2021年3月排名第一的恶意软件:IcedID银行木马在COVID-19相关攻击后进入恶意软件指数前十CHKP发布了最新的2021年3月《全球威胁指数》报告。研究人员报告说,IcedID银行木马首次进入该指数排名第二,而老牌Dridex木马从2月份的第七位跃升至3月份最流行的恶意软件.IcedID于2017年首次出现,并在3月份通过多次垃圾邮件活动迅速传播,影响了全球11%的组织。其广泛的活动利用COVID-19主题引诱新受害者打开恶意电子邮件附件;这些附件大部分是MicrosoftWord文档带有用于插入IcedID安装程序的恶意宏。安装后,木马会尝试窃取帐户详细信息、支付凭据和其他敏感信息用户的电脑。此外,IcedID还与其他恶意软件一起扩散,并已被用作勒索软件攻击中感染的第一步。CheckPoint产品威胁情报和研究主管MayaHorowitz表示:“IcedID已经存在多年,但最近的广泛使用表明网络犯罪分子正在不断改变他们的方式,以疫情为幌子进行组织攻击.IcedID是一种特别隐蔽的特洛伊木马,它使用一系列技巧来窃取财务数据,组织必须确保拥有强大的安全系统来保护他们的网络免受技能的侵害,以准确识别传播IcedID和其他恶意软件的恶意电子邮件的类型”CPR还警告说,“HTTP标头远程代码执行(CVE-2020-13756)”是最常被利用的漏洞,影响了45%的组织,其次是“MVPowerDVR远程代码执行”,影响了44%的组织“DasanGPON路由器身份验证绕过(CVE-2018-10561)”是第三大被利用的漏洞,全球影响为44%。顶级恶意软件家族*箭头表示与上个月相比的排名变化。Dridex是本月最活跃的恶意软件,影响了全球16%的组织,其次是IcedID和Lokibot,分别影响了全球11%和9%的组织。1.↑Dridex-Dridex是一种针对Windows的特洛伊木马,据称是作为垃圾邮件的附件下载的。Dridex不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载和执行从远程服务器接收到的任意模块。2.↑IcedID-IcedID是一种通过电子邮件垃圾邮件活动传播的银行木马,它使用进程注入和隐写术等技巧来窃取用户的财务数据。3.↑Lokibot-Lokibot是一种信息窃取程序,主要通过网络钓鱼电子邮件进行分发,以窃取各种数据,例如电子邮件凭据和CryptoCoin钱包以及FTP服务器密码。最常被利用的漏洞本月,“HTTP标头远程执行代码(CVE-2020-13756)”是最常被利用的漏洞,影响了全球45%的组织,其次是“MVPowerDVR远程执行代码”,影响了全球44%的组织。“DasanGPONRouterAuthenticationBypass(CVE-2018-10561)”以44%的全球影响力排名第三。1.↑HTTP标头远程代码执行(CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受感染的机器上运行任意代码。2.↑MVPowerDVR远程代码执行-MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受感染的路由器中执行任意代码。3.↑DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。远程攻击者可以利用此漏洞获取敏感信息并获得对受感染系统的未授权访问。主要移动恶意软件Hiddad在最流行的移动恶意软件指数中名列前茅,其次是xHelper和FurBall。1.Hiddad–Hiddad是一种Android恶意软件,它会重新打包合法应用程序并将其分发到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。2.xHelper——一款自2019年3月开始猖獗的恶意应用程序,用于下载其他恶意应用程序并显示恶意广告。该应用程序能够对用户隐藏自己,甚至在卸载后重新安装自己。3.FurBall-FurBall是一种安卓MRAT(移动远程访问木马),由隶属于伊朗政府的伊朗APT组织APT-C-50部署。该恶意软件早在2017年就被用于多项活动,至今仍在活跃。FurBall的功能包括:窃取短信和电话通话记录、记录通话和周围环境、收集媒体文件、跟踪位置等。CheckPoint《全球威胁影响指数》和?是根据来自CheckPointThreatCloud的情报数据编写的,CheckPointThreatCloud是打击网络犯罪的最大协作网络,提供来自全球威胁传感器网络的威胁数据和攻击趋势。ThreatCloud数据库每天检查超过30亿个网站和6亿个文件,每天识别超过2.5亿次恶意软件攻击。
