2024 年 10 月頭號惡意軟件：網絡犯罪分子找到新的攻擊向量

Check Point 軟件技術公司的最新威脅指數報告顯示，Lumma Stealer 等信息竊取程序顯著增加，而 Necro 等移動惡意軟件依然構成重大威脅，說明全球網絡犯罪分子正不斷翻新花樣。

2024 年 11 月 ，領先的云端 AI 解決方案網絡安全平臺提供商 Check Point® 軟件技術有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2024 年 10 月《全球威脅指數》報告。本月的報告著重關注了網絡安全領域中一個令人堪憂的趨勢，即信息竊取程序大量涌現(xiàn)，網絡犯罪分子的攻擊手段愈加復雜。

在10月份，研究人員發(fā)現(xiàn)了一個利用虛擬驗證碼頁面散播 Lumma Stealer 惡意軟件（已躍升至月度頭號惡意軟件排行榜第四位）的感染鏈。這一攻擊活動的顯著特點是全球散播，已通過兩個主要感染向量影響了多個國家（地區(qū)）：一個是破解的游戲下載 URL，另一個是針對 GitHub 用戶的網絡釣魚電子郵件（一種新的攻擊向量）。在感染過程中，受害者會被誤導執(zhí)行已復制到其剪貼板上的惡意腳本。如今，信息竊取程序日趨肆虐，是網絡犯罪分子從受感染系統(tǒng)中竊取憑證和敏感數據的一種有效手段。

在移動惡意軟件領域，新版 Necro 已成為一個重大威脅，在移動惡意軟件榜單中位列第二。Necro 感染了各種熱門應用，包括 Google Play 上提供的游戲模組，累計攻擊了超過 1100 萬臺 Android 設備。該惡意軟件采用混淆技術逃避檢測，并利用隱寫技術（即將信息隱藏在另一個消息或物理對象中以逃避檢測）隱藏其有效載荷。一旦激活，它就會在隱形窗口中顯示廣告，與之交互，甚至為受害者訂閱付費服務，這充分表明攻擊者為牟取不義之財可謂費盡心思。

Check Point 軟件技術公司研究副總裁 Maya Horowitz 對于當前威脅形勢評論道：“復雜信息竊取程序大量涌現(xiàn)，表明威脅形勢愈發(fā)嚴峻。網絡犯罪分子正在不斷升級其方法，并利用創(chuàng)新攻擊向量。各機構必須采取自適應主動安全防護措施來抵御新興威脅，以有效地應對這些長期挑戰(zhàn)，而不僅僅限于實施傳統(tǒng)防御機制�！�

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件，全球 6% 的機構受到波及，其次是 Androxgh0st 和 AgentTesla，分別影響了全球 5% 和 4% 的組織與機構。

1.  FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進一步破壞。

2.  Androxgh0st - Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網絡。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3. ↑ AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

4. ↑ Lumma Stealer - Lumma Stealer（又稱為 LummaC2）是一種信息竊取惡意軟件，自 2022 年以來一直作為惡意軟件即服務 (MaaS) 平臺運行。該惡意軟件于 2022 年年中被發(fā)現(xiàn)，目前仍在不斷演變，并在俄語論壇上大肆傳播。作為一種典型的信息竊取程序，LummaC2 主要從受感染系統(tǒng)中竊取各種數據，包括瀏覽器憑證和加密貨幣賬戶信息。

5. ↓ Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數并按照其 C&C 命令下載和執(zhí)行文件。

6. ↑ NJRat - NJRat 是一種遠程訪問木馬，主要針對中東地區(qū)的政府機構和組織。該木馬于 2012 年首次出現(xiàn)，具有多項功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進程和文件以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和偷渡式下載感染受害者設備，并在命令與控制服務器軟件的支持下，通過受感染的 USB 密鑰或網盤進行傳播。

7. ↑ AsyncRat - Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠程服務器發(fā)送目標系統(tǒng)的系統(tǒng)信息。它從服務器接收命令，以下載和執(zhí)行插件、終止進程、進行自我卸載/更新，并截取受感染系統(tǒng)的屏幕截圖。

8. ↑ Remcos - Remcos 是一種遠程訪問木馬，于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播，旨在繞過 Microsoft Windows UAC 安全保護并以高級權限執(zhí)行惡意軟件。

9.  Glupteba - Glupteba 自 2011 年被發(fā)現(xiàn)，是一種后門病毒，已逐漸發(fā)展為僵尸網絡。到 2019 年，它包括 C&C 地址更新機制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10. ↓ Vidar - Vidar 是一種以惡意軟件即服務模式運行的信息竊取惡意軟件，于 2018 年底首次現(xiàn)身。該惡意軟件在 Windows 上運行，不僅可從瀏覽器和數字錢包中收集各種敏感數據，而且還被用作勒索軟件的下載程序。

主要移動惡意軟件

本月，Joker 位列最猖獗的移動惡意軟件榜首，其次是 Necro 和 Anubis。

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設備信息。此外，該惡意軟件還能夠在廣告網站上偷偷地為受害者注冊付費服務。

2. ↑ Necro - Necro 是一種木馬植入程序，可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費訂閱費用騙取錢財。

3. ↓ Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來，它已經具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。

主要勒索軟件團伙 

這些數據基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網站”（攻擊者在這些網站上公布受害者信息）獲得的洞察分析。本月，RansomHub 是最猖獗的勒索軟件團伙，其攻擊數量占已發(fā)布攻擊的 17%，其次是 Play 和 Meow，分別占 10% 和 5%。

1. RansomHub – RansomHub 是一種勒索軟件即服務 (RaaS) 操作，據稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網絡犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復雜加密方法而臭名昭著。

2. Play - Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準北美洲、南美洲和歐洲的眾多企業(yè)和關鍵基礎設施，到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網絡。得逞后，它會采用離地攻擊二進制文件 (LOLBins) 等各種手段來執(zhí)行數據泄露和憑證竊取等任務。

3. Meow - Meow 勒索軟件是一種基于 Conti 勒索軟件的變體，因能夠加密受感染系統(tǒng)上的各種文件而廣為人知。它會在文件名后添加“.MEOW”擴展名，然后留下一封名為“readme.txt”的勒索信，要求受害者通過電子郵件或 Telegram 聯(lián)系攻擊者，談判贖金支付事宜。Meow 勒索軟件通過各種向量傳播，包括未受保護的 RDP 配置、垃圾電子郵件及惡意下載，并使用 ChaCha20 加密算法來鎖定文件，不包括“.exe”和文本文件。

關于 Check Point 軟件技術有限公司  

Check Point 軟件技術有限公司（www.checkpoint.com.cn）是一家領先的云端 AI 網絡安全平臺提供商，為全球超過 10 萬家企業(yè)與機構提供安全保護。Check Point 利用強大的 AI 技術通過 Infinity 平臺提高了網絡安全防護效率和準確性，憑借業(yè)界領www.checkpoint.com)先的捕獲率實現(xiàn)了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網絡安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務的 Check Point Infinity Core Services。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。