2020 年 5 月头号恶意软件:ursnif 银行木马首次登上十大恶意软件排行榜,组织影响范围翻了一番。
check point 研究人员发现,可窃取电子邮件和银行凭证的老牌 ursnif 银行木马的攻击利用率激增。
2020 年 6 月 16 日 – 全球领先的网络安全解决方案提供商 check point 软件技术有限公司 (纳斯达克股票代码:chkp)的威胁情报部门 check point research 发布了其 2020 年 5 月最新版《全球威胁指数》报告。研究人员发现,多起恶意垃圾邮件攻击活动正在传播 ursnif 银行木马,使其从恶意软件排行榜第 19 位跃升至第 5 位,全球组织影响范围翻了一番。
ursnif 银行木马主要瞄准 windows 电脑,能够窃取重要的财务信息、电子邮件凭证及其他敏感数据。该恶意软件通过 word 或 excel 附件在恶意垃圾邮件攻击活动中进行传播。新一波 ursnif 木马攻击使这一恶意软件首次跻身“主要恶意软件”指数榜单前十名。而与此同时,其常见变种之一 dreambot 被报消亡。dreambot 于 2014 年首次被发现,主要基于 ursnif 泄露的源代码。据报道,自 2020 年 3 月以来,dreambot 的后端服务器已关闭,自此再未发现新的 dreambot 样本。
同时,于 3 月首次跻身十大恶意软件排行榜的知名银行木马 dridex 在整个 5 月继续肆虐,连续第二个月位居榜首。5 月,最猖獗的移动恶意软件家族也发生了大变动。通过点击移动广告来诈骗钱财的 android 恶意软件主导了榜单,这表明犯罪分子正尝试通过攻击移动设备牟利。 check point 产品威胁情报与研究总监 maya horowitz 表示:“5 月,dridex、agent tesla 和 ursnif 银行木马均位列恶意软件排行榜前五位,这充分表明网络犯罪分子正致力于使用恶意软件窃取受害者的重要数据和凭证,以从中牟利。 尽管 covid-19 相关攻击率有所下降,但与 3 月和 4 月相比,5 月整体网络攻击率增加了 16%,因此组织必须借助某些工具和技术来保持警戒,尤其是在大规模转向远程办公模式的情况下,以防攻击者乘虚而入。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
本月,dridex 仍然位居榜首,全球 4% 的组织受到波及,其次是 agent tesla 和 xmrig,两者均影响了全球 3% 的组织。
1. dridex – dridex 是一种针对 windows 平台的木马,据说通过垃圾邮件附件进行下载。 dridex 不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载并执行从远程服务器接收的任意模块。
2. ↑ agent tesla – agent tesla 是一种用作键盘记录器和信息窃取程序的高级 rat,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 google chrome、mozilla firefox 和 microsoft outlook 电子邮件客户端)的凭证。
3. ↓ xmrig - xmrig 是一种开源 cpu 挖矿软件,用于门罗币加密货币的挖掘,2017 年 5 月首次现身。
最常被利用的漏洞
本月,“mvpower dvr 远程执行代码”仍是位居第一的最常被利用的漏洞,全球 45% 的组织因此遭殃。“openssl tls dtls 心跳信息泄露”是第二大最常被利用的漏洞,紧随其后的是“web server exposed git 存储库信息泄露”,分别影响了全球 40% 和 39% 的组织。
1. mvpower dvr 远程执行代码 - 一种存在于 mvpower dvr 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
2. ↑ openssl tls dtls 心跳信息泄露(cve-2014-0160;cve-2014-0346) - 一种存在于 openssl 中的信息泄露漏洞。该漏洞是因处理 tls/dtls 心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
3. ↑ web server exposed git 存储库信息泄露 - git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
头号恶意软件家族 - 移动恶意软件
本月,恶意软件家族前三位都发生了更迭,preamo 位列最猖獗的移动恶意软件榜首,其次是 necro 和 hiddad。
1. preamo - preamo 是一种 android 恶意软件,通过点击从三家广告代理(presage、admob 和 mopub)检索到的横幅来模拟用户。
2. necro - necro 是一种木马植入程序,可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。
3. hiddad - hiddad 是一种 android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是展示广告,但它也可以访问操作系统内置的关键安全细节。
check point《全球威胁影响指数》及其《threatcloud 路线图》基于 check point threatcloud 情报数据撰写而成,threatcloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。threatcloud 数据库每天检查超过 25 亿个网站和 5 亿份文件,每天识别超过 2.5 亿起恶意软件攻击活动。
如欲查看 5 月份十大恶意软件家族的完整列表,请访问 check point 博客 。
关于 check point research
check point research 能够为 check point software 客户以及整个情报界提供领先的网络威胁情报。check point 研究团队负责收集和分析 threatcloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 check point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
关于 check point 软件技术有限公司
check point 软件技术有限公司是一家面向全球政府和企业的领先网络安全解决方案提供商。其解决方案对恶意软件、勒索软件及其他类型攻击的捕获率处于业界领先水准,可有效保护客户免遭第五代网络攻击。check point 推出了多级安全架构 infinity total protection。该解决方案具备第五代高级威胁防御能力,可全面保护企业的云、网络和移动设备信息。check point 还可提供最全面、最直观的单点控制安全管理系统。check point 为十万多家各种规模的企业提供保护。
