追踪的“令人发指”的恶意软件列表显示,键盘记录器AgentTesla已成为传播最广泛的恶意软件,影响了全球7%的样本组织。来自信息窃取者Lokibot的攻击次数大幅增加,五个月来首次升至第三位。此外,还披露了一个影响ApacheCommonsText库的新漏洞Text4Shell。Lokibot是一种商品分离器,旨在从各种应用程序中获取凭证,包括:Web浏览器、电子邮件客户端和IT管理工具。作为特洛伊木马,它的目标是通过伪装成合法程序潜入系统而不被发现。可以通过钓鱼邮件、恶意网站、短信和其他消息传递平台进行分发。这种受欢迎程度的上升可以解释为以在线查询、订单和付款确认消息为主题的垃圾邮件活动的增加。10月还发现了一个新的严重漏洞Text4Shell(CVE-2022-42889)。基于ApacheCommonsText的功能,这允许在没有任何特定权限或用户交互的情况下通过网络进行攻击。Text4shell让人想起仍然存在一年的Log4Shell漏洞,它是顶级威胁之一,在10月份的列表中排名第二。虽然Text4Shell没有进入本月被利用的主要漏洞列表,但它已经影响了全球超过8%的组织,CheckPoint将继续监测其影响。本月的排名发生了很大变化,一组新的恶意软件家族构成了三巨头。有意思的是,Lokibot这么快就爬回了第三位,这说明钓鱼攻击的趋势越来越明显。随着我们进入11月,这是一个繁忙的购买时期,人们必须保持警惕并留意可能携带恶意代码的可疑电子邮件。注意陌生发件人、个人信息请求和链接等迹象。如有疑问,请直接访问该网站并从经过验证的来源中找到适当的联系信息,并确保安装了恶意软件防护。根据CheckPoint的研究,“WebServerExposedGitRepositoryInformationDisclosure”是最常被利用的漏洞,影响了全球43%的组织,其次是“ApacheLog4jRemoteCodeExecution”,影响率为41%%。10月,教育/研究仍然是全球受攻击最严重的行业。2022年10月《十恶不赦》*箭头表示与上月相比排名变化。AgentTesla是本月传播最广的恶意软件,影响了全球7%的组织,其次是SnakeKeylogger,占5%,然后是Lokibot,占4%。↑AgentTesla–AgentTesla是一种高级RAT,可用作键盘记录器和信息窃取器。它能够监控和收集受害者的击键、系统键盘、截取屏幕截图并将凭证泄露到安装在受害者机器上的各种软件,包括GoogleChrome、MozillaFirefox和MicrosoftOutlook。↑SnakeKeylogger–SnakeKeylogger是一种模块化的.NET键盘记录器和凭据窃取程序,于2020年11月首次被发现。其主要功能是记录用户击键并将收集到的数据传输给威胁参与者。它对用户的在线安全构成了重大威胁,因为这种恶意软件可以窃取各种敏感信息并且特别隐蔽。↑Lokibot–Lokibot是一种信息窃取程序,主要通过网络钓鱼电子邮件进行分发,以窃取各种数据,例如电子邮件凭据以及加密货币钱包和FTP服务器的密码。↑Icedid——IcedID是一种银行木马,首次出现于2017年9月。它通过垃圾邮件活动传播,并经常使用Emotet等其他恶意软件来帮助传播。IcedID使用过程注入和隐写术等规避技术。它通过重定向攻击(通过安装本地代理将用户重定向到虚假的克隆站点)和网络注入攻击来窃取用户财务数据。↓XMRig–XMRig是一款用于挖掘Monero加密货币的开源CPU挖掘软件。威胁行为者经常滥用此开源软件,将其集成到他们的恶意软件中以在受害者的设备上进行非法挖掘。↓Emotet-Emotet是一种高级的、自我传播的模块化木马。Emotet曾被用作银行木马,现在也被用作其他恶意软件或恶意活动的传播者。它使用多种规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↓Formbook–Formbook是Windows操作系统的信息窃取器,于2016年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务(MaaS)进行销售。Formbook从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C的命令下载和执行文件。↓Ramnit–Ramnit是一种模块化的银行木马程序,于2010年首次被发现。Ramnit窃取网络会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行应用程序以及公司和社交网络帐户。该木马使用硬编码域以及DGA(域生成算法)生成的域来联系C&C服务器并下载其他模块。↓Vidar-Vidar是Windows操作系统的信息窃取器。它于2018年底首次被发现,旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar在各种在线论坛上出售,并用作恶意软件投放器以下载GandCrab勒索软件作为其次要有效负载。?Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档传播,旨在绕过MicrosoftWindowsUAC安全并以提升的权限执行恶意软件。世界上受攻击最严重的行业教育/研究部门仍然是本月世界上受攻击最严重的行业,其次是政府/军队和医疗保健。教育/研究政府/军队医疗保健最常被利用的漏洞“Web服务器暴露的Git存储库信息泄露”仍然是10月份最常被利用的漏洞,影响了全球43%的组织。紧随其后的是“ApacheLog4j远程代码执行”,以41%的影响力位居第二,“HTTP标头远程代码执行”以39%的全球影响力位居第三。?Web服务器暴露的Git存储库信息泄露–Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致帐户信息的意外泄露。?ApacheLog4j远程代码执行(CVE-2021-44228)–ApacheLog4j中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。↑HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。↑Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)——那里各种Web服务器上存在目录遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URL。成功的利用可能允许未经身份验证的远程攻击者泄露或访问任意文件。↓通过HTTP的命令注入(CVE-2021-43936、CVE-2022-24086)——报告了通过HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。?MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码?PHP复活节彩蛋信息泄露–PHP页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。↑WordPress便携式phpMyAdmin插件身份验证绕过(CVE-2012-5469)-WordPress便携式phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。?DasanGPON路由器身份验证绕过(CVE-2018-10561)-DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。↓PHPUnit命令注入(CVE-2017-9841)–PHPUnit中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意命令。热门移动恶意软件本月,Anubis仍然是最流行的移动恶意软件,其次是Hydra和Joker。Anubis–Anubis是一种专为Android手机设计的银行木马恶意软件。自最初被发现以来,它已经获得了额外的功能,包括远程访问特洛伊木马(RAT)功能、键盘记录器和记录功能以及各种勒索软件功能。已在Google商店的数百种不同应用程序中检测到它。Hydra–Hydra是一种银行木马,旨在通过要求受害者启用危险权限来窃取财务凭证。Joker–Joker是一款来自GooglePlay的Android间谍软件,旨在窃取SMS消息、联系人列表和设备信息。该恶意软件还可以在受害者不同意或不知情的情况下为受害者注册付费高级服务。
