2023年2月,网络安全解决方案提供商CheckPoint?SoftwareTechnologies,Inc.(纳斯达克代码:CHKP)发布了其2023年1月《全球威胁指数》报告。上个月,信息窃取者Vidar在品牌劫持增加后重返前10名,排名第七;中东和北非地区发生了大规模的njRAT恶意软件网络钓鱼活动。1月,信息窃取程序Vidar被发现通过与远程桌面软件公司AnyDesk相关的虚假域名传播。该恶意软件对各种流行的应用程序执行URL劫持,将用户重定向到声称是AnyDesk官方网站的IP地址。下载后,该恶意软件会将自己伪装成合法的安装程序,以窃取敏感信息,例如登录凭据、密码、加密货币钱包数据和银行信息。研究人员还发现了一个名为EarthBogle的大型活动,该活动针对整个中东和北非地区的目标分发njRAT恶意软件。攻击者使用具有地缘政治主题的网络钓鱼电子邮件来引诱用户打开恶意附件。一旦下载并打开,木马就会感染设备,使攻击者可以进行各种入侵以窃取敏感信息。CheckPointSoftwareTechnologies研究副总裁MayaHorowitz表示:“我们再次看到恶意软件组织使用可信品牌来传播病毒,目的是窃取个人身份信息。”“对人们来说,注意他们点击的链接以确保它们是合法的URL很重要。留意安全挂锁图标,这表明该站点具有最新的SSL证书,并注意任何细微的拼写错误可能表明该网站是恶意的。”顶级恶意软件家族*箭头表示与上个月相比的排名种类。Qbot和Lokibot是上个月最流行的恶意软件,分别影响了全球6%以上的组织,其次是AgentTesla,全球影响为5%。↑Qbot-Qbot(又名Qakbot)是一种银行木马,于2008年首次出现,用于窃取用户的银行凭证和击键。Qbot通常通过垃圾邮件传播,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。↑Lokibot-LokiBot是一种物品窃取器,于2016年2月首次被发现,具有适用于Windows和Android操作系统的版本。它从各种应用程序、网络浏览器、电子邮件客户端、IT管理工具(如PuTTY等)获取凭证。LokiBot在黑客论坛上出售,其源代码被认为已泄露,因此出现了许多变体。自2017年底以来,某些Android版本的LokiBot不仅具有信息窃取功能,还具有勒索软件功能。↑AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键和系统剪贴板,截取屏幕截图并窃取安装在受害者计算机上的各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook)电子邮件客户端)。最常被利用的漏洞上个月,“WebServerExposedGitRepositoryInformationDisclosure”是最常被利用的漏洞,影响了全球46%的组织,其次是“HTTPHeadersRemoteCodeExecution”,影响了全球46%的组织和42%的机构。《MVPowerDVRRemoteCodeExecution》以39%的全球影响力位列第三。?WebServerExposedGitRepositoryInformationDisclosure-Git存储库报告的信息泄露漏洞。一旦攻击者成功利用该漏洞,将导致账户信息无意泄露。↑HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受感染的机器上运行任意代码。↑MVPowerDVR远程代码执行-MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受感染的路由器中执行任意代码。顶级移动恶意软件上个月,Anubis仍然是最流行的移动恶意软件,其次是Hiddad和AhMyth。Anubis–Anubis是一种专为Android手机设计的银行木马恶意软件。自最初检测以来,它获得了一些额外的功能,包括远程访问特洛伊木马(RAT)功能、键盘记录器、录音功能和各种勒索软件功能。已在GooglePlay商店提供的数百种不同应用程序中检测到银行木马。Hiddad-Hiddad是一种Android恶意软件,可重新打包合法应用程序并将其分发到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。AhMyth–AhMyth是一种远程访问木马(RAT),于2017年被发现,它通过应用商店和各种网站上的Android应用传播。当用户安装这些受感染的应用程序时,恶意软件可以从设备中收集敏感信息并执行键盘记录、屏幕截图、发送短信和激活相机等操作,这些操作通常用于窃取敏感信息。CheckPoint《全球威胁影响指数》及其《ThreatCloud 路线图》是基于CheckPointThreatCloud情报数据编写的。ThreatCloud提供来自全球网络、端点和移动设备上部署的数亿个传感器的实时威胁情报。CheckPointResearch是CheckPointSoftwareTechnologies的情报和研究机构,AI引擎和独家研究数据进一步丰富了这些情报内容。
