上周恶意软件统计

©网络研究院

ASEC 分析团队正在使用 ASEC 自动分析系统 RAIT 对已知恶意软件进行分类和响应。这篇文章将列出从 2022 年 10 月 24 日（星期一）到 10 月 30 日（星期日）收集的每周统计数据。

在主要类别中，Infostealer 以 43.2% 位居榜首，下载程序以 34.7% 位居第二，后门程序以 19.4% 位居第二，勒索软件以 2.2% 位居第二。

第 1 名 – Agent Tesla

AgentTesla 是一个信息窃取者，以 22.1% 排名第一。它是一个 Infostaler，会泄露保存在 Web 浏览器、电子邮件和 FTP 客户端中的用户凭据。

它使用电子邮件 (SMTP) 泄露收集的信息，并且有使用 FTP 或 Discord API 的样本。近期采集样本的C&C信息如下。

• server : mail.mktron.in (104.156.54.11)
  sender : [email protected]
  receiver : [email protected]
  user : [email protected]
  pw : zNvK*****UXb

• server : mail.dmstech.in (104.156.54.11)
  sender : [email protected]
  receiver : [email protected]
  user : [email protected]
  pw : 0]6F*****qfd

• server : mail.kidobd.com (88.198.58.26)
  sender : [email protected]
  receiver : [email protected]
  user : [email protected]
  pw : @dm****do

由于大多数是通过伪装成发票、装运单据和采购订单的垃圾邮件分发的，因此文件名包含上面显示的这些词（发票、装运和 PO - 采购订单）。多个收集的样本伪装成扩展名为 pdf 和 xlsx 的文件。

• 000001_Quote_2200001612.exe

• SWIFT MT103 86258992.pdf.exe

• Orden de compra #PO06709.exe

• Purchase order submitted for approval PO-00091 26102022.exe

• 10556-Transferencia 3795770002016742.exe

• 10556-Transfer 3795770002016742.exe

• +++Offer-Proforma – CHTPUP SERVIS-MEASURE – 22-011-000021.exe

• PO BFL-007756.exe

• Orden de compra #PO06709.exe

  
  

第 2 名 - BeamWinHTTP

BeamWinHTTP 是一种下载恶意软件，以 21.6% 排名第二。BeamWinHTTP 通过伪装成 PUP 安装程序的恶意软件进行分发。当它被执行时，它会安装 PUP 恶意软件垃圾清理器，并且可以同时下载和安装其他恶意软件。

确认的 C&C 服务器 URL 如下。

• 45.139.105.171/itsnotmalware/count.php
• ggg-cl.biz/stats/1.php
• ggg-cl.biz/check.php
• ggg-cl.biz/stats/save.php
• 45.9.20.13/partner/loot.php
• kokoko-24.online/api/tracemap.php

• 45.15.156.54/itsnotmalware/count.PHP

第 3 名——Smokeloader

Smokeloader 是一个通过漏洞利用工具包分发的信息窃取器/下载器。本周，它以 8.7% 排名第三。与通过漏洞利用工具包分发的其他恶意软件一样，该恶意软件也具有 MalPe 形式。 

执行时将自身注入explorer.exe，实际恶意行为由explorer.exe执行。连接到 C&C 服务器后，它既可以下载附加模块，也可以下载其他恶意软件。另外下载的恶意软件通常具有Infostealer的功能，并创建explorer.exe（子进程）并注入模块进行操作。

Smoke Loader 是一个 Infostaler / 下载器，以 6.6% 排名第五。有关 Smoke Loader 的分析报告，请参阅下面的 ASEC 报告。

确认的 C&C 服务器 URL 如下。

• bururutu44org.org
• guluiiiimnstra.net
• furubujjul.net
• gulutina49org.org
• hulimudulinu.net
• liubertiyyyul.net
• nuluitnulo.me
• nvulukuluir.net
• stalnnuytyt.org
• youyouumenia5.org
• o339ku32b3yk26.com

• o36fafs3sn6xou[.]com

另一种恶意软件可以通过使用 C&C 服务器从外部下载，目前确认的恶意软件菌株是 Dharma 和 Lockbit 勒索软件。

第 4 名——Tofsee

Tofsee 是一个后门，以 8.7% 排名第四。Tofsee 是一种恶意软件，主要通过漏洞利用工具包分发，并访问 C&C 以下载具有挖掘、垃圾邮件和 DDoS 等功能的其他恶意模块。

确认的 C&C 服务器 URL 如下。

• hxxps://svartalfheim.top

第 5 名 – Lokibot

Lokibot 恶意软件以 7.5% 排名第五。它是一个信息窃取程序，会泄露有关 Web 浏览器、电子邮件客户端和 FTP 客户端等程序的信息。

以下是恶意软件最多的 C&C 服务器列表。

• iklok.us/SA/L/girl.php
• iklok.us/SA/L/wl.php
• legalpath.in/cc/Panel/fre.php
• retrak.co.ke/psy/five/fre.php
• sempersim.su/gk22/fre.php
• sempersim.su/gl1/fre.php
• sempersim.su/gl4/fre.php
• sempersim.su/gl9/fre.php
• sempersim.su/gl9/fre.php
• tagveam.ml/ment/form/fre.php
• wexno.us/ho/sk/dancex.php