2022年9月份恶意软件之“十恶不赦”排行榜

跟踪CheckPoint的报道，已经有两三年了，结合上个月和本月的情况，我们继续和大家一起跟进这个系列。虽然 Formbook 仍然是最流行的恶意软件，影响了全球 3% 的组织，但 Vidar 现在排名第八，比 8 月上升了 7 位。

Vidar 是一种信息窃取器，旨在为威胁参与者提供后门访问权限，使他们能够从受感染的设备中窃取敏感的银行信息、登录凭据、IP 地址、浏览器历史记录和加密钱包。其流行度的增加是在恶意活动之后，利用虚假的 Zoom 网站，例如 zoomus[.]website 和 zoom-download[.]space，被用来引诱无辜用户下载恶意软件。Formbook 是一个针对 Windows 操作系统的信息窃取程序，仍然位居首位。

自俄乌战争爆发以来，两国网络攻击的影响可谓牵引着全世界的目光。虽然冲突加剧，在 9 月份，许多东欧国家的“威胁等级”发生了显著变化。威胁等级表示与世界其他地区相比，一个组织在特定国家受到攻击的程度。9 月，乌克兰上升了 26 位，波兰和俄罗斯各上升了 18 位，立陶宛和罗马尼亚均上升了 17 位，等等。所有这些国家现在都跻身前 25 名，其排名下降幅度最大的是上个月。

随着地面战争的继续，网络空间的战争也在继续。这些东欧国家的威胁等级在上个月有所增加，这可能并非巧合。所有组织都面临风险，必须在为时已晚之前转向预防优先的网络安全战略。在 9 月份最流行的恶意软件方面，有趣的是 Vidar 在久违的情况下跃入前十名。Zoom 的用户需要对欺诈链接保持警惕，因为这就是 Vidar 恶意软件最近的传播方式。始终注意 URL 中的不一致或拼写错误的单词。如果它看起来可疑，它可能是。

本月还透露，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影响了全球 43% 的组织，紧随其后的是“Apache Log4j Remote Code Execution”，从第一位跌至第二位，影响了42%。教育/研究仍然是全球受攻击最多的行业。

2022年9月“十恶不赦”

*箭头表示与上个月相比排名的变化。

本月，Formbook仍然是影响全球 3% 组织的最流行恶意软件，其次是XMRig和AgentTesla，它们都影响了全球 2% 的组织。

1. ↔ Formbook – FormBook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。FormBook 从各种 Web 浏览器收集凭据，收集屏幕截图，监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ↑ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 软件。威胁者经常滥用这种开源软件，将其集成到他们的恶意软件中，在受害者的设备上进行非法挖掘。

3. ↓ AgentTesla – AgentTesla 是一种高级 RAT，可用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图并将凭据泄露到安装在受害者机器上的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

4. ↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

5. ↑ Ramnit – Ramnit 是一种模块化银行木马，于 2010 年首次发现。Ramnit 窃取网络会话信息，使其运营商能够窃取受害者使用的所有服务的账户凭据，包括银行账户、公司和社交网络账户。该木马使用硬编码域以及由 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他模块。

6. ↑ SnakeKeylogger – Snake 是一个模块化的 .NET 键盘记录器和凭据窃取程序，于 2020 年 11 月下旬首次被发现；它的主要功能是记录用户击键并将收集到的数据传输给威胁参与者。蛇感染对用户的隐私和在线安全构成重大威胁，因为该恶意软件可以窃取几乎所有类型的敏感信息，并且它是一种特别隐蔽和持久的键盘记录器。

7. ↑ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直在控制超过一百万受感染的主机。以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

8. ↑ Vidar – Vidar 是一个针对 Windows 操作系统的信息窃取程序。它于 2018 年底首次被发现，旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar 在各种在线论坛上出售，并用作恶意软件投放器来下载 GandCrab 勒索软件作为其辅助有效负载。

9. ↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和路过式下载感染受害者，并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

10. ↑ Remcos – Remcos 是 2016 年首次出现在野外的 RAT。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows 的 UAC 安全性并以高级权限执行恶意软件。

全球受攻击最多的行业

本月，教育/研究部门仍然是全球受攻击最多的行业，其次是政府/军事和医疗保健。

1. 教育/研究

1. 政府/军队

2. 卫生保健

最常被利用的漏洞

本月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影响了全球 42.7% 的组织。紧随其后的是“ Apache Log4j 远程代码执行”，从第一名跌至第二名，影响了 42% 的组织。“基于 HTTP 的命令注入”跃居第三位，全球影响力达到 40%。

1. ↑ Web Server Exposed Git Repository Information Disclosure – Git Repository 中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意泄露帐户信息。

2. ↓ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

3. ↑ 通过 HTTP 进行命令注入 (CVE-2021-43936,CVE-2022-24086) – 报告了通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

4. ↔ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害机器上运行任意代码。

5. ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

6. ↑ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码

7. ↑ PHP 复活节彩蛋信息披露- PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

9. ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) - Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

10. ↑ WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress 便携式 phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

顶级移动恶意软件

本月，Anubis跃居成为传播最广泛的移动恶意软件的首位，紧随其后的是Hydra和Joker。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从它最初被发现以来，它已经获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。它已在 Google 商店中的数百个不同应用程序中检测到。

2. Hydra – Hydra 是一种银行木马，旨在通过请求受害者启用危险权限来窃取金融凭证。

3. Joker – Google Play 中的 Android 间谍软件，旨在窃取 SMS 消息、联系人列表和设备信息。此外，恶意软件还可以在受害者不同意或不知情的情况下为他们注册付费高级服务。

2022年1月份恶意软件之“十恶不赦”排行榜

2022年2月份恶意软件之“十恶不赦”排行榜

2022年3月份恶意软件之“十恶不赦”排行榜

2022年4月份恶意软件之“十恶不赦”排行榜

2022年5月份恶意软件之“十恶不赦”排行榜

2022年6月份恶意软件之“十恶不赦”排行榜

2022年7月份恶意软件之“十恶不赦”排行榜

2022年8月份恶意软件之“十恶不赦”排行榜

原文始发于微信公众号（祺印说信安）：2022年9月份恶意软件之“十恶不赦”排行榜