研究人员在针对酒店业的网络钓鱼攻击中发现 Qbot 恶意软件卷土重来。与此同时，下载程序 FakeUpdates 跃居首位

2024 年 1 月 ，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 12 月《全球威胁指数》报告。2023 年 8 月，美国和国际执法部门在“Operation Duck Hunt（猎鸭行动）”中捣毁了 Qbot 的基础设施，但四个月后，研究人员却发现 Qbot 死灰复燃。与此同时，JavaScript 下载程序 FakeUpdates 跃居首位，教育行业仍是全球受影响最大的行业。

上月，网络犯罪分子使用 Qbot 恶意软件发起了一场针对酒店业的有限规模网络钓鱼攻击。在这场攻击活动中，研究人员发现黑客冒充美国国税局 (IRS) 发送了大量带有 PDF 附件的恶意电子邮件，其中包含链接到 Microsoft 安装程序的嵌入式 URL。一旦激活，该程序便会触发一个未知版本的 Qbot，后者利用了嵌入式动态链接库 (DLL)。在 8 月份遭到打击之前，Qbot 在威胁指数排行榜中占据主导地位，连续 10 个月位列三大最猖獗恶意软件之一。虽然尚未重返榜单，但不确定接下来的几个月它是否会再度臭名远扬。

与此同时，FakeUpdates 于 2023 年底再次现身后跃居首位，波及全球 2% 的机构。Nanocore 也连续 6 个月稳居前五，并在 12 月份位列第三。另外，Ramnit 和 Glupteba 首次挤进榜单。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“在其分发基础设施被捣毁不到四个月后，Qbot 再度现身。这种情况警醒我们，虽然我们能够阻止恶意软件攻击活动，但其背后的攻击者会利用新技术快速做出调整。因此，我们建议各企业采取端点安全防御方法，并务必核实电子邮件的来源和意图。”

CPR 还指出，“Apache Log4j 远程代码执行 (CVE-2021-44228)”和“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 46% 的机构因此遭殃。紧随其后的是“Zyxel ZyWALL 命令注入 (CVE-2023-28771)”，全球影响范围为 43%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 和 Formbook 是上月最猖獗的恶意软件，影响了全球 2% 的机构，其次是 Nanocore，全球影响范围为 1%。

1. ↑ FakeUpdates – FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 可通过其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

2. ↓ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

3. ↑ Nanocore - Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次现身。所有版本的 RAT 都具有基本插件和功能，如屏幕截图、加密货币挖矿、桌面远程控制及网络摄像头会话窃取。

主要移动恶意软件

上月，Anubis 仍然位居最猖獗的移动恶意软件榜首，其次是 AhMyth 和 Hiddad。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

2. AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. Hiddad — Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。

如欲查看 12 月份十大恶意软件家族的完整列表，请访问 Check Point 博客。