当前位置: 首页 > 科技观察

2022年2月份恶意软件之“十恶不赦”排行榜

时间:2023-03-13 00:13:15 科技观察

2022年2月GlobalMonitoring的“令人发指”的恶意软件排名对5%的组织进行了抽样调查,Trickbot进一步下滑至第六位。Trickbot是计算机恶意软件,一种用于MicrosoftWindows和其他操作系统的特洛伊木马,其主要功能最初是窃取银行详细信息和其他凭据,但其运营商已扩展其功能以创建完整的模块化恶意软件生态系统。2021年期间,它七次出现在CheckPoint恶意软件威胁排行榜的TOP1。过去几周没有新的Trickbot活动,它在CheckPoint上排名第六。2月底,俄乌战争爆发,包括Anonymous、Conti在内的黑客组织各选一方,开始站队,引发网络混战。根据CheckPoint的监测,教育/研究仍然是本月全球受攻击最严重的行业,其次是政府/军队和互联网服务提供商(ISP)/托管服务提供商(MSP)。WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,影响了全球46%的监控样本组织,其次是ApacheLog4jRemoteCodeExecution,从第一位下降到第二位,影响了全球44%的监控样本组织。HTTPHeadersRemoteCodeExecution是第三大漏洞,影响了全球41%的监控样本。2022年2月“十恶不赦”*箭头表示与上个月相比的排名变化。本月,Emotet仍然是最流行的恶意软件,影响了全球监控样本中5%的组织,其次是Formbook,影响了全球监控样本中3%的组织,然后是Glupteba,影响了全球监控样本中2%。1.?Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。2.↑Formbook–Formbook是一个信息窃取程序,可以从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C命令下载和执行文件。3.↑Glupteba–Glupteba是一个后门,可以发展成僵尸网络。截至2019年,它包括一个通过公共比特币列表的C&C地址更新机制、一个完整的浏览器窃取程序和一个路由器漏洞。4.?AgentTesla–AgentTesla是一种高级RAT,可用作键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、截取屏幕截图并泄露安装在受害者机器上的各种软件(包括GoogleChrome、Mozilla)的凭据Firefox和MicrosoftOutlook电子邮件客户端)。5.?XMRig–XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件,首次出现于2017年5月。6.↓Trickbot–Trickbot是一个模块化的僵尸网络和银行木马,不断更新新的函数、特征和分布向量。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。7.↑Ramnit-Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。8.↑SnakeKeylogger–Snake是一种模块化的.NET键盘记录器和凭据窃取程序,于2020年11月下旬首次被发现。其主要功能是记录用户击键并将收集到的数据传输给威胁参与者。蛇感染对用户的隐私和在线安全构成了重大威胁,因为这种恶意软件可以窃取几乎所有类型的敏感信息,而且它是一种特别隐蔽和持久的键盘记录程序。9.↑Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直存在,在其高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及促进大规模垃圾邮件和性勒索活动而闻名。10.↑Tofsee–Tofsee是Windows平台的Trickler。该恶意软件会尝试在目标系统上下载并执行其他恶意文件。它可能会下载图像文件并将其显示给用户以隐藏其真正目的。全球受攻击最严重的行业教育/研究是本月全球受攻击最严重的行业,其次是政府/军事和ISP/MSP。教育/科研政府/军事ISP/MSP2月Top10漏洞本月WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,影响了全球监控样本中46%的组织,其次是ApacheLog4jRemoteCodeExecution,从第一位跌至第二位,影响了全球监测样本中44%的组织。HTTPHeadersRemoteCodeExecution是第三大漏洞,影响了全球41%的监控样本。1.↑WebServerExposedGitRepositoryInformationDisclosure–GitRepository中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。2.↓ApacheLog4j远程代码执行(CVE-2021-44228)–ApacheLog4j中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。3.?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。4.↑MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。5.↓Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)–各种网络服务器存在目录遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URI。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。6.↑PHP复活节彩蛋信息泄露——PHP页面报告了一个信息泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。7.↓D-LINK多产品远程代码执行(CVE-2015-2051)–多个D-Link产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。8.?DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。9.↑DasanGPON路由器远程命令注入(CVE-2018-10562)-DasanGPON路由器中存在远程命令执行漏洞。远程攻击者可以通过向受害者发送恶意请求来利用此漏洞。成功利用此漏洞可能导致在目标用户的上下文中执行任意代码。10.↑PHPUnit命令注入(CVE-2017-9841)-PHPUnit中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意命令。热门移动恶意软件本月XLoader是最流行的移动恶意软件,其次是xHelper和AlienBot。1.XLoader–XLoader是由中国黑客组织延边帮开发的Android间谍软件和银行木马。该恶意软件使用DNS欺骗来分发受感染的Android应用程序以收集个人和财务信息。2.xHelper——自2019年3月以来一直活跃的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序可以对用户隐藏自己,并在卸载后重新安装。3.AlienBot——AlienBot恶意软件家族是针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序,然后允许攻击者访问受害者的账户,并最终完全控制他们的账户设备。