1. 科技訊首頁
  2. 產(chǎn)經(jīng)

2024 年 10 月頭號(hào)惡意軟件:網(wǎng)絡(luò)犯罪分子找到新的攻擊向量

陳晨 ? ? 產(chǎn)經(jīng)

Check Point 軟件技術(shù)公司的最新威脅指數(shù)報(bào)告顯示,Lumma Stealer 等信息竊取程序顯著增加,而 Necro 等移動(dòng)惡意軟件依然構(gòu)成重大威脅,說明全球網(wǎng)絡(luò)犯罪分子正不斷翻新花樣。

2024 年 11 月 ,領(lǐng)先的云端 AI 解決方案網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2024 年 10 月《全球威脅指數(shù)》報(bào)告。本月的報(bào)告著重關(guān)注了網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)令人堪憂的趨勢(shì),即信息竊取程序大量涌現(xiàn),網(wǎng)絡(luò)犯罪分子的攻擊手段愈加復(fù)雜。

在10月份,研究人員發(fā)現(xiàn)了一個(gè)利用虛擬驗(yàn)證碼頁面散播 Lumma Stealer 惡意軟件(已躍升至月度頭號(hào)惡意軟件排行榜第四位)的感染鏈。這一攻擊活動(dòng)的顯著特點(diǎn)是全球散播,已通過兩個(gè)主要感染向量影響了多個(gè)國(guó)家(地區(qū)):一個(gè)是破解的游戲下載 URL,另一個(gè)是針對(duì) GitHub 用戶的網(wǎng)絡(luò)釣魚電子郵件(一種新的攻擊向量)。在感染過程中,受害者會(huì)被誤導(dǎo)執(zhí)行已復(fù)制到其剪貼板上的惡意腳本。如今,信息竊取程序日趨肆虐,是網(wǎng)絡(luò)犯罪分子從受感染系統(tǒng)中竊取憑證和敏感數(shù)據(jù)的一種有效手段。

在移動(dòng)惡意軟件領(lǐng)域,新版 Necro 已成為一個(gè)重大威脅,在移動(dòng)惡意軟件榜單中位列第二。Necro 感染了各種熱門應(yīng)用,包括 Google Play 上提供的游戲模組,累計(jì)攻擊了超過 1100 萬臺(tái) Android 設(shè)備。該惡意軟件采用混淆技術(shù)逃避檢測(cè),并利用隱寫技術(shù)(即將信息隱藏在另一個(gè)消息或物理對(duì)象中以逃避檢測(cè))隱藏其有效載荷。一旦激活,它就會(huì)在隱形窗口中顯示廣告,與之交互,甚至為受害者訂閱付費(fèi)服務(wù),這充分表明攻擊者為牟取不義之財(cái)可謂費(fèi)盡心思。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對(duì)于當(dāng)前威脅形勢(shì)評(píng)論道:“復(fù)雜信息竊取程序大量涌現(xiàn),表明威脅形勢(shì)愈發(fā)嚴(yán)峻。網(wǎng)絡(luò)犯罪分子正在不斷升級(jí)其方法,并利用創(chuàng)新攻擊向量。各機(jī)構(gòu)必須采取自適應(yīng)主動(dòng)安全防護(hù)措施來抵御新興威脅,以有效地應(yīng)對(duì)這些長(zhǎng)期挑戰(zhàn),而不僅僅限于實(shí)施傳統(tǒng)防御機(jī)制?!?/em>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件,全球 6% 的機(jī)構(gòu)受到波及,其次是 Androxgh0st 和 AgentTesla,分別影響了全球 5% 和 4% 的組織與機(jī)構(gòu)。

1.  FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

2.  Androxgh0st – Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段,Androxgh0st 利用多個(gè)漏洞,特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。

3.  AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級(jí) RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。

4. ↑ Lumma Stealer – Lumma Stealer(又稱為 LummaC2)是一種信息竊取惡意軟件,自 2022 年以來一直作為惡意軟件即服務(wù) (MaaS) 平臺(tái)運(yùn)行。該惡意軟件于 2022 年年中被發(fā)現(xiàn),目前仍在不斷演變,并在俄語論壇上大肆傳播。作為一種典型的信息竊取程序,LummaC2 主要從受感染系統(tǒng)中竊取各種數(shù)據(jù),包括瀏覽器憑證和加密貨幣賬戶信息。

5.  Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格,它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

6.  NJRat – NJRat 是一種遠(yuǎn)程訪問木馬,主要針對(duì)中東地區(qū)的政府機(jī)構(gòu)和組織。該木馬于 2012 年首次出現(xiàn),具有多項(xiàng)功能:捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲(chǔ)的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備,并在命令與控制服務(wù)器軟件的支持下,通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

7. ↑ AsyncRat – Asyncrat 是一種針對(duì) Windows 平臺(tái)的木馬程序。該惡意軟件會(huì)向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令,以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新,并截取受感染系統(tǒng)的屏幕截圖。

8. ↑ Remcos – Remcos 是一種遠(yuǎn)程訪問木馬,于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播,旨在繞過 Microsoft Windows UAC 安全保護(hù)并以高級(jí)權(quán)限執(zhí)行惡意軟件。

9.  Glupteba – Glupteba 自 2011 年被發(fā)現(xiàn),是一種后門病毒,已逐漸發(fā)展為僵尸網(wǎng)絡(luò)。到 2019 年,它包括 C&C 地址更新機(jī)制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10. ↓ Vidar – Vidar 是一種以惡意軟件即服務(wù)模式運(yùn)行的信息竊取惡意軟件,于 2018 年底首次現(xiàn)身。該惡意軟件在 Windows 上運(yùn)行,不僅可從瀏覽器和數(shù)字錢包中收集各種敏感數(shù)據(jù),而且還被用作勒索軟件的下載程序。

主要移動(dòng)惡意軟件

本月,Joker 位列最猖獗的移動(dòng)惡意軟件榜首,其次是 Necro 和 Anubis。

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件,可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外,該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊(cè)付費(fèi)服務(wù)。

2. ↑ Necro – Necro 是一種木馬植入程序,可下載其他惡意軟件、顯示侵入性廣告,并通過收取付費(fèi)訂閱費(fèi)用騙取錢財(cái)。

3. ↓ Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來,它已經(jīng)具有一些額外的功能,包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。本月,RansomHub 是最猖獗的勒索軟件團(tuán)伙,其攻擊數(shù)量占已發(fā)布攻擊的 17%,其次是 Play 和 Meow,分別占 10% 和 5%。

1. RansomHub – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作,據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初,RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒,因其針對(duì)各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動(dòng),以及采用的復(fù)雜加密方法而臭名昭著。

2. Play – Play 勒索軟件又稱為 PlayCrypt,于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入網(wǎng)絡(luò)。得逞后,它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

3. Meow – Meow 勒索軟件是一種基于 Conti 勒索軟件的變體,因能夠加密受感染系統(tǒng)上的各種文件而廣為人知。它會(huì)在文件名后添加“.MEOW”擴(kuò)展名,然后留下一封名為“readme.txt”的勒索信,要求受害者通過電子郵件或 Telegram 聯(lián)系攻擊者,談判贖金支付事宜。Meow 勒索軟件通過各種向量傳播,包括未受保護(hù)的 RDP 配置、垃圾電子郵件及惡意下載,并使用 ChaCha20 加密算法來鎖定文件,不包括“.exe”和文本文件。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司(www.checkpoint.com.cn)是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場(chǎng)。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122024111409410371482412.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論