9 月頭號惡意軟體:新型Valak信息竊取惡意軟體攻擊激增

Check Point 研究人員發現利用新型 Valak 惡意軟體發起的攻擊急劇增加;Emotet 木馬連續三個月蟬聯榜首

2020 年 10 月全球領先網絡安全解決方案提供商 Check Point ® 軟體技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 發布了其 2020 年 9 月最新版《全球威脅指數》報告。研究人員發現，Valak 惡意軟體更新版首次登榜，在 9 月份最流行惡意軟體排行榜中排名第九。

Valak 是一種複雜的威脅，於 2019 年末首次發現，當時被歸類為惡意軟體加載器。但最近幾個月發現的 Valak 新變體功能發生重大變化，能夠使 Valak 充當針對個人和企業的信息竊取器。新版 Valak 能夠從 Microsoft Exchange 郵件系統中竊取敏感信息以及用戶憑證和域名證書。9 月份，Valak 通過包含惡意 .doc 文件的垃圾郵件攻擊活動廣泛傳播。

Emotet 木馬連續三個月穩居《全球威脅指數》榜首，影響了全球 14% 的組織。Qbot 木馬於 8 月份首次入榜，並在 9 月份被廣泛使用，從榜單第 10 位躍升至第 6 位。

Check Point 產品威脅情報與研究總監總監 Maya Horowitz 表示:「這些傳播 Valak 的新攻擊活動再次證明，攻擊者正尋求加大對成熟惡意軟體的投入。攻擊者打算結合使用 Valak 和 8 月份出現的 Qbot 更新版，大規模竊取組織和個人的數據和憑證。企業應考慮部署反惡意軟體解決方案，以防止此類內容傳播給最終用戶，並建議員工謹慎打開電子郵件，即使它們看上去像來自可靠來源，也務必要小心。」

研究團隊還警告稱，「MVPower DVR 遠程執行代碼」漏洞是最常被利用的漏洞，影響了全球 46% 的組織，其次是「Dasan GPON 路由器身份驗證繞過」漏洞，影響了全球 42% 的組織。「OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)」漏洞影響了全球 36% 的組織。

頭號惡意軟體家族

* 箭頭表示與上月相比的排名變化。

Emotet 仍然是本月最流行的惡意軟體，影響了全球 14% 的組織，其次是 Trickbot 和 Dridex，分別影響了全球 4% 和 3% 的組織。

↔ Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 最初是一種銀行木馬，但最近被用作其他惡意軟體或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或連結的網絡釣魚垃圾郵件進行傳播。

↑ Trickbot - Trickbot 是一種使用廣泛的銀行木馬，不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟體，廣泛用於多目的攻擊活動。

↑Dridex - Dridex 是一種針對 Windows 平臺的木馬，據稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯繫遠程伺服器並發送有關受感染系統的信息，而且還可以下載並執行從遠程伺服器接收的任意模塊。

最常被利用的漏洞

本月最常被利用的漏洞是「MVPower DVR 遠程執行代碼」，影響了全球 46% 的組織，其次是「Dasan GPON 路由器身份驗證繞過」漏洞，影響了全球 42% 的組織。「OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)」漏洞位居第三，影響了全球 36% 的組織。

↑MVPower DVR 遠程執行代碼 - 一種存在於 MVPower DVR 設備中的遠程執行代碼漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執行任意代碼。

↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 一種存在於 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可成功利用此漏洞獲取敏感信息並獲得對被感染系統的未授權訪問。

↑ OpenSSL TLS DTLS 心跳信息洩露 (CVE-2014-0160;CVE-2014-0346) - 一種存在於 OpenSSL 中的信息洩露漏洞。該漏洞是因處理 TLS/DTLS 心跳包時發生錯誤所致。攻擊者可利用該漏洞洩露聯網客戶端或伺服器的內存內容。

頭號移動惡意軟體家族

本月最流行的移動惡意軟體是 xHelper，其次是 Xafecopy 和 Hiddad。

xHelper - 自 2019 年3 月以來開始肆虐的惡意應用，用於下載其他惡意應用並顯示惡意廣告。該應用能夠對用戶隱身，並在卸載後進行自我重新安裝。

Xafekopy - Xafecopy 木馬偽裝成有用的應用，例如 Battery Master，然後秘密將惡意代碼加載到設備上。應用一旦被激活，Xafecopy 惡意軟體便會點擊採用無線應用協議 (WAP) 計費模式的網頁，WAP 計費是一種直接將費用計入用戶手機帳單的行動支付形式。

Hiddad - Hiddad 是一種 Android 惡意軟體，能夠對合法應用進行重新打包，然後將其發布到第三方商店。其主要功能是展示廣告，但它也可以訪問作業系統內置的關鍵安全細節。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基於 Check Point ThreatCloud 情報數據撰寫而成，ThreatCloud 是打擊網絡犯罪的最大協作網絡，可通過全球威脅傳感器網絡提供威脅數據和攻擊趨勢。ThreatCloud 資料庫每天檢查超過 25 億個網站和 5 億份文件，每天識別超過 2.5 億起惡意軟體攻擊活動。

關於 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據，以便在防範黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。

 關於 Check Point 軟體技術有限公司

Check Point 軟體技術有限公司是一家面向全球企業用戶業內領先的信息安全解決方案提供商。Check Point 解決方案對惡意軟體、勒索軟體和高級目標威脅的防範率處於業界領先水準，可有效保護客戶免受第五代網絡攻擊。Check Point 為業界提供前瞻性多級安全架構 Infinity Total Protection，這一組合產品架構具備第五代高級威脅防禦能力，可全面保護企業的雲、網絡，移動，工業網際網路和IOT系統。