2023年8月份恶意软件之“十恶不赦”排行榜

以色列安全公司Check Point Research报告了一项名为“Shampoo”的新 ChromeLoader 活动，该活动针对 Chrome 浏览器用户提供加载恶意软件的虚假广告。与此同时，通信行业跃升为受影响第二大的行业，超过医疗保健行业

在最新的2023年8月全球威胁指数中，研究人员报告ChromeLoader 恶意软件的新变种，该变种一直针对 Chrome 浏览器用户，提供加载恶意扩展程序的虚假广告。与此同时，通信行业成为全球受影响第二大的行业，今年首次将医疗保健行业从榜单上剔除。

ChromeLoader 是一种持久性 Google Chrome 浏览器劫持程序，于 2022 年首次发现。它在上个月的顶级恶意软件家族中排名第 10 ，旨在通过网络浏览器上的虚假广告秘密安装不良扩展程序。在“Shampoo”活动中，受害者被欺骗运行 VBScript 文件来安装恶意 Chrome 扩展程序。安装后，它们可以收集个人数据并通过不需要的广告扰乱浏览。

8 月，美国FBI 宣布在针对 Qbot（又名 Qakbot）的全球行动中取得重大胜利。在“猎鸭行动”中，联邦调查局控制了僵尸网络，从受感染的设备中删除了恶意软件，并识别了大量受影响的设备。Qbot 发展成为一种恶意软件交付服务，用于各种网络犯罪活动，包括勒索软件攻击。它通常通过网络钓鱼活动进行传播，并与其他威胁行为者合作。尽管它仍然是 8 月份最流行的恶意软件，但 CPR 确实观察到其影响在操作后显着下降。

上个月，通信行业也成为全球受影响最严重的行业之一，在 2023 年首次超过医疗保健行业，位居第二。今年该行业的组织面临网络攻击的例子有多个。QBot 的垮台是打击网络犯罪的重大突破。然而，我们不能自满，因为当一个人倒下时，另一个人最终会崛起来取代它。我们都应该保持警惕，共同努力，并继续在所有攻击媒介上保持良好的安全卫生。

“HTTP 标头远程代码执行”是最容易被利用的漏洞，影响了全球 40% 的组织，其次是“HTTP 命令注入”，影响了全球 38% 的组织。“MVPower CCTV DVR 远程代码执行”排名第三，全球影响力为 35%。

2023年8月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Qbot是上个月最流行的恶意软件，影响了全球5% 的组织，其次是Formbook，影响了4%，最后是Fakeupdates，影响了3%。

1. ↔ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、窃取浏览器的 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。从 2022 年开始，它成为最流行的特洛伊木马之一。
2. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。
3. ↑ Fakeupdates – Fakeupdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。虚假更新导致许多其他恶意软件进一步受到损害，包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。
4. ↑ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
5. ^ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马首次出现于 2012 年，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
6. ↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播，这些文档附加在垃圾邮件中，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。
7. ↓ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
8. ↑ CloudEye – CloudEye（又名 Guloader）是一款针对 Windows 平台的下载器，用于在受害者计算机上下载并安装恶意程序。
9. ^ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它会跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。
10. ↑ ChromeLoader – ChromeLoader（也称为 Choziosi Loader 和 ChromeBack）是一种持久性浏览器劫持者，自 2022 年 1 月以来一直活跃。它最初以 .iso 文件形式投放，可用于泄露用户的浏览器凭据、获取最近的在线活动和劫持浏览器搜索以显示广告。该恶意软件能够修改受害者的浏览器设置并将用户流量重定向到广告网站，同时还使用 PowerShell 将自身注入浏览器并向其添加恶意扩展。

全球受攻击最多的行业

上个月，教育/研究在全球受攻击最严重的行业中仍然位居榜首，其次是通信和政府/军事。

1. 教育/研究
2. 通讯
3. 政府/军队

最常被利用的漏洞

上个月，“HTTP 标头远程执行代码”是最常被利用的漏洞，影响了全球40%的组织，其次是“HTTP 命令注入”，影响了全球38%的组织。“MVPower CCTV DVR 远程执行代码”是第三大最常用的漏洞，全球影响率为35%。

1. ↑ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） – HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者的计算机上运行任意代码。
2. ↑ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） ——已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
3. ↑ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) - MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
4. ↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
5. ↑ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
6. ↑D-Link 多个产品远程执行代码 (CVE-2015-2051) – 多个 D-Link 产品中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
7. ↑PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
8. ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
9. ↔ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
10. ↔ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件

上个月，Anubis仍然位居最流行移动恶意软件的榜首，其次是AhMyth和SpinOk。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。
2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。
3. SpinOk – SpinOk 是一个作为间谍软件运行的 Android 软件模块。它收集有关设备上存储的文件的信息，并能够将它们传输给恶意威胁参与者。截至 2023 年 5 月，该恶意模块存在于 100 多个 Android 应用程序中，下载量超过 4.21 亿次。