2022 年 10 月头号恶意软件：Formbook 挤下榜首，新漏洞被披露

2022 年 11 月， 网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2022 年 10 月最新版《全球威胁指数》报告。本月，键盘记录器 AgentTesla 位居传播最广泛的恶意软件榜首，影响了全球 7% 的机构。信息窃取程序 Lokibot 引发的攻击事件数量显著增加，五个月来首次位列排行榜第三位。此外，报告还披露了影响 Apache Commons Text 库的新漏洞 Text4Shell。

Lokibot 是一种商品信息窃取程序，可从各种应用中获取凭证，包括：Web 浏览器、电子邮件客户端及 IT 管理工具。作为一种木马程序，其目标是伪装成合法程序潜入用户系统。它可通过网络钓鱼电子邮件、恶意网站、短消息及其他消息传递平台进行传播。该信息窃取程序的日益猖獗可能与以在线查询、订单和付款确认消息为主题的垃圾邮件攻击活动的增加有关。

10 月份还披露了一个新的重大漏洞 — Text4Shell (CVE-2022-42889)。该漏洞基于 Apache Commons Text 的功能，允许通过网络发起攻击，而无需任何特定权限或用户交互。Text4shell 很像 Log4Shell 漏洞，后者被披露已一年之久，作为一项主要威胁，在 10 月份排行榜中位列第二。尽管 Text4Shell 没有跻身本月最常被利用的漏洞排行榜，但已经影响了全球超过 8% 的机构，Check Point 将继续密切关注其所产生的影响。  

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“本月排名发生了很大的变化，一组新恶意软件家族构成了三大害。有意思的是，Lokibot 如此迅速地重返榜单第三位，这表明网络钓鱼攻击呈现增长趋势。随着我们进入 11 月购物旺季，人们必须保持警惕，并留意可能附带恶意代码的可疑电子邮件。务必注意一些蛛丝马迹，例如不熟悉的发件人、个人信息提交请求和链接。如有疑问，请直接访问网站并从经过验证的来源查找相应的联系信息，确保您已安装恶意软件防护。”

CPR 还指出，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 43% 的机构因此遭殃，紧随其后的是“Apache Log4j 远程代码执行”，影响了 41% 的机构。10 月，教育/研究行业仍在全球首当其冲的行业中位列第一。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月，AgentTesla 是传播最广泛的恶意软件，全球 7% 的企业受到波及，其次是 SnakeKeylogger 和 Lokibot，分别影响了全球 5% 和 4% 的企业与机构。

• ↑ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT。它能够监控和收集受害者的键盘输入与系统键盘、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的证书。
• ↑ SnakeKeylogger – SnakeKeylogger 是一种模块化 .NET 键盘记录器和凭证窃取程序，于 2020 年 11 月首次被发现。其主要功能是记录用户的击键次数并将收集到的数据传送给攻击者。它对用户的在线安全构成重大威胁，因为这是一种特别隐蔽的恶意软件，可以窃取几乎各种敏感信息。
• ↑ Lokibot – Lokibot 是一种主要通过网络钓鱼电子邮件散播的信息窃取程序，用于窃取各种数据，例如电子邮件凭证以及加密货币钱包和 FTP 服务器密码。

最常被利用的漏洞 

本月，“Web Server Exposed Git 存储库信息泄露”仍是最常被利用的漏洞，全球 43% 的机构因此遭殃。其次是“Apache Log4j 远程代码执行”，仍然位居第二，影响了 41% 的企业与机构，“HTTP 标头远程代码执行”位列第三，全球影响范围为 39%。

• ↔ Web Server Exposed Git 存储库信息泄露 – Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。
• ↔ Apache Log4j 远程代码执行 (CVE-2021-44228) – 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。
• ↑ HTTP 标头远程代码执行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） – HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

主要移动恶意软件

本月，Anubis 位列最猖獗的移动恶意软件榜首，其次是 Hydra 和 Joker。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
• Hydra – Hydra 是一种银行木马，可通过要求受害者启用高危权限来窃取财务凭证。
• Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。该恶意软件还能够在未经受害者同意或不知情的情况下为他们注册付费服务。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。