研究人员在针对酒店业的网络钓鱼攻击中发现 Qbot 恶意软件卷土重来。与此同时,下载程序 FakeUpdates 跃居首位
2024 年 1 月 ,全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2023 年 12 月《全球威胁指数》报告。2023 年 8 月,美国和国际执法部门在“Operation Duck Hunt(猎鸭行动)”中捣毁了 Qbot 的基础设施,但四个月后,研究人员却发现 Qbot 死灰复燃。与此同时,JavaScript 下载程序 FakeUpdates 跃居首位,教育行业仍是全球受影响最大的行业。
上月,网络犯罪分子使用 Qbot 恶意软件发起了一场针对酒店业的有限规模网络钓鱼攻击。在这场攻击活动中,研究人员发现黑客冒充美国国税局 (IRS) 发送了大量带有 PDF 附件的恶意电子邮件,其中包含链接到 Microsoft 安装程序的嵌入式 URL。一旦激活,该程序便会触发一个未知版本的 Qbot,后者利用了嵌入式动态链接库 (DLL)。在 8 月份遭到打击之前,Qbot 在威胁指数排行榜中占据主导地位,连续 10 个月位列三大最猖獗恶意软件之一。虽然尚未重返榜单,但不确定接下来的几个月它是否会再度臭名远扬。
与此同时,FakeUpdates 于 2023 年底再次现身后跃居首位,波及全球 2% 的机构。Nanocore 也连续 6 个月稳居前五,并在 12 月份位列第三。另外,Ramnit 和 Glupteba 首次挤进榜单。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“在其分发基础设施被捣毁不到四个月后,Qbot 再度现身。这种情况警醒我们,虽然我们能够阻止恶意软件攻击活动,但其背后的攻击者会利用新技术快速做出调整。因此,我们建议各企业采取端点安全防御方法,并务必核实电子邮件的来源和意图。”
CPR 还指出,“Apache Log4j 远程代码执行 (CVE-2021-44228)”和“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞,全球 46% 的机构因此遭殃。紧随其后的是“Zyxel ZyWALL 命令注入 (CVE-2023-28771)”,全球影响范围为 43%。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 和 Formbook 是上月最猖獗的恶意软件,影响了全球 2% 的机构,其次是 Nanocore,全球影响范围为 1%。
1. ↑ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 可通过其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
2. ↓ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。
3. ↑ Nanocore - Nanocore 是一种针对 Windows 操作系统用户的远程访问木马,于 2013 年首次现身。所有版本的 RAT 都具有基本插件和功能,如屏幕截图、加密货币挖矿、桌面远程控制及网络摄像头会话窃取。
主要移动恶意软件
上月,Anubis 仍然位居最猖獗的移动恶意软件榜首,其次是 AhMyth 和 Hiddad。
1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
2. AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
3. Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。
如欲查看 12 月份十大恶意软件家族的完整列表,请访问 Check Point 博客。