2022年7月份恶意软件之“十恶不赦”排行榜

​依据checkpoint的官网信息，在6月 Emotet 的全球影响力达到顶峰之后，Emotet 又回到了其全球影响力数字，并继续成为最广泛传播的恶意软件。由于过去看到的暑假，高峰可能已经结束。尽管如此，Emotet 功能的新功能和改进仍在不断被发现，例如开发了最新的信用卡窃取模块，并对其传播系统进行了调整。

在 7 月份，还发现凭据窃取程序 Snake Keylogger 从第三位跌至第八位。6 月，Snake Keylogger 正在通过恶意 Word 文档传播，因此其流行率下降的部分原因可能是微软最近确认它将默认阻止宏。排在第三位的是 XMRig，这是一种用于挖掘加密货币的开源 CPU 软件——表明网络犯罪分子从根本上是“为了钱”，尽管他们可能声称有更高的动机，例如黑客行动主义。Malibot 是我们上个月报告中新增的，仍然对移动银行用户构成威胁，因为它仍然是全球第三大流行的移动恶意软件。

Emotet 继续在月度顶级恶意软件排行榜中占据主导地位。该僵尸网络不断发展以保持其持久性和逃避性。最新发展包括信用卡窃取模块，意味着企业和个人在进行任何在线购物时都必须格外小心。此外，随着微软现在确认默认情况下会阻止宏，等待看看诸如 Snake Keylogger 之类的恶意软件如何改变他们的策略。

“Web 服务器暴露的 Git 存储库信息泄露”是最常被利用的漏洞，影响了全球抽样42% 的组织，紧随其后的是“Apache Log4j 远程代码执行”，影响全球抽样41%的组织。“Web Servers Malicious URL Directory Traversal”一直保持在第三位，全球抽样影响力达到 39%。

2022年7月“十恶不赦”

*箭头表示与上个月相比排名的变化。

Emotet仍然是传播最广的恶意软件，全球影响率为 7%。紧随其后的是Formbook，它影响了全球 3% 的组织，然后是 XMRig，具有 2% 的全球影响力。

1. ↔ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
2. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中被称为恶意软件即服务 (MaaS)。FormBook 从各种 Web 浏览器中获取凭据，收集屏幕截图、监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。 
3. ↑ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁者经常滥用这种开源软件，将其集成到他们的恶意软件中，在受害者的设备上进行非法挖掘。
4. ↑ Ramnit – Ramnit 是一种模块化银行木马，于 2010 年首次发现。Ramnit 窃取 Web 会话信息，使其运营商能够窃取受害者使用的所有服务的帐户凭据。这包括银行以及企业和社交网络帐户。该木马使用硬编码域和由 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他模块。
5. ↑ Remcos – Remcos 是一种 RAT，于 2016 年首次出现。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播。它们旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。
6. ↑ NJRat – NJRat 是一种远程访问木马，主要针对中东地区的政府机构和组织。该木马于 2012 年首次出现，具有多种功能。其中包括捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
7. ↓ Agent Tesla – Agent Tesla 是一种高级 RAT，可用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截屏并将凭据泄露到安装在受害者机器上的各种软件中。这包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。
8. ↓ Snake Keylogger – Snake 是一种模块化的 .NET 键盘记录器和凭据窃取程序，于 2020 年 11 月下旬首次被发现。其主要功能是记录用户击键并将收集到的数据传输给威胁参与者。它对用户的在线安全构成重大威胁，因为该恶意软件可以窃取几乎所有类型的敏感信息，并且已被证明特别具有规避性。
9. ↔ Glupteba – Glupteba 是一个后门，已逐渐成熟为僵尸网络。到 2019 年，它包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。
10. ↓ Phorpiex – Phorpiex 是 2010 年首次发现的僵尸网络（又名 Trik），在其鼎盛时期控制了超过 100 万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

全球受攻击最多的行业

教育/研究仍然是全球受到攻击最多的行业，其次是政府/军事和互联网服务提供商/托管服务提供商 (ISP/MSP)。

• 教育与研究 
• 政府/军队
• ISP/MSP

7月份漏洞Top10

“Web 服务器暴露的 Git 存储库信息泄露”是最常被利用的漏洞，影响了全球 42% 的组织。紧随其后的是“Apache Log4j 远程代码执行”，它从第一名跌至第二名，影响略低，为 41%。“Web Servers Malicious URL Directory Traversal”一直保持在第三位，全球影响力达到 39%。

1. ↑ Web Server Exposed Git Repository Information Disclosure – Git Repository中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。
2. ↓ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
3. ↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URL。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
4. ↑ 通过 HTTP 进行命令注入 (CVE-2021-43936,CVE-2022-24086) –报告了通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
5. ↓ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。
6. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2015-2051) – 多个 D-Link 产品中报告了一个远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。
7. ↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码
8. ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
9. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
10. ↑ PHP 复活节彩蛋信息披露 – PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

顶级移动恶意软件

AlienBot是最流行的移动恶意软件，其次是Anubis和MaliBot。

1. AlienBot – AlienBot 恶意软件系列是用于 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者帐户的访问权限，并最终完全控制他们的设备。
2. Anubis – Anubis 是专为 Android 手机设计的银行木马。自从最初检测到它以来，它已经获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中的数百个不同应用程序中检测到。
3. MaliBot – Malibot 是一种 Android 信息窃取恶意软件，已被发现针对西班牙和意大利的用户。信息窃取者将自己伪装成不同名称的加密挖掘应用程序，并专注于窃取财务信息、加密钱包和更多个人数据。 ​