ang010ela 恶意软件 2020-02-15 09:30:00
收藏
随着新冠病毒疫情的威胁吸引了全球的关注,2020年1月的全球威胁指数报告指出网络犯罪分子利用了新冠病毒疫情这个热点来进行恶意活动,全球爆发了多起与该病毒相关的垃圾邮件活动。
规模最大的新冠病毒疫情主题的攻击活动主要攻击日本,通过日本残疾人福利服务提供者发送的邮件附件来传播Emotet恶意软件。垃圾邮件会鼓励受害者打开恶意附件,如果受害者打开恶意附件,就会在受害者计算机上下载Emotet。
Top 10恶意软件家族
注:*箭头变化是与上个月的排名进行对比
与上个月相比,Top 3的恶意软件家族没有发生变化——Emotet排名第1,影响全球约13%的企业,第2和第3是XMRig和Trickbot,分别影响全球10%和7%的企业。
· ↔ Emotet – Emotet是一款先进的、自复制传播的、模块化的木马。Emotet最初是一款银行木马,但最近被用作其他恶意软件或恶意攻击活动的传播器。Emotet使用多种方法来实现驻留和绕过检测,通过含有恶意附件或链接的钓鱼垃圾邮件进行传播。
· ↔ XMRig – XMRig是一款开源的CPU挖矿软件,用来进行门罗币加密货币挖矿,最早出现在2017年5月。
· ↔ Trickbot – Trickbot是一款主流的银行木马,仍在不断更新新的功能、特征和传播向量。这使得Trickbot成为一款灵活和定制的恶意软件,并可以作为多目的攻击活动的一部分来进行传播。
· ↔ Agent Tesla – Agent Tesla是一款先进的RAT,功能包括输入记录和密码窃取。AgentTesla可以监控和收集受害者键盘输入、系统剪贴板,截屏,窃取属于不同软件的凭证,包括Google Chrome、Mozilla Firefox和Microsoft Outlook。
· ↑ Formbook – Formbook是一款信息窃取器,可以从不同的web浏览器获取凭证、收集截屏、监控和登记键盘输入、根据C2命令下载和执行文件。
· ↔ Ramnit – Ramnit是一款银行木马,可以窃取银行凭证、FTP口令、session cookie和个人数据。
· ↑ Vidar – Vidar是一个信息窃取器,主要攻击Windows操作系统。Vidar首次检测时间是2018年12月底,是用来从不同的web浏览器和数字钱包窃取口令、信用卡数据和其他敏感信息的。Vidar在不同的在线论坛出售,用作恶意软件释放器,会下载GandCrab勒索软件作为第二个payload。
· ↓ Lokibot – Lokibot是通过钓鱼邮件传播的信息窃取器,用来窃取邮件凭证这样的数据和加密货币钱包、FTP服务器的口令。
· ↑ Hawkeye – Hawkeye是一款信息窃取恶意软件,主要从受感染的Windows平台窃取用户凭证,并发送回C2服务器。经过几年的发展,Hawkeye在原来窃取邮件和web浏览器口令的基础上加入了截屏、通过USB传播的功能。Hawkeye在黑市上以恶意软件即服务的形式出售。
· ↔ xHelper – xHelper是一款从2019年3月开始出售的恶意应用,用来下载其他恶意应用和显示广告。应用可以隐藏自己,如果被卸载还可以重新安装。
Top漏洞利用
本月MVPower DVR RCE漏洞是被利用最多的漏洞,影响全球45%的企业。然后是Web Server Exposed Git Repository信息泄露漏洞,影响全球44%的企业,排名第3的是PHP DIESCAN信息泄露漏洞,影响全球42%的企业。
· ↑ MVPower DVR RCE漏洞。该漏洞是MVPower DVR设备中的一个远程代码执行漏洞。远程攻击者可以利用该漏洞利用伪造的请求在受影响的路由器中执行任意代码。
· ↑ Web Server Exposed Git Repository信息泄露漏洞。该漏洞是Git Repository中的信息泄露漏洞。攻击者利用该漏洞可以泄露账户信息。
· ↑ PHP DIESCAN信息泄露漏洞。该漏洞是PHP页面的信息泄露漏洞。成功利用该漏洞可以引发服务器敏感信息泄露。
· ↑ Dasan GPON路由器认证绕过漏洞(CVE-2018-10561)。该漏洞是Dasan GPON路由器的认证绕过漏洞。远程攻击者成功利用该漏洞可以获取敏感信息,并非授权访问受影响的系统。
· ↓ OpenSSL TLS DTLS Heartbeat信息泄露漏洞(CVE-2014-0160; CVE-2014-0346)。这是OpenSSL的一个信息泄露漏洞。该漏洞是由于处理TLS/DTLS心跳包时发生错误引发的漏洞。攻击者利用该漏洞可以泄露连接的客户端或服务器的内存内容。
· ↑ Apache Struts2 Content-Type RCE漏洞(CVE-2017-5638) 。这是使用Jakarta多部分分析器的Apache Struts2的远程代码执行漏洞。攻击者可以通过在发送的文件上传请求中使用无效的内容类型(content-type)来利用该漏洞。成功利用该漏洞会导致受影响的系统是任意代码执行。
· ↓ SQL 注入。在客户端到应用的输入的SQL请求中插入注入,利用的是应用软件的安全漏洞。
· ↓ HTTP命令注入漏洞。这是报告的HTTP上的命令注入漏洞,远程攻击者可以通过发送到受害者的伪造请求来利用该漏洞。攻击者成功利用该漏洞可以在目标机器上执行任意代码。
· ↓ WordPress portable-phpMyAdmin插件认证绕过漏洞(CVE-2012-5469)。这是WordPress portable-phpMyAdmin插件中的一个认证绕过漏洞。攻击者成功利用该漏洞可以获取敏感信息,并获取受影响系统的非认证访问权限。
· ↓ D-Link DSL-2750B RCE漏洞。这是D-Link DSL-2750B路由器中的一个远程代码执行漏洞。成功利用该漏洞可以在有漏洞的设备上执行任意代码。
Top手机恶意软件家族
· xHelper。2019年3月开始活动的恶意应用,用于下载其他恶意app和显示广告。该应用可以隐藏自己,在被卸载后仍然可以重新安装自己。
· Guerrilla。嵌入了多款合法app中的安卓木马,可以下载其他恶意payload。Guerrilla可以为app开发者产生欺骗性的广告收入。
· AndroidBauts。一款攻击安卓用户的广告恶意软件,可以窃取IMEI、IMSI、GPS位置信息和其他设备信息,允许在移动设备上安装第三方app和快捷方式。
本文翻译自:https://blog.checkpoint.com/2020/02/13/january-2020s-most-wanted-malware-coronavirus-themed-spam-spreads-malicious-emotet-malware/如若转载,请注明原文地址: