最初于2008年作为银行木马现身的Qbot,经过了持续开发并添新功能,其目的在于窃取用户密码、电子邮件及信用卡信息。它通常通过垃圾邮件传播,并采用反VM、反调试和反沙盒方法等各种技术来阻碍分析和规避检测。目前,它的主要作用是充当其他恶意软件的加载程序,并驻留在目标机构内,作为勒索软件运营组织发起攻击的跳板。
与此同时,研究人员发现了一种传播甚广的移动恶意软件,其累计下载量现已达到4.21亿次。上个月,木马化软件开发套件 (SDK) SpinOk首次登上了移动恶意软件榜首。许多热门应用都使用该恶意软件进行营销。因此,它已渗入许多热门应用和游戏中,其中一些应用和游戏可从Google Play商店下载。SpinOk恶意软件能够从设备中窃取敏感信息并监控剪贴板活动,对用户隐私和安全构成了严重威胁,再次凸显采取主动措施保护个人数据和移动设备的必要性,并提醒用户软件供应链攻击的破坏性潜力不容小觑。
上个月还爆发了一场波及全球的大规模勒索软件攻击活动。2023年5月,Progress Software Corporation披露了MOVEit Transfer和MOVEit Cloud 中的一个漏洞 (CVE-2023-34362),它可能允许未经授权的环境访问。尽管在48小时内得到了修补,但包括 7 所美国大学在内的108家机构已被证实遭到攻击,数十万份记录遭到窃取。
Check Point Research指出,Web服务器恶意URL 目录遍历漏洞是上月最常被利用的漏洞,全球51%的企业因此遭殃,其次是Apache Log4j 远程代码执行漏洞,影响了全球46%的机构,HTTP标头远程代码执行是第三大最常被利用的漏洞,全球影响范围为44%。
头号恶意软件家族
(注:箭头表示与上月相比的排名变化。)
Qbot是上个月最猖獗的恶意软件,全球7%的机构受到波及,其次是Formbook和Emotet,分别影响了全球4%和3%的机构。
1. Qbot (↔)。Qbot(又名Qakbot)是一种多用途恶意软件,于2008年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot通常通过垃圾邮件传播,采用多种反VM、反调试和反沙盒手段来阻碍分析和逃避检测。
2. Formbook(↔)。Formbook 是针对Windows操作系统的信息窃取程序,于2016年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数,并按照其C&C命令下载和执行文件。
3. Emotet (↑) 。Emotet是一种能够自我传播的高级模块化木马。Emotet曾经被用作银行木马,最近又成为其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
主要移动恶意软件
上个月,SpinOk跃居最猖獗的移动恶意软件榜首,其次是Anubis 和AhMyth。
1. SpinOk。SpinOk是一种用作间谍软件的 Android软件模块,可收集设备上保存的文件信息,并将其传输给攻击者。截至5月23日,该恶意模块在100多款Android应用中均有发现,下载量超过4.21亿次。
2. Anubis。Anubis是一种专为Android手机设计的银行木马恶意软件。自最初被检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
3. AhMyth。AhMyth是一种远程访问木马 (RAT),于2017年被发现,可通过应用商店和各种网站上的Android应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
来源:Check Point
