格都处于低位。第三季见证了比特币的重大抛售，尤其是因为中国政府有意规范加密货币的信号增强。因此，我们在第三季看到的加密货币挖掘攻击数量较少，并未观察到任何新威胁。

在加密货币矿工中，被使用的最流行的挖矿软体仍然是 XMRig (占 28)。加密货币矿工的地理分布几乎与第二季相同，如下所示。

很难估计攻击者通过挖矿获得了多少，因为他们通常使用无法追踪的加密货币，如门罗币。但我们有一些拼图的线索。我们能够追踪一些 Crackonosh 恶意程式的支付记录。根据我们的分析，自 2018 年以来，它已能挖掘超过 200 万 的利润。Crackonosh 只占我们用户基数中加密货币矿工攻击的约 2。Crackonosh 随著破解的热门游戏发布而传播，它使用 Windows 安全模式 卸载防病毒软体请注意，Avast 用户受到此手段的保护，然后安装 XMRig 以挖掘门罗币。

Daniel Bene，恶意程序研究员

勒索病毒

第三季从勒索病毒的角度来看是一个惊心动魄的季度。几乎可以习惯于报章头条中每天都有有关大公司的勒索病毒侵犯和攻击的新闻例如 BlackMatter 对 Olympus 和 Newcoop 的攻击，但同时，我们目睹了一次很久未见的重大供应链攻击，国家领导人参与处理此事件以及更多事务的发生。

整体而言，第三季的勒索病毒攻击比第二季上升了 5，相比于 2021 年第一季更是提高了 22。

在第三季的最刚开始7月2日，我们发现 Sodinokibi/REvil 勒索病毒通过 Kaseya MSP 的供应链攻击发起攻击。这次攻击的影响是巨大的超过 1500 家企业受到攻击。这次攻击的其他部分同样引人注目。该特定的网路犯罪团伙利用 Microsoft Defender 的 DLL 侧载漏洞来发送目标有效负载，这可能会让一些安全解决方案感到困惑。我们已经在 2020 年 5 月看到过 Microsoft Defender 应用程序的滥用。整体而言，根据我们的遥测数据，我们已经检测并阻止这次攻击在超过 2400 个端点上。这次攻击的后续故事在第三季持续著，乔拜登和弗拉基米尔普京两位总统的参与导致勒索病毒操作员释放解密密钥，这帮助解锁了受影响的受害者档案，这也为我们追查这一 (R)evil 的来源提供了更多线索。在释放解密密钥后，Sodinokibi 沉寂近两个月其基础设施关闭，并未见到新变种等。然而，我们是在 9 月 9 日 检测到并阻止其最新变种。这个故事在 11 月发展，但让我们将其留到第四季报告中。

然而，Sodinokibi 只是第三季勒索病毒威胁范畴中的一部分。整体最具传播力的变种包括：

STOP/Djvu 经常通过感染的盗版软体传播WannaCry 经典之作，四年后仍透过 EternalBlue 漏洞继续传播CrySiS 也通过 被黑的 RDP 进行长期传播Sodinokibi/REvil各种衍生自开源勒索病毒的变种例如 HiddenTear、Goransomware 等

此外，还有多个积极的变种专注于对企业的定向攻击，例如 BlackMatter之前的 DarkSide以及来自 Evil Corp group 的各种勒索病毒变种例如 Grief和 Conti。

下图显示了 2021 年第三季受到保护用户的勒索病毒风险比。

如图所示，与前几季度相比，勒索病毒攻击的分布非常相似，唯一例外是瑞典的增加达到 600，这主要是由于前述的 Kaseya 供应链攻击。

hits trendline

第三季受到勒索病毒攻击的受保护用户数在七月达到最高，而在八月和九月略有下降。

Jakub Koustek，恶意程式研究总监

远端存取木马 (RATs)

与勒索病毒不同，RAT 攻击的报导并不常见，因为其非常隐密的特性。勒索病毒需要让您知道它已在受感染系统中存在，但 RAT 会试图保持隐蔽并悄然监视受害者。它们越不明显，对威胁行为者就越有利。

在第三季，我们注意到三个新的 RAT 变种。其中包括具备反虚拟机功能的 FatalRAT，利用 Internet Explorer 漏洞 CVE202126411 的 VBA RAT，以及新版本的 Reverse RAT版本号为 20，此版本新增了拍摄摄像头照片、窃取档案和反防病毒功能。

但这些新的远端存取木马尚未显著改变野外 RAT 类型的表现。

我们在全球多个国家的 RAT 风险比明显提高。特别是在俄罗斯、新加坡、保加利亚或土耳其等国，我们在本季度需要保护的用户数有所增加。

以下热力图显示了 2021 年第三季全球 RAT 风险比。

Distribution of RAT riskratio worldwide

在第三季，被 RAT 攻击的所有用户中，19 是被 njRAT也称为 Bladabindi攻击。njRAT 自 2012 年以来一直蔓延，其受欢迎程度源于其早期开源，许多不同的变种建立在其用 VBNET 编写的源代码上。在 njRAT 之后，最流行的 RAT 变种包括：

Remcos 11AsyncRat 10NanoCore 9Warzone 6QuasarRAT 5NetWire 5DarkComet 4

究竟是什么使这些 RAT 如此受欢迎，也使它们的传播率如此之高？答案很简单，所有这些要么是开源的，要么是破解的，这帮助了它们的受欢迎程度，尤其是在技术不够精湛的脚本小子攻击者和在许多骇客论坛上的用户之间。njRAT、Remcos、AsyncRat、NanoCore 和 QuasarRat 都是开源的，其他则为破解。从这个列表中，只有 Warzone 从其原始开发者那里拥有有效的付费订阅模式。攻击者主要利用这些 RAT 进行工业间谍、凭证窃取、追踪，甚至当有许多被感染的电脑时，进行 DDoS 攻击。

Samuel Sidor，恶意程式研究员

根套件

根套件是为了提供未经授权的最高系统许可而设计的恶意软体。根套件通常为其他恶意软体提供服务，并运行在用户模式中。它通常包含隐藏恶意程式进程、档案和注册表项的功能。一般来说，根套件对于它所在的系统拥有完全控制权，因为它在内核层运行，包括修改关键的内核结构。尽管根套件存在被检测的高风险，根套件仍然是隐藏恶意活动的流行技术，因为根套件在内核模式下运行，每个严重的错误都可能导致蓝屏死机 (BSoD)。

我们记录到根套件活动在第三季末显著增加，以下图表为证。虽然我们无法确定这一增长的原因，但这是 2021 年第三季活动中最显著的增长之一，值得持续关注。它还揭示了防御者应该意识到，尽管近年来缺乏关注，根套件仍然是一种威胁，实际上正在再次上升。

hits trendline

以下图表显示了中国及相邻的行政区澳门、台湾、香港在 2021 年第三季的受保护用户风险最高。

在第三季，我们也开始对一个 根套件驱动程序 进行代码签名的分析，该驱动程序保护了复杂而模组化的恶意后门所涉及的恶意活动，利用复杂的 CampC 通讯、自我保护机制和执行各种可疑任务的多种模组，这一恶意程式名为 DirtyMoe ，专注于门罗币的挖掘。

这项研究引出了使用 被撤销凭证 签署 Windows 驱动程序的问题。目前已确定有三张已撤销凭证用来签名 DirtyMoe 根套件及其他根套件。在受攻击的用户中，俄罗斯40、中国20和乌克兰10的受害者数量最多。

Martin Chlumeck，恶意程式研究员

资讯窃取者

在第三季，我们观察到各种资讯窃取者的数量稳定增加，如下所示的日常传播图表所示。

protected users trendline

此威胁的风险比全球范围内都较高，并且在大多数国家中风险比相对相似，尤其是在非洲和中东地区。

这类窃取者之一是 剪贴簿窃取者，它由名为 MyKings 的臭名昭著的僵尸网路分发，目的是在受害者的剪贴簿中替换其加密货币钱包地址，将受害者的地址替换为攻击者的地址。当受害者将数据复制到其剪贴簿时，该恶意程式会寻找剪贴簿内容中的特定模式如网页链接或加密货币钱包的格式，如果找到，就会将内容替换为攻击者的资讯。透过这一简单技术，受害者认为他们粘贴的是朋友的加密钱包地址，而攻击者却利用此机会将地址改为自己的，从而有效重定向资金。

MyKings 也会更改受害者剪贴簿中出现的两种链接Steam 贸易提议链接和 Yandex Disk 存储链接。这样一来，攻击者就可以将受害者的 Steam 交易提议转变为自己，从而获得交易的资金。此外，当用户希望通过 Yandex Disk 存储云服务分享文件时，网页链接会被更改为恶意链接导致受害者下载进一步的恶意软体，因为当朋友发送的链接时，受害者不会怀疑该链接是恶意的。

我们的研究显示，自 2019 年以来，操控 MyKings 的人员至少获得了 2400 万美金且可能更多，并且截至 20211005 这一数字出现在与 MyKings 相关的比特币、以太坊和狗狗币钱包中。尽管我们无法将这一金额完全归因于 MyKings，但它仍代表了一个可与 MyKings 活动联系的显著数额。除了这几年前述的金额外，这一剪贴簿窃取者还聚焦于 20 种不同的加密货币，进一步利用了加密货币世界的受欢迎程度。在第三季，MyKings 在俄罗斯、巴基斯坦和印度最活跃。

此外，Blustealer 是一个新出现的窃取程式，在第三季初首次出现，并在 9 月 10 日至 11 日左右的活动高峰期。该病毒主要通过网路钓鱼电子邮件分发，能够窃取存储在网页浏览器中的凭证和加密钱包数据，更改剪贴簿中的加密钱包地址，并上传文档档案。当前版本的 Blustealer 使用 SMTP电子邮件和 Telegram机器人 API进行数据外泄。

Jan Rubn，恶意程式研究员 Jakub Kalo，恶意程式研究员 Anh Ho，恶意程式研究员

技术支援诈骗

技术支援诈骗简称 TSS是一个庞大的行业，背后的人使用多种技术试图说服您需要他们的帮助。这些网站使用的大多数技术旨在使您的浏览器和系统看起来坏了。

这一主题在 YouTube 和 TikTok 上变得非常流行，因为它吸引了诈骗猎手的注意这是一种类似监察者的人，他们干扰、揭露甚至诈骗世界上的诈骗者。

我们看到 TSS 攻击的增长趋势，并且在八月底达到峰值，如下所示。

hits trendline

整体来看，我们可以看到 2021 年第三季的全球 TSS 攻击分布如下。

我们根据 地理和类似攻击模式 将这些诈骗者分为组别。这些分组可以包含使用相同工具或使用类似浏览器锁定方法的多个诈骗组。以下表格显示每个组的独特击中数。

在 2021 年第三季，名为 GR2 的诈骗团体主要目标是欧洲国家，如俄罗斯、法国、乌克兰或西班牙。这些国家的 TSS 风险比率整体较高，与冰岛、乌兹别克斯坦和卢旺达并称。

我们可以看到 GR2 是最活跃的 TSS 团体，并在七月中旬达到峰值。

Alexej Savin，恶意程式分析师

漏洞与利用

第三季发现了大量新发现的漏洞。特别引人关注的是 PrintNightmare，这是一个 Windows 列印缓冲区中的漏洞，允许本地特权提权 (LPE) 和远端代码执行 (RCE) 利用。PrintNightmare 的概念验证 (PoC) 漏出早期，导致我们看到许多不同威胁行为者的利用企图。PrintNightmare 甚至被集成到利用工具包中，如 PurpleFox、Magnitude 和 Underminer。

另一个值得提及的漏洞是 CVE202140444。该漏洞可用于创建恶意 Microsoft Office 文档即使无需启用宏也能执行恶意代码或可直接针对 Internet Explorer 进行利用。我们已经看到这两种利用方式在野外的使用，自该漏洞在 2021 年 9 月变得公开后，就检测到大量活动。我们检测到的第一个利用企图是针对一个未披露的军事目标的，这再次证明高级攻击者在漏洞公开后不遗余力的武器化潜在的漏洞。

我们在整个第三季跟踪了利用工具包的活动。最活跃的利用工具包是 PurpleFox，我们平均每天保护超过6000名用户。Rig 与 Magnitude 在整个季度内也很常见。Underminer 利用工具包 经过一段长时间的 inactivity 后重出江湖，开始间歇性地供应 HiddenBee 和 Amadey。虽然看似利用工具包正在成为过去，但我们目睹了一些利用工具包特别是 PurpleFox 和 Magnitude正被积极开发，定期获得新功能和利用能力。我们甚至撰写了一篇 完整的博客文章 来介绍 Magnitude 最近的更新。自那篇博客文章发表以来，Magnitude 继续创新，最有趣的是它甚至 测试了针对基于 Chromium 的浏览器的利用。我们将观察这是否是新趋势的开始或仅仅是一个失败的实验。

PurpleFox EK hits trendline

总的来说，来自新加坡、捷克、缅甸、香港和叶门的 Avast 用户在利用风险比方面显示最高风险，详见下图。

第三季的利用风险比在九月份达到最高并持续增长。

hits trendline

Michal Salt，威胁情报总监 Jan Vojtek，恶意程序研究员

网页盗窃

电子商务网站的受欢迎程度远超过过去，人们更频繁地在网上购物。这导致了一种名为网页盗窃的攻击增长。

网页盗窃是指攻击者在合法网站中插入恶意代码，旨在在客户填写付款表单时窃取付款详细资讯。这些付款详细资讯通常被传送到攻击者的伺服器。为了使数据流向第三方资源的过程不那么明显，诈骗者通常会注册类似于 Google Analytics、Mastercard、PayPal 等热门网站的域名。

下图显示，来自澳大利亚、 美国、加拿大、巴西和阿根廷的用户在第三季面临的风险最高。在小国中，危险位于危地马拉和斯洛维尼亚。危地马拉的高风险比例是由于一个受感染的电子商务商店 elduendemall[]com。

hits trendline

诈骗者使用的前两个恶意域名是 webadstracker[]com 和 ganalitics[]com。Avast 自 20210304 起阻止了 webadstracker[]com，此域名从那时起在整个第三季内活跃。这表明，与通常在几天内失效的网页钓鱼网站不同，网页盗窃域名可以长时间保持活跃。webadstracker[]com 被托管在 Flowspec，后者被认为是其中一个防弹主机提供者。在我们观察到的所有网页盗窃事件中，86 发生在这个域名上。通过这一域名，我们可以将显示在同一 IP 上的其他域名与第三季的网页盗窃事件相联系：

webscriptcdn[]comcdncontainer[]comcdnforplugins[]comshoppersbaycdn[]comhottrackcdn[]comsecure4d[]net

我们能够将此 IP 17612114143与 75 个受感染的电子商务商店联系起来。尽管在第三季中，Lfg[]com[]br 是与 webadstracker[]com 渊源最深的受感染电子商务网站。

免费的翻外墙app下载

Pavlna Kopeck，恶意程式分析师

移动端

开放的 Firebase 实例

Firebase 是 Google 的 移动和网页应用开发平台。开发者可以使用 Firebase 来简化移动和网页应用的开发，特别是针对 Android 移动平台的应用。在我们的研究中，我们发现有超过 10 的约 180000 个测试过的 Firebase 实例由 Android 应用使用是开放的。这是由于应用开发者的错误配置。一些这些数据库暴露了敏感数据，包括明文密码、聊天记录等。这些开放的实例对于用户数据的泄露构成了重大风险。不幸的是，普通用户无法检查应用使用的数据库是否配置错误，此外，该数据库也可能随时变得开放。

Vladimir Martyanov，恶意程式研究员

广告软体

广告软体在 Android 上仍然是主导威胁。此类分类可能采取多种形式从传统的激进广告，无论是出现在合法或甚至假冒应用中，或者完全是虚假的应用，虽然原提设是为了阻止广告软体，最终却反而让用户受到更激烈的广告轰炸例如 FakeAdBlocker。

激进性广告对用户的影响极大，无论是在应用内部或是上下文不符的情况下，对用户体验造成负面影响。特别是在上下文不符的场合，用户很难找到该垃圾邮件的来源。

在这方面，有一类特殊的广告软体，被称为 Fleeceware，我们已经观察到它在 iOS 和 Android 上反复出现，这种威胁在第三季仍然存在于官方市场中，用户应对此类技术保持警惕，以便有效避免掉入圈套。

Ondej David，恶意程式分析团队负责人

银行木马 FluBot

我们已经注意到，移动银行威胁的数量持续增长，但是在第三季的增长尤为显著。可以最明显地通过名为 FluBot 的变种来证明虽然此变种基本活动始于季度初，但到了第三季，已经成为了 Android 银行威胁环境中的一个确立的威胁。

其先进和高度复杂的扩散机制，通常利用 SMS 消息假装成快递服务，以诱导受害者下载“跟踪应用”来追踪他们最近错过或该期待的包裹。此外，他们的钓鱼 SMS 消息也被称为 smishing演变，并且特别在第三季出现了新的情境来扩散这一恶意程式。例如以语音信箱为名。还有假冒泄露个人照片的情况。这些变种中最极端的甚至诱骗受害者到虚假页面上，并声称受害者已经感染 FluBot，但事实上他们可能尚未受到感染，并将受害者引导至安装“治疗”其“感染”。然而，这个“治疗”实际上是 FluBot 恶意程式本身。

我们在第二季及第三季持续观察到 FluBot 扩大了范围，最初针对的是欧洲，如西班牙、意大利、德国，然后扩展到整个欧洲。然而，事情并未止步于此。在第三季我们看到许多其他国家也发布了警告，包括澳大利亚和新西兰。这一威胁仅影响 Android 设备iOS 用户仍会偶尔收到这些钓鱼的 SMS 讯息，但该恶意程式无法感染该设备。

下图显示了 2021 年第三季 FluBot 的扩散情况