利用虚假的 CAPTCHA 页面来传播 Lumma Stealer 恶意软件,该恶意软件已攀升至月度恶意软件排行榜第四位。该活动以其全球影响力而著称,通过两种主要感染媒介影响多个国家:一种涉及破解的游戏下载 URL,另一种是通过针对 GitHub 用户的网络钓鱼电子邮件作为一种创新的攻击媒介。感染过程会误导受害者执行已复制到剪贴板的恶意脚本,这表明信息窃取程序越来越普遍,成为网络犯罪分子从受感染系统中窃取凭据和敏感数据的有效手段。
在移动恶意软件领域,新版 Necro 已成为一个重大威胁,在移动恶意软件中排名第二。Necro 感染了各种流行应用程序,包括 Google Play 上的游戏模组,累计用户超过 1100 万台 Android 设备。该恶意软件采用混淆技术来逃避检测,并利用隐写术(即将信息隐藏在另一条消息或物理对象中以避免检测的做法)来隐藏其有效载荷。一旦激活,它可以在隐形窗口中显示广告,与它们互动,甚至让受害者订阅付费服务,突显了攻击者用来将其运营货币化的不断发展的策略。
精明的信息窃取者的崛起凸显了一个日益严重的现实。网络犯罪分子正在不断改进其方法并利用创新的攻击媒介。组织必须超越传统防御措施,采取主动和自适应的安全措施,预测新出现的威胁,以有效应对这些持续存在的挑战。
2024年10月“十恶不赦”
*箭头表示与上个月相比的排名变化
FakeUpdates是本月最流行的恶意软件,影响了全球6% 的组织,其次是Androxgh0st,全球影响率为5%,以及AgentTesla,全球影响率为4%。
1. ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步受到攻击。
2. ↔ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染,Androxgh0st 利用了多个漏洞,具体针对 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息,例如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体,可以扫描不同的信息。
3. ↑ AgentTesla – AgentTesla 是一种先进的 RAT,可用作键盘记录器和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
4. ↑ Lumma Stealer – Lumma Stealer,也称为 LummaC2,是一种与俄罗斯有关的信息窃取恶意软件,自 2022 年以来一直作为恶意软件即服务 (MaaS) 平台运行。该恶意软件于 2022 年中期被发现,不断发展,并在俄语论坛上积极传播。作为典型的信息窃取者,LummaC2 专注于从受感染的系统中收集各种数据,包括浏览器凭据和加密货币账户信息。
5. ↓ Formbook - Formbook 是一款针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售,因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键,并可以根据其 C&C 的命令下载和执行文件。
6. ↑ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
7. ↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令以下载和执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
8. ↑ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
9. ↔ Glupteba – Glupteba 自 2011 年起为人所知,是一种逐渐发展成为僵尸网络的后门。到 2019 年,它包括通过公共比特币列表更新 C&C 地址的机制、集成的浏览器窃取程序功能和路由器漏洞利用程序。
10. ↓ Vidar - Vidar 是一种以恶意软件即服务形式运行的信息窃取恶意软件,于 2018 年底首次被发现。该恶意软件在 Windows 上运行,可以从浏览器和数字钱包中收集各种敏感数据。此外,该恶意软件还被用作勒索软件的下载器。
最常被利用的漏洞
1. ↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用该漏洞可让未经身份验证的远程攻击者泄露或访问存在漏洞的服务器上的任意文件。
2. ↓ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
3. ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771 ) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
热门移动恶意软件
本月最流行的移动恶意软件中,Joker位居第一,其次是Necro和Anubis。
1. ↔ Joker – Google Play 上的一款安卓间谍软件,旨在窃取短信、联系人列表和设备信息。此外,该恶意软件还会悄悄地让受害者在广告网站上获得高级服务。
2. ↑ Necro – Necro 是一种 Android 木马植入程序。它能够下载其他恶意软件、显示侵入性广告并通过收取付费订阅费来窃取资金。
3. ↓ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来,它已获得附加功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
全球最易受攻击的行业
本月,教育/研究仍然位居全球遭受攻击的行业第一位,其次是政府/军事和通信行业。
- 教育/研究
- 政府/军队
- 通讯
顶级勒索软件组织
这些数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察,这些网站发布了受害者信息。RansomHub是本月最流行的勒索软件组织,占已发布攻击的17 % ,其次是Play(占10%)和Meow(占5%)。
1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
2. Play – Play 勒索软件,也称为 PlayCrypt,是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的广泛企业和关键基础设施,到 2023 年 10 月影响了大约 300 个实体。Play 勒索软件通常通过入侵有效账户或利用未修补的漏洞(例如 Fortinet SSL VPN 中的漏洞)来访问网络。一旦进入,它就会采用诸如使用 living-off-the-land 二进制文件 (LOLBins) 之类的技术来执行数据泄露和凭据窃取等任务。
3. Meow - Meow 勒索软件是基于 Conti 勒索软件的变种,该勒索软件以加密受感染系统上的各种文件并在其后附加“.MEOW”扩展名而闻名。它会留下一个名为“readme.txt”的勒索信,指示受害者通过电子邮件或 Telegram 联系攻击者以协商赎金。Meow 勒索软件通过各种媒介传播,包括不受保护的 RDP 配置、电子邮件垃圾邮件和恶意下载,并使用 ChaCha20 加密算法锁定文件(不包括“.exe”和文本文件)。
