Check Point 軟件技術(shù)公司的最新威脅指數(shù)報告顯示，Lumma Stealer 等信息竊取程序顯著增加，而 Necro 等移動惡意軟件依然構(gòu)成重大威脅，說明全球網(wǎng)絡(luò)犯罪分子正不斷翻新花樣。

2024 年 11 月 ，領(lǐng)先的云端 AI 解決方案網(wǎng)絡(luò)安全平臺提供商?Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 10 月《全球威脅指數(shù)》報告。本月的報告著重關(guān)注了網(wǎng)絡(luò)安全領(lǐng)域中一個令人堪憂的趨勢，即信息竊取程序大量涌現(xiàn)，網(wǎng)絡(luò)犯罪分子的攻擊手段愈加復(fù)雜。

在10月份，研究人員發(fā)現(xiàn)了一個利用虛擬驗(yàn)證碼頁面散播 Lumma Stealer 惡意軟件（已躍升至月度頭號惡意軟件排行榜第四位）的感染鏈。這一攻擊活動的顯著特點(diǎn)是全球散播，已通過兩個主要感染向量影響了多個國家（地區(qū)）：一個是破解的 游戲 下載 URL，另一個是針對 GitHub 用戶的網(wǎng)絡(luò)釣魚電子郵件（一種新的攻擊向量）。在感染過程中，受害者會被誤導(dǎo)執(zhí)行已復(fù)制到其剪貼板上的惡意腳本。如今，信息竊取程序日趨肆虐，是網(wǎng)絡(luò)犯罪分子從受感染系統(tǒng)中竊取憑證和敏感數(shù)據(jù)的一種有效手段。

在移動惡意軟件領(lǐng)域，新版 Necro 已成為一個重大威脅，在移動惡意軟件榜單中位列第二。Necro 感染了各種熱門應(yīng)用，包括 Google Play 上提供的游戲模組，累計(jì)攻擊了超過 1100 萬臺 Android 設(shè)備。該惡意軟件采用混淆技術(shù)逃避檢測，并利用隱寫技術(shù)（即將信息隱藏在另一個消息或物理對象中以逃避檢測）隱藏其有效載荷。一旦激活，它就會在隱形窗口中顯示廣告，與之交互，甚至為受害者訂閱付費(fèi)服務(wù)，這充分表明攻擊者為牟取不義之財(cái)可謂費(fèi)盡心思。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對于當(dāng)前威脅形勢評論道：“復(fù)雜信息竊取程序大量涌現(xiàn)，表明威脅形勢愈發(fā)嚴(yán)峻。網(wǎng)絡(luò)犯罪分子正在不斷升級其方法，并利用創(chuàng)新攻擊向量。各機(jī)構(gòu)必須采取自適應(yīng)主動安全防護(hù)措施來抵御新興威脅，以有效地應(yīng)對這些長期挑戰(zhàn)，而不僅僅限于實(shí)施傳統(tǒng)防御機(jī)制。”

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates ?是本月最猖獗的惡意軟件，全球? 6% ?的機(jī)構(gòu)受到波及，其次是? Androxgh0st ?和? AgentTesla ，分別影響了全球? 5% ?和? 4% ?的組織與機(jī)構(gòu)。

1.? ?FakeUpdates? – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

2.? ?Androxgh0st -? Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3.? ↑ ? AgentTesla ?– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

4.? ↑ Lumma Stealer - ?Lumma Stealer（又稱為 LummaC2）是一種信息竊取惡意軟件，自 2022 年以來一直作為惡意軟件即服務(wù) (MaaS) 平臺運(yùn)行。該惡意軟件于 2022 年年中被發(fā)現(xiàn)，目前仍在不斷演變，并在俄語論壇上大肆傳播。作為一種典型的信息竊取程序，LummaC2 主要從受感染系統(tǒng)中竊取各種數(shù)據(jù)，包括瀏覽器憑證和加密貨幣賬戶信息。

5.? ↓ ?Formbook ?– Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

6.? ↑ ? NJRat? - NJRat 是一種遠(yuǎn)程訪問木馬，主要針對中東地區(qū)的政府機(jī)構(gòu)和組織。該木馬于 2012 年首次出現(xiàn)，具有多項(xiàng)功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備，并在命令與控制服務(wù)器軟件的支持下，通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

7.? ↑ AsyncRat? - Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令，以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新，并截取受感染系統(tǒng)的屏幕截圖。

8.? ↑ Remcos ?- Remcos 是一種遠(yuǎn)程訪問木馬，于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播，旨在繞過 Microsoft Windows UAC 安全保護(hù)并以高級權(quán)限執(zhí)行惡意軟件。

9.? ?Glupteba -? Glupteba 自 2011 年被發(fā)現(xiàn)，是一種后門病毒，已逐漸發(fā)展為僵尸網(wǎng)絡(luò)。到 2019 年，它包括 C&C 地址更新機(jī)制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10.? ↓ Vidar? - Vidar 是一種以惡意軟件即服務(wù)模式運(yùn)行的信息竊取惡意軟件，于 2018 年底首次現(xiàn)身。該惡意軟件在 Windows 上運(yùn)行，不僅可從瀏覽器和數(shù)字錢包中收集各種敏感數(shù)據(jù)，而且還被用作勒索軟件的下載程序。

主要移動惡意軟件

本月， Joker ?位列最猖獗的移動惡意軟件榜首，其次是? Necro ?和? Anubis 。

1.?? Joker? – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費(fèi)服務(wù)。

2.? ↑ Necro? - Necro 是一種木馬植入程序，可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費(fèi)訂閱費(fèi)用騙取錢財(cái)。

3.? ↓ Anubis ?– Anubis 是一種專為 Android 手機(jī) 設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

主要勒索軟件團(tuán)伙 ?

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月， RansomHub ?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的? 17% ，其次是? Play ?和? Meow ，分別占? 10% ?和? 5% 。

1.? RansomHub? – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復(fù)雜加密方法而臭名昭著。

2.? Play ? - Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網(wǎng)絡(luò)。得逞后，它會采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

3.? Meow? - Meow 勒索軟件是一種基于 Conti 勒索軟件的變體，因能夠加密受感染系統(tǒng)上的各種文件而廣為人知。它會在文件名后添加“.MEOW”擴(kuò)展名，然后留下一封名為“readme.txt”的勒索信，要求受害者通過電子郵件或 Telegram 聯(lián)系攻擊者，談判贖金支付事宜。Meow 勒索軟件通過各種向量傳播，包括未受保護(hù)的 RDP 配置、垃圾電子郵件及惡意下載，并使用 ChaCha20 加密算法來鎖定文件，不包括“.exe”和文本文件。

關(guān)于 ?Check Point? 軟件技術(shù)有限公司 ??

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端?AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過?10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的?AI 技術(shù)通過?Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實(shí)現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。