这种银行病毒是2022年12月的头号恶意软件

Posted 2023-04-05 网络研究院

到 2022 年，全球网络攻击同比增长 38%，并且是由更小、更灵活的黑客和勒索软件团伙驱动的。

根据一份报告，全球网络攻击数量在第四季度达到历史新高，平均每个组织每周发生 1,168 次攻击。

现在，一份新报告列出了上个月黑客使用最多的顶级恶意软件系列。

Check Point Software 网络安全公司在其“2022 年 12 月全球威胁指数”报告中发布，Qbot是上个月最流行的恶意软件，影响了全球 7% 的组织，其次是Emotet，全球影响为 4%，XMRig为全球影响 3%。

2022 年 12 月检测到的恶意软件最多。

Qbot，也称为Qakbot，是一种银行木马（或银行病毒），旨在窃取用户的银行凭证和击键。报告称，Qbot 通常通过垃圾邮件传播，它采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。它于 2008 年首次出现。

Emotet 是一种先进的、自我传播的模块化木马。它以前被用作银行木马，但最近被用作其他恶意软件或恶意活动的分发者。它可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常滥用这种开源软件，将其集成到他们的恶意软件中，对受害者的设备进行非法挖掘。

最新研究的压倒性主题是恶意软件如何经常伪装成合法软件，让黑客在不引起怀疑的情况下通过后门访问设备。

这就是为什么在下载任何软件和应用程序或单击链接时进行尽职调查很重要，无论它们看起来多么真实。

上个月，Glupteba 恶意软件启用区块链的木马僵尸网络自 2022 年 7 月以来首次重返前十名。

作为模块化恶意软件变种，Glupteba 可以在受感染的计算机上实现各种目标。僵尸网络通常用作其他恶意软件的下载器和投放器。

报告称，上个月，教育研究仍然是全球受攻击最严重的行业，其次是政府军队，然后是医疗保健。

在之前的一份报告中，Check Point 表示医疗保健是印度最受攻击的行业。

黑客喜欢以医院为目标，因为他们认为医院缺乏网络安全资源，而规模较小的医院尤其容易受到攻击。

因为他们资金和人员不足，无法应对复杂的网络攻击。

2021 年 10 月头号恶意软件：Trickbot 第五次位居榜首

Check Point Research 指出，Trickbot 是最猖獗的恶意软件，Apache 中的一个新漏洞是全球最常被利用的漏洞之一。教育和研究行业是黑客的首要攻击目标。

2021 年 11 月16日，全球领先网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其2021 年10 月最新版《全球威胁指数》报告。报告表明，模块化僵尸网络和银行木马 Trickbot 仍然位居恶意软件排行榜榜首，影响了全球4% 的企业与机构，而“Apache HTTP 服务器目录遍历漏洞”则跻身十大最常被利用漏洞榜单。CPR 还指出，教育/研究行业是首要攻击目标。

Trickbot 可窃取财务信息、帐户登录凭证及个人身份信息，并在网络中横向传播、投放勒索软件。自1 月份 Emotet 遭到打击以来，Trickbot 已经第五次位居恶意软件排行榜榜首。Trickbot 不断添加新的功能、特性和传播向量，这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。

新漏洞“Apache HTTP 服务器目录遍历漏洞”跻身10 月份十大最常被利用漏洞榜单，排名第十。当它首次被发现时，Apache 的开发人员在 Apache HTTP 服务器2.4.50 中发布了针对 CVE-2021-41773 的修复程序。然而，事实表明此次修复不够全面，Apache HTTP 服务器中仍然存在目录遍历漏洞。攻击者可利用这一漏洞访问受影响系统上的任意文件。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“Apache 漏洞在10 月初才被公之于众，但却已是全球十大最常被利用的漏洞之一，这表明了攻击者行动速度之快。该漏洞将引发攻击者发起路径遍历攻击，进而将 URL 映射到预期文档根目录外部文件。Apache 用户必须采取相应的保护措施。本月，经常用于投放勒索软件的 Trickbot 再次成为最猖獗的恶意软件。在全球范围内，每周每61 家机构中就有一家受到勒索软件的影响。这一数字令人震惊，各公司需要采取更多措施。许多攻击都是从一封简单的电子邮件开始，因此确保用户了解如何识别潜在威胁是企业可部署的最重要的防御措施之一。”

CPR 还指出，本月，教育/研究行业是全球首要攻击目标，其次是通信行业和政府/军事部门。“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球60% 的机构被波及，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球55% 的机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为54%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月，Trickbot 是最猖獗的恶意软件，全球4% 的机构受到波及，其次是 XMRig 和 Remcos，分别影响了全球3% 和2% 的企业与机构。

↔ Trickbot - Trickbot 是一种模块化僵尸网络和银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。

↑ XMRig - XMRig 是一种开源 CPU 挖矿软件，用于门罗币加密货币的挖掘，2017 年5 月首次现身。

↑ Remcos - Remcos 是一种 RAT，2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

全球受攻击最多的行业：

本月，教育/研究行业是全球首要攻击目标，其次是通信行业和政府/军事部门。

教育/研究

通信

政府/军事

 最常被利用的漏洞

本月，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球60% 的机构因此遭殃，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球55% 的机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为54%。

↑ Web 服务器恶意 URL 目录遍历漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URL。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。

↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。

↔ HTTP 标头远程代码执行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

主要移动恶意软件

本月，xHelper 仍位列最猖獗的移动恶意软件榜首，其次是 AlienBot 和 XLoader。

xHelper - 自2019 年3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，甚至可以在卸载后进行自我重新安装。

AlienBot - AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用中。攻击者能够获得对受害者帐户的访问权限，并最终完全控制其设备。

XLoader - XLoader 是由黑客组织 Yanbian Gang 开发的 Android 间谍软件和银行木马。该恶意软件使用 DNS 欺骗来传播受感染的 Android 应用，以收集个人和财务信息。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球的企业数据中心网络、用户端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。