2022年8月份恶意软件之十恶不赦排行榜

依据checkpoint的官网信息，最新的 2022 年 8 月全球威胁指数报告称，FormBook 现在是最流行的恶意软件，取代了 Emotet，Emotet 自 1 月重新出现以来一直保持这一地位。

2022年8月“十恶不赦”

*箭头表示与上个月相比排名的变化。

1. ↑ FormBook – FormBook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。FormBook 从各种 Web 浏览器收集凭据，收集屏幕截图，监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ↑ AgentTesla ——AgentTesla 是一种高级 RAT，可用作键盘记录器和信息窃取器，能够监控和收集受害者的键盘输入、系统键盘、截屏并将凭据泄露到安装在受害者机器上的各种软件（包括 Google Chrome 、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

3. ↓ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 软件。威胁者经常滥用这种开源软件，将其集成到他们的恶意软件中，在受害者的设备上进行非法挖掘。

4. ↑ Guloader- GuLoader 是一款自 2019 年 12 月以来被广泛使用的下载器。最初出现时，GuLoader 用于下载 Parallax RAT，但后来被应用于其他远程访问木马和信息窃取程序，如 Netwire、FormBook 和 Agent Tesla。

5. ↓ Emotet - Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

6. ↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能，包括捕获击键、访问受害者的摄像头、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 在命令与控制服务器软件的支持下，通过网络钓鱼攻击和路过式下载、通过受感染的 USB 密钥或网络驱动器进行传播来感染受害者。

7. ↓ Remcos – Remcos 是一种 RAT，于 2016 年首次出现。它通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。

8. ↓ SnakeKeylogger – Snake 是一种模块化的 .NET 键盘记录器和凭据窃取程序，于 2020 年 11 月下旬首次被发现。其主要功能是记录用户的击键并将收集到的数据传输给威胁参与者。蛇感染对用户隐私和在线安全构成重大威胁，因为恶意软件可以窃取几乎所有类型的敏感信息。众所周知，它是一种特别隐蔽和持久的键盘记录器。

9. ↓ Ramnit – Ramnit 是 2010 年首次发现的模块化银行木马。Ramnit 窃取 Web 会话信息，使其运营商能够窃取受害者使用的所有服务的帐户凭据，包括银行、公司和社交网络帐户。该木马使用硬编码的域以及由 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他模块。

10. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，并在其高峰期控制了超过一百万个受感染的主机。以散布其他恶意软件系列和助长大规模垃圾邮件和性勒索活动而闻名。

全球受攻击最多的行业

1. 教育/研究

2. 政府/军队

3. ISP/MSP

8月份漏洞Top10

1. ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

2. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repository中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意泄露帐户信息。

3. ↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

4. ↑ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。

5. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) –报告了一个通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

6. ↑ PHPUnit 命令注入 (CVE-2017-9841) - PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

7. ↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。

8. ↑ PHP 复活节彩蛋信息披露 - PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

9. ↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) - 多个 D-Link 产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。

10. ↑ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823,CVE-2012-2311,CVE-2012-2335,CVE-2012-2336,CVE-2013-4878) - 已报告远程代码执行漏洞在 PHP 中。该漏洞是由于 PHP 对查询字符串的不正确解析和过滤造成的。远程攻击者可以通过发送精心设计的 HTTP 请求来利用此问题。成功利用将允许攻击者在目标上执行任意代码。

顶级移动恶意软件

本月AlienBot是最流行的移动恶意软件，其次是Anubis和Joker。

1. AlienBot – AlienBot 是一种适用于 Android 的银行木马，以恶意软件即服务 (MaaS) 的形式在地下出售。它支持键盘记录、用于凭据盗窃的动态覆盖，以及用于 2FA 绕过的 SMS 收集。使用 TeamViewer 模块可提供额外的远程控制功能。

2. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从它最初被发现以来，它已经获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。它已在 Google 商店中的数百个不同应用程序中检测到。

3. Joker – Google Play 中的 Android 间谍软件，旨在窃取 SMS 消息、联系人列表和设备信息。此外，恶意软件还可以在受害者不同意或不知情的情况下为他们注册付费高级服务。