2023年1月份恶意软件之十恶不赦排行榜

在我们 2023 年 1 月的最新全球威胁指数中，信息窃取者 Vidar 在品牌劫持事件增加以及在中东和北非发起大型 njRAT 恶意软件网络钓鱼活动后重返前十名，位列第七。

1 月，信息窃取者 Vidar 被发现通过声称与远程桌面软件公司 AnyDesk 有关联的虚假域传播。该恶意软件对各种流行的应用程序使用 URL 劫持，将人们重定向到一个声称是官方 AnyDesk 网站的 IP 地址。下载后，该恶意软件会伪装成合法安装程序以窃取敏感信息，例如登录凭据、密码、加密货币钱包数据和银行详细信息。

研究人员还发现了一个名为 Earth Bogle 的主要活动，将 njRAT 恶意软件发送到中东和北非的目标。攻击者使用包含地缘政治主题的钓鱼邮件，诱使用户打开恶意附件。下载并打开后，木马程序可以感染设备，使攻击者可以进行大量入侵活动以窃取敏感信息。njRAT 在顶级恶意软件列表中排名第十，在 2022 年 9 月之后下降。

我们继续看到恶意软件组织使用受信任的品牌来传播病毒，目的是窃取个人身份信息。我们怎么强调都不为过，人们注意他们点击的链接以确保它们是合法的 URL 是多么重要。注意安全挂锁，它表示最新的 SSL 证书，并注意任何可能表明该网站是恶意的隐藏拼写错误。

我们的最新研究还显示，“Web Server Exposed Git Repository Information Disclosure”仍然是上个月被利用最多的漏洞，影响了全球 46% 的组织，其次是“HTTP Headers Remote Code Execution”，影响了全球 42% 的组织。“MVPower DVR 远程代码执行”以 39% 的全球影响力排名第三。

2023年1月“十恶不赦”

Qbot和Lokibot是上个月最流行的恶意软件，对全球组织的影响分别超过 6%，其次是AgentTesla，全球影响为 5%。

1. ↑ Qbot – Qbot AKA Qakbot 是一种银行木马，于 2008 年首次出现。它旨在窃取用户的银行凭证和击键。Qbot 通常通过垃圾邮件分发，它采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。

2. ↑ Lokibot – LokiBot 是一种商品信息窃取程序，具有适用于 Windows 和 Android 操作系统的版本，于 2016 年 2 月首次被发现。它从各种应用程序、网络浏览器、电子邮件客户端、IT 管理工具（如 PuTTY 等）中获取凭证。LokiBot 在黑客论坛上出售，据信其源代码已泄露，因此出现了许多变体。自 2017 年底以来，某些 Android 版本的 LokiBot 除了信息窃取功能外还包含勒索软件功能。

3. ↑AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取器，能够监视和收集受害者的键盘输入、系统键盘、截取屏幕截图，并将凭证泄露到安装在受害者机器上的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。

4. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。FormBook 从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。

5. ↓ XMRig – XMRig 是一种用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常通过将其集成到他们的恶意软件中来滥用这种开源软件，从而在受害者的设备上进行非法挖掘。

6. ↓ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾被用作银行木马，现在被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

7. ↑Vidar – Vidar 是一个针对 Windows 操作系统的信息窃取程序。它于 2018 年底首次被发现，旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar 在各种在线论坛上出售，并用作恶意软件投放器以下载 GandCrab 勒索软件作为其次要有效负载。

8. ↑ GuLoader – Guloader 是一款自 2019 年 12 月以来广泛使用的下载器。GuLoader 首次出现时用于下载 Parallax RAT，但已应用于其他远程访问木马和信息窃取程序，例如 Netwire、FormBook 和 Agent Tesla。

9. ↓ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外被发现。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕获、加密货币挖矿、远程控制桌面和网络摄像头会话盗窃。

10. ↑ njRAT – njRAT 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和路过式下载感染受害者，并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

全球受攻击最多的行业

上个月，教育/研究仍然是全球受攻击最严重的行业，其次是政府/军队，然后是医疗保健。

1. 教育/研究

2. 政府/军队

3. 卫生保健

最常被利用的漏洞

12 月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影响了全球46%的组织，其次是“HTTP Headers Remote Code Execution” ，影响了全球42%的组织。“MVPower DVR 远程代码执行”以39%的全球影响力排名第三。

1. ↔ Web 服务器暴露的 Git 存储库信息泄露– Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意中泄露帐户信息。

2. ↑ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害者的机器上运行任意代码。

3. ↑MVPower DVR 远程代码执行——MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。

4. ↓ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已报告 HTTP 上的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

5. ↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。

6. ↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。

7. ↔ PHP 复活节彩蛋信息泄露 – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

9. ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。

10. ↑ NoneCMS ThinkPHP 远程代码执行 (CVE-2018-20062) – NoneCMS ThinkPHP 框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

顶级移动恶意软件

上个月，Anubis仍然是最流行的移动恶意软件，其次是Hiddad和AhMyth。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从最初被发现以来，它已经获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。已在 Google 商店中提供的数百种不同应用程序中检测到它。

2. Hiddad – Hiddad 是一种 Android 恶意软件，它会重新打包合法应用程序，然后将它们发布到第三方商店。它的主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

3. AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现。它通过可在应用商店和各种网站上找到的 Android 应用进行分发。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截屏、发送短信和激活相机等操作，这些操作通常用于窃取敏感信息。